Создание и настройка правила мониторинга доступа к реестру

Правила мониторинга доступа к реестру применяются в том порядке, в котором они перечислены в блоке Правила мониторинга доступа к реестру.

Чтобы создать и настроить правило мониторинга доступа к реестру с помощью Плагина управления:

Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
Выберите группу администрирования, для которой требуется настроить параметры программы.
В панели результатов выбранной группы администрирования выполните одно из следующих действий:
- Чтобы настроить параметры программы для группы защищаемых устройств, выберите вкладку Политики и откройте окно Свойства: <Имя политики>.
- Чтобы настроить параметры задачи или программы для отдельного защищаемого устройства, выберите вкладку Устройства и перейдите к параметрам локальной задачи или параметрам программы.
Выполните одно из следующих действий:
- Если вы создаете правило мониторинга доступа к реестру в политике, в разделе Диагностика системы в блоке Мониторинг доступа к реестру нажмите на кнопку Настройка.
  Откроется окно Мониторинг доступа к реестру на вкладке Параметры мониторинга доступа к реестру.
- Если вы создаете правило мониторинга доступа к реестру для локальной задачи, в окне Свойства: Мониторинг доступа к реестру перейдите в раздел Настройка.
В блоке Правила мониторинга доступа к реестру нажмите на кнопку Добавить.
Откроется окно Правило мониторинга доступа к реестру.
В поле Выполнять мониторинг доступа к реестру для указанной области с параметрами введите путь с помощью поддерживаемой маски.
В качестве маски при вводе пути можно использовать символы ? и *.

При вводе пути к корневому разделу реестра обязательно укажите полный путь без маски, например, HKEY_USERS. Ниже приведен список допустимых корневых разделов реестра:
- HKEY_LOCAL_MACHINE
- HKLM
- HKEY_CURRENT_USER
- HKCU
- HKEY_USERS
- HKUS
- HKU
- HKEY_CURRENT_CONFIG
- HKEY_CLASSES_ROOT
- HKCR
При создании правил избегайте использования поддерживаемых масок для корневых разделов.
Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы. Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции согласно правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.
На вкладке Добавить настройте список действий в соответствии с вашими требованиями.
Определите значения реестра, которые будет контролировать правило:
1. На вкладке Контролируемые значения нажмите на кнопку Добавить.
  Откроется окно Правило для значения реестра.
2. В одноименном поле введите маску значения реестра.
3. В блоке Контролируемые операции выберите действия над значением реестра, которые будет контролировать правило.
4. Нажмите на кнопку OK, чтобы сохранить изменения.
Если необходимо, задайте доверенных пользователей:
1. На вкладке Доверенные пользователи в контекстном меню кнопки Добавить выберите способ добавления доверенных пользователей.
  Откроется окно Выбор пользователя или группы пользователей.
2. Выберите пользователя или группу пользователей, которым разрешено выполнять выбранные действия.
3. Нажмите на кнопку OК, чтобы сохранить изменения.
По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.
В окне Правило мониторинга доступа к реестру нажмите на кнопку OК.

Настроенное правило мониторинга доступа к реестру отобразится в окне Мониторинг доступа к реестру / Свойства: Мониторинг доступа к реестру в блоке Правила мониторинга доступа к реестру.

В начало