Erstellen und Konfigurieren einer Überwachungsregel für den Registrierungszugriff
Die Regeln für die Überwachung des Registrierungszugriffs werden in der Reihenfolge angewendet, in der sie im Block Regeln der Überwachung des Registrierungszugriffs angegeben sind.
Gehen Sie wie folgt vor, um eine Überwachungsregel für den Registrierungszugriff mithilfe des Web-Plug-ins zu erstellen und zu konfigurieren:
- Wählen Sie im Hauptfenster Kaspersky Security Center Web Console aus Geräte → Richtlinien & Profile aus.
- Klicken Sie auf den Namen der Richtlinie, die Sie konfigurieren möchten.
- Wählen Sie im Fenster <Name der Richtlinie> die Registerkarte Programmeinstellungen aus.
- Wählen Sie den Abschnitt System-Diagnose aus.
- Klicken Sie im Unterabschnitt Überwachung des Registrierungszugriffs auf die Schaltfläche Einstellungen.
Öffnen Sie im nächsten Fenster Überwachung des Registrierungszugriffs die Registerkarte Einstellungen der Überwachung des Registrierungszugriffs.
- Klicken Sie im Abschnitt Regeln der Überwachung des Registrierungszugriffs auf Hinzufügen.
Das Fenster Regel der Überwachung des Registrierungszugriffs wird geöffnet.
- Geben Sie unter Registrierungszugriff für folgenden Bereich überwachen mithilfe einer der unterstützten Masken einen Pfad an.
Vermeiden Sie beim Erstellen der Regeln die Verwendung von unterstützten Masken für die Stammschlüssel.
Wenn Sie nur einen Stammschlüssel, wie "HKEY_CURRENT_USER", oder einen Stammschlüssel mit einer Maske für alle untergeordneten Schlüssel, wie "HKEY_CURRENT_USER\*", angeben, wird eine sehr große Menge an Nachrichten bezüglich der angegeben untergeordneten Schlüssel erstellt. Das führt zu verminderter Leistung.
Wenn Sie einen Stammschlüssel, wie "HKEY_CURRENT_USER", oder einen Stammschlüssel mit einer Maske für alle untergeordneten Schlüssel, wie "HKEY_CURRENT_USER\*", angeben und den Modus Vorgänge entsprechend den Regeln blockieren auswählen, ist das System nicht in der Lage, Schlüssel zu ändern oder auszulesen, die für das Funktionieren des Betriebssystems notwendig sind. Das führt zu einem nicht funktionsfähigen System. - Konfigurieren Sie auf der Registerkarte Aktionen die Liste der anwendbaren Vorgänge für den ausgewählten Überwachungsbereich.
- Geben Sie die Registrierungswerte an, die von der Regel überwacht werden sollen:
- Klicken Sie auf der Registerkarte Kontrollierte Werte auf die Schaltfläche Hinzufügen.
Das Fenster Regel für den Registrierungswert geöffnet.
- Geben Sie im entsprechenden Feld eine Maske für den Registrierungswert ein.
- Wählen Sie im Block Kontrollierte Vorgänge aus, welche Aktionen, die mit dem Registrierungswert ausgeführt werden, von der Regel überwacht werden sollen.
- Klicken Sie auf OK, um die Änderungen zu speichern.
- Klicken Sie auf der Registerkarte Kontrollierte Werte auf die Schaltfläche Hinzufügen.
- Geben Sie bei Bedarf vertrauenswürdige Benutzer an:
- Klicken Sie auf der Registerkarte Vertrauenswürdige Benutzer auf die Schaltfläche Hinzufügen.
- Geben Sie den Benutzername ein oder klicken Sie auf SID für die Gruppe "Jeder" festlegen, um die Benutzer festzulegen, welche die Berechtigung zum Ausführen der ausgewählten Vorgänge besitzen.
- Klicken Sie auf OK, um die Änderungen zu speichern.
Standardmäßig stuft Kaspersky Embedded Systems Security für Windows alle Benutzer, die nicht zur Liste der vertrauenswürdigen Benutzer hinzugefügt wurden, als nicht vertrauenswürdig ein und erstellt für sie kritische Ereignisse. Für vertrauenswürdige Benutzer werden Statistiken erstellt.
- Klicken Sie im Fenster Regel der Überwachung des Registrierungszugriffs auf die Schaltfläche OK, um die Änderungen zu speichern.
Die konfigurierte Regel für die Überwachung des Registrierungszugriffs wird im Block Überwachung des Registrierungszugriffs des Registrierungszugriffs im Fenster Regeln der Überwachung des Registrierungszugriffs angezeigt.