Настройка правил мониторинга

Правила мониторинга применяются последовательно, в том порядке, в котором они перечислены в списке настроенных правил.

1. В главном окне веб-консоли выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. Нажмите на кнопку Настройка в подразделе Мониторинг доступа к реестру.
6. В открывшемся окне Мониторинг доступа к реестру перейдите на закладку Параметры мониторинга доступа к реестру.
7. В разделе Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
8. В окне Область мониторинга доступа к реестру укажите путь, используя поддерживаемую маску, чтобы контролировать операции с реестром для заданной области.

   В качестве маски при вводе пути можно использовать символы ? и *.

   При вводе пути к корневому разделу реестра обязательно укажите полный путь без маски, например, HKEY_USERS. Ниже приведен список допустимых корневых разделов реестра:

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   При создании правил избегайте использования поддерживаемых масок для корневых разделов.
   Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
   Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции по правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.

9. На закладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
10. Чтобы контролировать определенные Значения реестра, выполните следующие действия:
    1. На закладке Значения реестра, нажмите на кнопку Добавить.
    2. В окне Правило для значения реестра введите маску значения и укажите требуемый список операций.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.
11. Чтобы задать доверенных пользователей, выполните следующие действия:
    1. На закладке Доверенные пользователи нажмите на кнопку Добавить.
    2. Введите Имя пользователя или нажмите на кнопку Установить SID для всех, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.

    По умолчанию Kaspersky Embedded Systems Security считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

12. Нажмите на кнопку OK в окне Область мониторинга доступа к реестру, чтобы сохранить изменения.

    Указанные параметры правил будут сразу же применены к выбранной области мониторинга задачи Мониторинг доступа к реестру.

В начало