Создание и настройка правила мониторинга доступа к реестру
16 ноября 2023
ID 223006
Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.
Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Веб-плагина:
- В главном окне Веб-консоли Kaspersky Security Center выберите Устройства → Политики и профили.
- Выберите политику, которую вы хотите настроить.
- В открывшемся окне <Имя политики> выберите закладку Параметры программы.
- Выберите раздел Диагностика системы.
- В подразделе Мониторинг доступа к реестру нажмите на кнопку Параметры.
Откроется окно Мониторинг доступа к реестру на вкладке Параметры мониторинга доступа к реестру.
- В блоке Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
Откроется окно Правило мониторинга доступа к реестру.
- В поле Выполнять мониторинг доступа к реестру для области введите путь, используя поддерживаемую маску.
При создании правил избегайте использования поддерживаемых масок для корневых разделов.
Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать. - На вкладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
- Определите значения реестра, которые будет контролировать правило:
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
Откроется окно Правило обработки значений реестра.
- В одноименном поле введите маску значения реестра.
- В блоке Контролируемые действия выберите действия над значением реестра, которые будет контролировать правило.
- Нажмите на кнопку OK, чтобы сохранить изменения.
- На вкладке Контролируемые значения нажмите на кнопку Добавить.
- Если необходимо, задайте доверенных пользователей:
- На вкладке Доверенные пользователи нажмите на кнопку Добавить.
- Введите Имя пользователя или нажмите на кнопку Установить SID для группы Все, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
- Нажмите на кнопку OK, чтобы сохранить изменения.
По умолчанию Kaspersky Industrial CyberSecurity for Nodes считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.
- В окне Правило мониторинга доступа к реестру нажмите на кнопку OK, чтобы сохранить изменения.
Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.