Über die Regeln zur Überwachung der Systemregistrierung
Die Aufgabe Überwachung des Registrierungszugriffs wird auf Grundlage der Regeln zur Überwachung des Systemregistrierung ausgeführt. Sie können mithilfe von Auslösekriterien für Regeln die Bedingungen zum Auslösen der Aufgabe anpassen und die Prioritätsstufe für gefundene Ereignisse bestimmen, die im Protokoll der Aufgabenausführung gespeichert werden.
Die Regel zur Überwachung der Systemregistrierung wird für jeden festgelegten Überwachungsbereich angegeben.
Sie können folgende Auslösekriterien für Regeln anpassen:
- Aktionen
- Registrierungswerte
- Vertrauenswürdige Benutzer
Aktionen
Wenn die Aufgabe zur Überwachung des Registrierungszugriffs gestartet ist, verwendet Kaspersky Embedded Systems Security eine Liste mit Vorgängen, auf welche die Registrierung überwacht wird (siehe Tabelle unten).
Wenn ein als Auslösekriterium für Regeln festgelegter Vorgang erkannt wird, protokolliert das Programm ein entsprechendes Ereignis.
Die Prioritätsstufe der protokollierten Ereignisse hängt nicht von den ausgewählten Vorgängen oder ihrer Anzahl ab.
Standardmäßig betrachtet Kaspersky Embedded Systems Security alle Vorgänge. Sie können die Liste mit Vorgängen in den Einstellungen der Aufgabenregeln manuell konfigurieren.
Aktionen
Aktion | Einschränkungen | Betriebssystem |
---|---|---|
Schlüssel erstellen |
| Windows XP und höher |
Schlüssel löschen | Wenn Sie einen übergeordneten Schlüssel löschen möchten, stellen Sie sicher, dass Sie die Optionen Schlüssel löschen und Unterschlüssel löschen für einen konfigurierten Schlüssel auf der Liste der überwachten Aktionen deaktiviert haben, da ein übergeordneter Schlüssel nur mitsamt seiner Unterschlüssel gelöscht werden kann. | Windows XP und höher |
Schlüssel umbenennen | N/V | Windows XP und höher |
Sicherheitseinstellungen des Schlüssels ändern | N/V | Windows Vista und höher |
Werte löschen | N/V | Windows XP und höher |
Werte festlegen | Wenn Sie den Vorgang Werte festlegen zur Liste mit Aktionen hinzufügen und in der Regel für einen Schlüssel den Standard-Name des Werts festlegen sowie anschließend den Modus Vorgänge entsprechend den Regeln blockieren auswählen, wird dieser Schlüssel nicht erstellt, da ein neuer Schlüssel nur mit einem Standardwert erstellt werden kann. | Windows XP und höher |
Unterschlüssel erstellen | N/V | Windows XP und höher |
Unterschlüssel löschen | N/V | Windows XP und höher |
Unterschlüssel umbenennen | N/V | Windows XP und höher |
Sicherheitseinstellungen der Unterschlüssel ändern | N/V | Windows Vista und höher |
Registrierungswerte
Zusätzlich zur Überwachung der Registrierungsschlüssel können Sie Änderungen für existierende Registrierungswerte blockieren oder überwachen. Die folgenden Optionen sind verfügbar:
- Wert festlegen – erstellt neue Registrierungswerte oder ändert existierende Registrierungswerte
- Wert löschen – löscht existierende Registrierungswerte
Das Umbenennen oder Ändern der Sicherheitseinstellungen steht für Registrierungswerte nicht zur Verfügung.
Vertrauenswürdige Benutzer
Standardmäßig stuft das Programm die Aktionen aller Benutzer als potenzielle Verletzungen der Sicherheit ein. Die Liste mit vertrauenswürdigen Benutzern ist leer. Sie können die Prioritätsstufe des Ereignisses anpassen, indem Sie eine Liste mit vertrauenswürdigen Benutzern in den Einstellungen der Regel zur Überwachung der Systemregistrierung erstellen.
Ein nicht vertrauenswürdiger Benutzer ist ein beliebiger Benutzer, der nicht zur Liste vertrauenswürdiger Benutzer in den Einstellungen des Überwachungsbereichs hinzugefügt wurde. Wenn Kaspersky Embedded Systems Security einen Vorgang erkennt, der von einem nicht vertrauenswürdigen Benutzer ausgeführt wurde, protokolliert die Aufgabe zur Überwachung des Registrierungszugriffs ein kritisches Ereignis im Protokoll der Aufgabenausführung.
Ein vertrauenswürdiger Benutzer ist ein Benutzer oder eine Benutzergruppe, dem/der das Ausführen von Vorgängen innerhalb des angegebenen Überwachungsbereich erlaubt ist. Wenn Kaspersky Embedded Systems Security einen Vorgang erkennt, der von einem vertrauenswürdigen Benutzer ausgeführt wurde, protokolliert die Aufgabe zur Überwachung des Registrierungszugriffs ein Informatives Ereignis im Protokoll der Aufgabenausführung.