Задача Мониторинг доступа к реестру запускается в соответствии с правилами мониторинга системного реестра. Вы можете использовать критерии срабатывания правила, чтобы настроить условия запуска задачи, и установить уровень важности обнаруженных событий, записываемых в журнал задачи.
Правило мониторинга системного реестра задается для каждой области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
Действия
При запуске задачи Мониторинг доступа к реестру Kaspersky Embedded Systems Security использует список действий для мониторинга реестра (см. таблицу ниже).
При обнаружении действия, указанного в качестве критерия срабатывания правила, приложение регистрирует соответствующее событие.
Уровень важности фиксируемых событий не зависит от выбранных действий и количества событий.
По умолчанию Kaspersky Embedded Systems Security учитывает все действия. Вы можете настроить список действий вручную в параметрах правила задачи.
Действия
Действие |
Ограничения |
Операционная система |
|---|---|---|
Создать раздел |
|
Windows XP и выше |
Удалить раздел |
Если вы хотите удалить родительский раздел, убедитесь, что в списке Действия для настраиваемого раздела реестра сняты оба флажка: Удалить раздел и Удалить подразделы, поскольку родительский раздел можно удалить, только включая вложенные разделы. |
Windows XP и выше |
Переименовать раздел |
Недоступно |
Windows XP и выше |
Изменить параметры безопасности раздела |
Недоступно |
Windows Vista и выше |
Удалить значения |
Недоступно |
Windows XP и выше |
Задать значения |
Если вы добавляете в список Действия действие Задать значения, в правиле для раздела указываете Название значения по умолчанию, а затем выбираете режим Блокировать операции по правилам, раздел не будет создан, поскольку новый раздел может быть создан только со значением по умолчанию. |
Windows XP и выше |
Создать вложенные разделы |
Недоступно |
Windows XP и выше |
Удалить вложенные разделы |
Недоступно |
Windows XP и выше |
Переименовать вложенные разделы |
Недоступно |
Windows XP и выше |
Изменить параметры безопасности вложенных разделов |
Недоступно |
Windows Vista и выше |
Значения реестра
В дополнение к мониторингу разделов реестра можно блокировать или контролировать изменения существующих значений реестра. Доступны следующие варианты:
Переименование и изменение параметров безопасности не применимо к значениям реестра.
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности событий, формируя список доверенных пользователей в параметрах правила мониторинга системного реестра.
Недоверенный пользователь – любой пользователь, не указанный в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает действие, выполненное недоверенным пользователем, задача Мониторинг доступа к реестру фиксирует критическое событие в журнале выполнения задачи.
Доверенный пользователь – пользователь или группа пользователей, которым разрешено выполнение действий в указанной области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает действие, выполненное доверенным пользователем, задача Мониторинг доступа к реестру фиксирует информационное событие в журнале выполнения задачи.
В начало