О правилах мониторинга системного реестра
Задача Мониторинг доступа к реестру запускается в соответствии с правилами мониторинга системного реестра. Вы можете использовать критерии срабатывания правила, чтобы настроить условия запуска задачи, и установить уровень важности обнаруженных событий, записываемых в журнал задачи.
Правило мониторинга системного реестра задается для каждой области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
- Действия
- Значения раздела
- Доверенные пользователи
Действия
При запуске задачи Мониторинг доступа к реестру Kaspersky Embedded Systems Security использует список действий для мониторинга реестра (см. таблицу ниже).
При обнаружении действия, указанного в качестве критерия срабатывания правила, приложение регистрирует соответствующее событие.
Уровень важности фиксируемых событий не зависит от выбранных действий и количества событий.
По умолчанию Kaspersky Embedded Systems Security учитывает все действия. Вы можете настроить список действий вручную в параметрах правила задачи.
Действия
Действие | Ограничения | Операционная система |
---|---|---|
Создать раздел |
| Windows XP и выше |
Удалить раздел | Если вы хотите удалить родительский раздел, убедитесь, что в списке Действия для настраиваемого раздела реестра сняты оба флажка: Удалить раздел и Удалить вложенные разделы, поскольку родительский раздел можно удалить, только включая подразделы. | Windows XP и выше |
Переименовать раздел | Недоступно | Windows XP и выше |
Изменить параметры безопасности раздела | Недоступно | Windows Vista и выше |
Удалить значения | Недоступно | Windows XP и выше |
Задать значения | Если вы добавляете в список Действия действие Задать значения, в правиле для раздела указываете Имя значения по умолчанию, а затем выбираете режим Заблокировать операции в соответствии с правилами, раздел не будет создан, поскольку новый раздел может быть создан только со значением по умолчанию. | Windows XP и выше |
Создать вложенные разделы | Недоступно | Windows XP и выше |
Удалить вложенные разделы | Недоступно | Windows XP и выше |
Переименовать вложенные разделы | Недоступно | Windows XP и выше |
Изменить параметры безопасности вложенных разделов | Недоступно | Windows Vista и выше |
Значения реестра
В дополнение к мониторингу разделов реестра можно блокировать или контролировать изменения существующих значений реестра. Доступны следующие варианты:
- Изменение значения – создать новые или изменить существующие значения реестра.
- Удалить значение – удалить существующие значения реестра.
Переименование и изменение параметров безопасности не применимо к значениям реестра.
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности событий, формируя список доверенных пользователей в параметрах правила мониторинга системного реестра.
Недоверенный пользователь – любой пользователь, не указанный в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает действие, выполненное недоверенным пользователем, задача Мониторинг доступа к реестру фиксирует критическое событие в журнале выполнения задачи.
Доверенный пользователь – пользователь или группа пользователей, которым разрешено выполнение действий в указанной области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает действие, выполненное доверенным пользователем, задача Мониторинг доступа к реестру фиксирует информационное событие в журнале выполнения задачи.