如果您正在检查更改的文件，那么是的，每个更改的文件都会发出警报。这正是它应该如何工作的。

通常的缓解技术包括：

• 限制您检查的文件数量。通常基于重要性或重要性
• 作为更改过程的一部分，强制您的 FIM 工具计算新的校验和

两者都存在丢失不需要的更改的风险。

根据您部署的“大牌”FIM 解决方案，有几种方法可以解决此问题。每种配置都会产生一组不同的风险。

1. 根据发布者批准文件- 不建议。除非有相应的签名，否则不能信任发布者字段。
2. 基于签名批准- 这更安全，但是，并非所有文件都经过签名。更重要的是，以前签名的文件在更新后可能不会被签名。
3. 基于散列批准- 您了解散列的优缺点
4. 基于目录路径批准- 不建议。可信路径允许修改和信任指定目录中的所有文件。您可以更进一步，声明目录中的所有文件只能由特定进程修改/创建。
5. 受信任的窗口- 这实质上允许在受信任的窗口期间发生文件更改。在将执法恢复正常之前，人们会希望审查所有更改。相当艰巨的任务。
6. 受信任的部署者- 这很可能是您的最佳选择。如果您使用客户端将补丁部署到机器（例如：BigFix、SCCM 等），您可以将此客户端标记为“受信任的安装程序”，从而允许它应用补丁。

您部署的特定 FIM 解决方案可能具有也可能不具有所有这些功能集。