Создание и настройка правила мониторинга доступа к реестру
16 ноября 2023
ID 223004
Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.
Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Консоли программы:
- В дереве Консоли программы разверните узел Диагностика системы.
- Выберите вложенный узел Мониторинг доступа к реестру.
- В панели результатов узла Правила мониторинга реестра перейдите по ссылке Мониторинг доступа к реестру.
Откроется окно Мониторинг доступа к реестру.
- В поле Добавьте раздел системного реестра для мониторинга введите путь к разделу реестра с помощью поддерживаемой маски.
При создании правил избегайте использования поддерживаемых масок для корневых разделов.
Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать. - Нажмите на кнопку Добавить.
- На вкладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
- Определите значения реестра, которые будет контролировать правило:
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
Откроется окно Правило обработки значений реестра.
- В одноименном поле введите значение реестра или маску значения реестра.
- В блоке Контролируемые операции выберите действия над значением реестра, которые будет контролировать правило.
- Нажмите на кнопку OK, чтобы сохранить изменения.
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
- Если необходимо, задайте доверенных пользователей:
- На вкладке Доверенные пользователи нажмите на кнопку Добавить.
- В окне Выбор пользователей или групп выберите пользователей или группы пользователей, которым разрешено выполнять выбранные действия.
- Нажмите на кнопку OK, чтобы сохранить изменения.
По умолчанию Kaspersky Industrial CyberSecurity for Nodes считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.
- В окне Мониторинг доступа к реестру нажмите на кнопку Сохранить.
Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.