Создание и настройка правила мониторинга доступа к реестру

Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.

Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Веб-плагина:

1. В главном окне Веб-консоли Kaspersky Security Center выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. В подразделе Мониторинг доступа к реестру нажмите на кнопку Настройка.

   Откроется окно Мониторинг доступа к реестру на вкладке Параметры мониторинга доступа к реестру.

6. В блоке Правила мониторинга доступа к реестру нажмите на кнопку Добавить.

   Откроется окно Правило мониторинга доступа к реестру.

7. В поле Выполнять мониторинг доступа к реестру для области введите путь, используя поддерживаемую маску.

   В качестве маски при вводе пути можно использовать символы ? и *.

   При вводе пути к корневому разделу реестра обязательно укажите полный путь без маски, например, HKEY_USERS. Ниже приведен список допустимых корневых разделов реестра:

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   При создании правил избегайте использования поддерживаемых масок для корневых разделов.
   Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
   Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.

8. На вкладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
9. Определите значения реестра, которые будет контролировать правило:
   1. На вкладке Контролируемые значения нажмите на кнопку Добавить.

      Откроется окно Правило обработки значений реестра.

   2. В одноименном поле введите маску значения реестра.
   3. В блоке Контролируемые действия выберите действия над значением реестра, которые будет контролировать правило.
   4. Нажмите на кнопку OK, чтобы сохранить изменения.
10. Если необходимо, задайте доверенных пользователей:
    1. На вкладке Доверенные пользователи нажмите на кнопку Добавить.
    2. Введите Имя пользователя или нажмите на кнопку Установить SID для группы Все, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.

    По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

11. В окне Правило мониторинга доступа к реестру нажмите на кнопку OK, чтобы сохранить изменения.

Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.