Создание и настройка правила мониторинга доступа к реестру

Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.

Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Консоли программы:

1. В дереве Консоли программы разверните узел Диагностика системы.
2. Выберите вложенный узел Мониторинг доступа к реестру.
3. В панели результатов узла Правила мониторинга реестра перейдите по ссылке Мониторинг доступа к реестру.

   Откроется окно Мониторинг доступа к реестру.

4. В поле Добавьте раздел системного реестра для мониторинга введите путь к разделу реестра с помощью поддерживаемой маски.

   При создании правил избегайте использования поддерживаемых масок для корневых разделов.
   Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
   Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.

5. Нажмите на кнопку Добавить.
6. На вкладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
7. Определите значения реестра, которые будет контролировать правило:
   1. На вкладке Контролируемые значения нажмите на кнопку Добавить.

      Откроется окно Правило обработки значений реестра.

   2. В одноименном поле введите значение реестра или маску значения реестра.
   3. В блоке Контролируемые операции выберите действия над значением реестра, которые будет контролировать правило.
   4. Нажмите на кнопку OK, чтобы сохранить изменения.
8. Если необходимо, задайте доверенных пользователей:
   1. На вкладке Доверенные пользователи нажмите на кнопку Добавить.
   2. В окне Выбор пользователей или групп выберите пользователей или группы пользователей, которым разрешено выполнять выбранные действия.
   3. Нажмите на кнопку OK, чтобы сохранить изменения.

   По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

9. В окне Мониторинг доступа к реестру нажмите на кнопку Сохранить.

Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.