Настройка правил мониторинга

Правила мониторинга применяются последовательно, в том порядке, в котором они перечислены в списке настроенных правил.

1. В главном окне веб-консоли выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. Нажмите на кнопку Параметры в подразделе Мониторинг доступа к реестру.
6. В открывшемся окне Мониторинг доступа к реестру перейдите на закладку Параметры мониторинга доступа к реестру.
7. В разделе Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
8. В окне Область мониторинга доступа к реестру укажите путь, используя поддерживаемую маску, чтобы Выполнять мониторинг доступа к реестру для областиконтролировать операции с реестром для заданной области.

   В качестве маски при вводе пути можно использовать символы ? и *.

   При вводе пути к корневому разделу реестра обязательно укажите полный путь без маски, например, HKEY_USERS. Ниже приведен список допустимых корневых разделов реестра:

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   При создании правил избегайте использования поддерживаемых масок для корневых разделов.
   Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
   Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Заблокировать операции в соответствии с правилами, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.

9. На закладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
10. Чтобы контролировать определенные Значения раздела, выполните следующие действия:
    1. На закладке Значения раздела, нажмите на кнопку Добавить.
    2. В окне Правило обработки значений реестра введите маску значенияМаска значения и укажите требуемый список операцийСписок контролируемых действий.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.
11. Чтобы задать доверенных пользователейДоверенные пользователи, выполните следующие действия:
    1. На закладке Доверенные пользователи нажмите на кнопку Добавить.
    2. Введите Имя пользователя или нажмите на кнопку Установить SID Everyone, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.

    По умолчанию Kaspersky Embedded Systems Security считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

12. Нажмите на кнопку OK в окне Область мониторинга доступа к реестру, чтобы сохранить изменения.

    Указанные параметры правил будут сразу же применены к выбранной области мониторинга задачи Мониторинг доступа к реестру.