Configuration des règles de monitoring

Les règles de surveillance sont appliquées les unes après les autres conformément à leur position dans la liste des règles configurées.

1. Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie que vous souhaitez configurer.
3. Dans la fenêtre <Nom de la stratégie> qui s'ouvre, sélectionnez l'onglet Paramètres de l'application.
4. Sélectionnez la section Diagnostic du système.
5. Cliquez sur Configuration dans la sous-section Moniteur d'accès au registre.
6. Dans la fenêtre Moniteur d'accès au registre qui s'ouvre, accédez à l'onglet Paramètres du moniteur d'accès au registre.
7. Dans la section Règles de surveillance de l'accès au registre, cliquez sur le bouton Ajouter.
8. Dans la fenêtre Zone de surveillance de l'accès au registre, indiquez un chemin à l'aide d'un masque pris en charge pour Surveiller les opérations dans le registre pour la zone.

   Vous pouvez utiliser ? et * comme masque lors de la saisie d'un chemin.

   Si vous saisissez le chemin d'accès à une clé de registre racine, assurez-vous de définir le chemin complet sans masque, par exemple HKEY_USERS. Voici une liste de clés de registre racine valides :

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • CRHK

   Évitez d'utiliser des masques pris en charge pour les clés racines lors de la création des règles.
   Si vous précisez uniquement une clé racine, comme HKEY_CURRENT_USER, ou une clé racine avec un masque pour toutes les clés enfants, comme HKEY_CURRENT_USER\*, un grand nombre de notifications sur l'adressage des clés enfants indiquées est générée, ce qui entraîne des problèmes relatifs aux performances du système.
   Si vous précisez une clé racine, comme HKEY_CURRENT_USER, ou une clé racine avec un masque pour toutes les clés enfants, comme HKEY_CURRENT_USER\*, et sélectionnez le mode Bloquer les opérations selon les règles, le système n'est pas en mesure de lire ni de modifier les clés nécessaires au fonctionnement du système d'exploitation et il ne répond pas.

9. Sous l'onglet Actions pour la zone de surveillance sélectionné, configurez la liste des actions selon le cas.
10. Si vous souhaitez surveiller certaines Valeurs de registre, procédez comme suit :
    1. Sous l'onglet Valeurs de registre, cliquez sur le bouton Ajouter.
    2. Dans la fenêtre Règle de valeur de registre, saisissez le Masque de valeur et configurez la Liste des opérations requise.
    3. Cliquez sur le bouton OK afin d'enregistrer les modifications.
11. Si vous voulez définir les Utilisateurs de confiance, procédez comme suit :
    1. Sous l'onglet Utilisateurs de confiance, cliquez sur le bouton Ajouter.
    2. Saisissez le Nom d'utilisateur ou cliquez sur Définir SID Tout le monde pour définir les utilisateurs autorisés à effectuer les actions sélectionnées.
    3. Cliquez sur le bouton OK afin d'enregistrer les modifications.

    Kaspersky Embedded Systems Security considère par défaut tous les utilisateurs qui ne figurent pas dans la liste des utilisateurs de confiance comme des utilisateurs douteux et génère pour ceux-ci des événements de niveau Critique. Pour les utilisateurs de confiance, les statistiques sont compilées.

12. Cliquez sur OK dans la fenêtre Zone de surveillance de l'accès au registre pour enregistrer les modifications.

    Les paramètres définis pour la règle sont appliqués à la zone de surveillance définie de la tâche Moniteur d'accès au registre.