Настройка правил мониторинга
Правила мониторинга применяются последовательно, в том порядке, в котором они перечислены в списке настроенных правил.
- В главном окне веб-консоли выберите Устройства → Политики и профили.
- Выберите политику, которую вы хотите настроить.
- В открывшемся окне <Имя политики> выберите закладку Параметры программы.
- Выберите раздел Диагностика системы.
- Нажмите на кнопку Параметры в подразделе Мониторинг доступа к реестру.
- В открывшемся окне Мониторинг доступа к реестру перейдите на закладку Параметры мониторинга доступа к реестру.
- В разделе Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
- В окне Область мониторинга доступа к реестру укажите путь, используя поддерживаемую маску, чтобы Выполнять мониторинг доступа к реестру для областиконтролировать операции с реестром для заданной области.
При создании правил избегайте использования поддерживаемых масок для корневых разделов.
Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Заблокировать операции в соответствии с правилами, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать. - На закладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
- Чтобы контролировать определенные Значения раздела, выполните следующие действия:
- На закладке Значения раздела, нажмите на кнопку Добавить.
- В окне Правило обработки значений реестра введите маску значенияМаска значения и укажите требуемый список операцийСписок контролируемых действий.
- Нажмите на кнопку OK, чтобы сохранить изменения.
- Чтобы задать доверенных пользователейДоверенные пользователи, выполните следующие действия:
- На закладке Доверенные пользователи нажмите на кнопку Добавить.
- Введите Имя пользователя или нажмите на кнопку Установить SID Everyone, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
- Нажмите на кнопку OK, чтобы сохранить изменения.
По умолчанию Kaspersky Embedded Systems Security считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.
- Нажмите на кнопку OK в окне Область мониторинга доступа к реестру, чтобы сохранить изменения.
Указанные параметры правил будут сразу же применены к выбранной области мониторинга задачи Мониторинг доступа к реестру.