Création et configuration d’une règle de surveillance de l’accès au registre

Les règles de surveillance de l’accès au registre sont appliquées dans l’ordre où elles sont répertoriées dans le groupe Règles de surveillance de l'accès au registre.

Pour créer et configurer une règle de surveillance de l’accès au registre à l’aide du plug-in Web :

1. Dans la fenêtre principale de Kaspersky Security Center Web Console, sélectionnez Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie que vous souhaitez configurer.
3. Dans la fenêtre <Nom de la stratégie> qui s'ouvre, sélectionnez l'onglet Paramètres de l'application.
4. Sélectionnez la section Diagnostic du système.
5. Dans la sous-section Moniteur d'accès au registre, cliquez sur le bouton Configuration.

   La Moniteur d'accès au registre s’ouvre sous l’onglet Paramètres du moniteur d'accès au registre.

6. Dans le bloc Règles de surveillance de l'accès au registre, cliquez sur le bouton Ajouter.

   La fenêtre Règles de surveillance de l'accès au registre s’affiche.

7. Dans le champ Surveiller l'accès au registre pour une zone d'application, saisissez un chemin à l’aide d’un masque pris en charge.

   Vous pouvez utiliser ? et * comme masque lors de la saisie d’un chemin.

   Si vous saisissez le chemin d’accès à une clé de registre racine, assurez-vous de définir le chemin complet sans masque, par exemple HKEY_USERS. Voici une liste de clés de registre racine valides :

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   Évitez d'utiliser des masques pris en charge pour les clés racines lors de la création des règles.
   Si vous précisez uniquement une clé racine, comme HKEY_CURRENT_USER, ou une clé racine avec un masque pour toutes les clés enfants, comme HKEY_CURRENT_USER\*, un grand nombre de notifications sur l'adressage des clés enfants indiquées est générée, ce qui entraîne des problèmes relatifs aux performances du système.
   Si vous précisez une clé racine, comme HKEY_CURRENT_USER, ou une clé racine avec un masque pour toutes les clés enfants, comme HKEY_CURRENT_USER\*, et sélectionnez le mode Bloquer les opérations selon les règles, le système n'est pas en mesure de lire ni de modifier les clés nécessaires au fonctionnement du système d'exploitation et il ne répond pas.

8. Sous l’onglet Actions pour la zone de surveillance sélectionné, configurez la liste des actions selon le cas.
9. Spécifiez les valeurs de registre que va surveiller la règle :
   1. Sous l’onglet Valeurs contrôlées, cliquez sur le bouton Ajouter.

      La fenêtre Règle de valeur de registre s’ouvre.

   2. Dans le champ correspondant, saisissez un masque de valeurs de registre.
   3. Dans le groupe Opérations contrôlées, sélectionnez les actions exécutées avec la valeur de registre qui seront surveillées par la règle.
   4. Cliquez sur le bouton OK pour enregistrer les modifications.
10. Le cas échéant, indiquez les utilisateurs de confiance :
    1. Sous l’onglet Utilisateurs de confiance, cliquez sur le bouton Ajouter.
    2. Saisissez le Nom d'utilisateur ou cliquez sur Définir le SID pour le groupe Tout le monde pour définir les utilisateurs autorisés à effectuer les actions sélectionnées.
    3. Cliquez sur le bouton OK pour enregistrer les modifications.

    Kaspersky Embedded Systems Security for Windows considère par défaut tous les utilisateurs qui ne figurent pas dans la liste des utilisateurs de confiance comme des utilisateurs douteux et génère pour ceux-ci des événements de niveau Critique. Pour les utilisateurs de confiance, les statistiques sont compilées.

11. Dans la fenêtre Règles de surveillance de l'accès au registre, cliquez sur le bouton OK pour enregistrer les modifications.

La règle de surveillance de l’accès au registre configurée s’affiche dans le bloc Moniteur d'accès au registre de la fenêtre Règles de surveillance de l'accès au registre.