Создание и настройка правила мониторинга доступа к реестру
Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.
Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Плагина управления:
- Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
- Выберите группу администрирования, для которой требуется настроить параметры программы.
- В панели результатов выбранной группы администрирования выполните одно из следующих действий:
- Чтобы настроить параметры программы для группы защищаемых устройств, выберите вкладку Политики и откройте окно Свойства: <Имя политики>.
- Чтобы настроить параметры задачи или программы для отдельного защищаемого устройства, выберите вкладку Устройства и перейдите к параметрам локальной задачи или параметрам программы.
- Выполните одно из следующих действий:
- Если вы создаете правило мониторинга доступа к реестру в политике, в разделе Диагностика системы в блоке Мониторинг доступа к реестру нажмите на кнопку Настройка.
Откроется окно Мониторинг доступа к реестру на вкладке Параметры мониторинга доступа к реестру.
- Если вы создаете правило мониторинга доступа к реестру для локальной задачи, в окне Свойства: Мониторинг доступа к реестру перейдите в раздел Настройка.
- Если вы создаете правило мониторинга доступа к реестру в политике, в разделе Диагностика системы в блоке Мониторинг доступа к реестру нажмите на кнопку Настройка.
- В блоке Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
Откроется окно Правило мониторинга доступа к реестру.
- В поле Выполнять мониторинг доступа к реестру для указанной области с параметрами введите путь с помощью поддерживаемой маски.
При создании правил избегайте использования поддерживаемых масок для корневых разделов.
Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы. Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать. - На вкладке Добавить настройте список действий в соответствии с вашими требованиями.
- Определите значения реестра, которые будет контролировать правило:
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
Откроется окно Правило для значения реестра.
- В одноименном поле введите маску значения реестра.
- В блоке Контролируемые операции выберите действия над значением реестра, которые будет контролировать правило.
- Нажмите на кнопку OK, чтобы сохранить изменения.
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
- Если необходимо, задайте доверенных пользователей:
- На вкладке Доверенные пользователи в контекстном меню кнопки Добавить выберите способ добавления доверенных пользователей.
Откроется окно Выбор пользователя или группы пользователей.
- Выберите пользователя или группу пользователей, которым разрешено выполнять выбранные действия.
- Нажмите на кнопку OК, чтобы сохранить изменения.
По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.
- На вкладке Доверенные пользователи в контекстном меню кнопки Добавить выберите способ добавления доверенных пользователей.
- В окне Правило мониторинга доступа к реестру нажмите на кнопку OК.
Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру / Свойства: Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.