О правилах мониторинга доступа к реестру
16 ноября 2023
ID 223205
Задача Мониторинг доступа к реестру запускается в соответствии с правилами мониторинга доступа к реестру. Вы можете использовать критерии срабатывания правила, чтобы настроить условия запуска задачи, и установить уровень важности обнаруженных событий, записываемых в журнал задачи.
Правило мониторинга доступа к реестру задается для каждой области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
- Действия
- Контролируемые значения
- Доверенные пользователи
Действия
При запуске задачи Мониторинг доступа к реестру Kaspersky Industrial CyberSecurity for Nodes использует список действий для мониторинга реестра (см. таблицу ниже).
При обнаружении действия, указанного в качестве критерия срабатывания правила, программа регистрирует соответствующее событие.
Уровень важности фиксируемых событий не зависит от выбранных действий и количества событий.
По умолчанию Kaspersky Industrial CyberSecurity for Nodes учитывает все действия. Вы можете настроить список действий вручную в параметрах правила задачи.
Действия
Действие | Ограничения | Операционная система |
---|---|---|
Создать раздел |
| Windows XP и выше |
Удалить раздел | Если вы хотите удалить родительский раздел, убедитесь, что в списке Удалить раздел для настраиваемого раздела реестра сняты оба флажка: Удаление вложенных разделов и Действия, поскольку родительский раздел можно удалить, только включая подразделы. | Windows XP и выше |
Переименование ключа | Недоступно | Windows XP и выше |
Изменение параметров безопасности раздела | Недоступно | Windows Vista и выше |
Удаление значений | Недоступно | Windows XP и выше |
Задать значения | Если вы добавляете в список Задать значения действие Действия, в правиле для раздела указываете Имя значения по умолчанию, а затем выбираете режим Блокировать операции согласно правилам, раздел не будет создан, поскольку новый раздел может быть создан только со значением по умолчанию. | Windows XP и выше |
Создать вложенные разделы | Недоступно | Windows XP и выше |
Удалить вложенные разделы | Недоступно | Windows XP и выше |
Переименовать вложенные разделы | Недоступно | Windows XP и выше |
Изменить параметры безопасности вложенных разделов | Недоступно | Windows Vista и выше |
Значения реестра
В дополнение к мониторингу разделов реестра можно блокировать или контролировать изменения существующих значений реестра. Доступны следующие варианты:
- Изменение значения – создать новые или изменить существующие значения реестра.
- Удалить значение – удалить существующие значения реестра.
Переименование и изменение параметров безопасности не применимо к значениям реестра.
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности событий, формируя список доверенных пользователей в параметрах правила мониторинга системного реестра.
Недоверенный пользователь – любой пользователь, не указанный в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает действие, выполненное недоверенным пользователем, задача Мониторинг доступа к реестру фиксирует критическое событие в журнале выполнения задачи.
Доверенный пользователь – пользователь или группа пользователей, которым разрешено выполнение действий в указанной области мониторинга. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает действие, выполненное доверенным пользователем, задача Мониторинг доступа к реестру фиксирует информационное событие в журнале выполнения задачи.