Über die Regeln zur Überwachung des Registrierungszugriffs
Die Aufgabe Überwachung des Registrierungszugriffs Aufgabe wird auf der Grundlage von Regeln zur Überwachung des Registrierungszugriffs ausgeführt. Sie können mithilfe von Auslösekriterien für Regeln die Bedingungen zum Auslösen der Aufgabe anpassen und die Prioritätsstufe für gefundene Ereignisse bestimmen, die im Protokoll der Aufgabenausführung gespeichert werden.
Für jeden Überwachungsbereich wird eine Regel zur Überwachung des Registrierungszugriffs festgelegt.
Sie können folgende Auslösekriterien für Regeln anpassen:
- Aktionen
- Kontrollierte Werte
- Vertrauenswürdige Benutzer
Aktionen
Wenn die Aufgabe zur Überwachung des Registrierungszugriffs gestartet ist, verwendet Kaspersky Embedded Systems Security für Windows eine Liste mit Vorgängen, auf welche die Registrierung überwacht wird (siehe Tabelle unten).
Wenn eine als Auslösekriterium für eine Regel angegebene Aktion erkannt wird, protokolliert die Anwendung ein entsprechendes Ereignis.
Die Prioritätsstufe der protokollierten Ereignisse hängt nicht von den ausgewählten Vorgängen oder ihrer Anzahl ab.
Standardmäßig betrachtet Kaspersky Embedded Systems Security für Windows alle Vorgänge. Sie können die Liste mit Vorgängen in den Einstellungen der Aufgabenregeln manuell konfigurieren.
Vorgänge
Vorgang | Einschränkungen | Betriebssystem |
|---|---|---|
Schlüssel erstellen |
| Windows XP und höher |
Schlüssel löschen | Wenn Sie einen übergeordneten Schlüssel löschen möchten, stellen Sie sicher, dass Sie die Optionen Unterschlüssel löschen und Aktionen für einen konfigurierten Schlüssel auf der Liste der überwachten Schlüssel löschen deaktiviert haben, da ein übergeordneter Schlüssel nur mitsamt seiner Unterschlüssel gelöscht werden kann. | Windows XP und höher |
Schlüssel umbenennen | N/V | Windows XP und höher |
Sicherheitseinstellungen des Schlüssels ändern | N/V | Windows Vista und höher |
Werte löschen | N/V | Windows XP und höher |
Werte festlegen | Wenn Sie den Vorgang Aktionen zur Liste mit Werte festlegen hinzufügen und in der Regel für einen Schlüssel den Standard-Wert oder Wertmaske festlegen sowie anschließend den Modus Vorgänge entsprechend den Regeln blockieren auswählen, wird dieser Schlüssel nicht erstellt, da ein neuer Schlüssel nur mit einem Standardwert erstellt werden kann. | Windows XP und höher |
Unterschlüssel erstellen | N/V | Windows XP und höher |
Unterschlüssel löschen | N/V | Windows XP und höher |
Unterschlüssel umbenennen | N/V | Windows XP und höher |
Sicherheitseinstellungen der Unterschlüssel ändern | N/V | Windows Vista und höher |
Registrierungswerte
Zusätzlich zur Überwachung der Registrierungsschlüssel können Sie Änderungen für existierende Registrierungswerte blockieren oder überwachen. Die folgenden Optionen sind verfügbar:
- Wert festlegen – erstellt neue Registrierungswerte oder ändert existierende Registrierungswerte
- Wert löschen – löscht existierende Registrierungswerte
Das Umbenennen oder Ändern der Sicherheitseinstellungen steht für Registrierungswerte nicht zur Verfügung.
Vertrauenswürdige Benutzer
Standardmäßig stuft das Programm die Aktionen aller Benutzer als potenzielle Verletzungen der Sicherheit ein. Die Liste mit vertrauenswürdigen Benutzern ist leer. Sie können die Prioritätsstufe des Ereignisses anpassen, indem Sie eine Liste mit vertrauenswürdigen Benutzern in den Einstellungen der Regel zur Überwachung der Systemregistrierung erstellen.
Ein nicht vertrauenswürdiger Benutzer ist ein beliebiger Benutzer, der nicht zur Liste vertrauenswürdiger Benutzer in den Einstellungen des Überwachungsbereichs hinzugefügt wurde. Wenn Kaspersky Embedded Systems Security für Windows einen Vorgang erkennt, der von einem nicht vertrauenswürdigen Benutzer ausgeführt wurde, protokolliert die Aufgabe zur Überwachung des Registrierungszugriffs ein kritisches Ereignis im Protokoll der Aufgabenausführung.
Ein vertrauenswürdiger Benutzer ist ein Benutzer oder eine Benutzergruppe, dem/der das Ausführen von Vorgängen innerhalb des angegebenen Überwachungsbereich erlaubt ist. Wenn Kaspersky Embedded Systems Security für Windows einen Vorgang erkennt, der von einem vertrauenswürdigen Benutzer ausgeführt wurde, protokolliert die Aufgabe zur Überwachung des Registrierungszugriffs ein Informatives Ereignis im Protokoll der Aufgabenausführung.