システム変更監視が機能するには、ルールを少なくとも 1 つ追加する必要があります。システム変更監視ルールとは、ファイルおよびレジストリへのユーザーのアクセスを定義する一連の条件です。システム変更監視は、指定された監視範囲内のファイルとレジストリの変更を検知します。監視範囲は、システム変更監視ルールの条件の 1 つです。
システム変更監視では、次のオブジェクトを監視できます:
ファイル監視に関する特別な考慮事項
システム変更監視は、ファイルとフォルダーの変更、および監視範囲に追加されるファイルや監視範囲から削除されるファイルについて監視します。これらの変更はコンピューターのセキュリティ侵害を示す可能性があります。管理者のみがアクセス可能なオブジェクトや、めったに変更されないオブジェクトを追加することを推奨します。これにより、システム変更監視イベントの数を減らすことができます。
Kaspersky Endpoint Security は、リアルタイムシステム変更監視が動作を開始したときに接続されていたディスク上のファイルとフォルダーの変更のみを監視します。リアルタイムシステム変更監視が動作を開始したときにディスクが接続されていなかった場合、監視範囲にファイルとフォルダーが追加されても、本製品はそのディスク上のファイルとフォルダーの変更を監視しません。
レジストリ監視に関する特別な考慮事項
システム変更監視はレジストリを監視します。これらの変更はコンピューターのセキュリティ侵害を示す可能性があります。
システム変更監視は、レジストリの次のルートキーを監視します:
HKCR
HKLM
HKU
HKCC
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
システム変更監視は、HKEY_CURRENT_USER
キーをサポートしません。HKEY_USERS
の下に、HKEY_USERS\<user profile ID>\<key>
という形式でキーを指定できます。
外部デバイスの監視に関する特別な考慮事項
システム変更監視は、外部デバイスの接続と接続解除を監視します。これは、それらのデバイスとのファイル交換によって生じる可能性のあるセキュリティ上の脅威からコンピューターを保護するために必要となります。システム変更監視では、外部デバイスへのアクセスを監視せず、ファイル交換もブロックしません。別のアプリケーションコンポーネントのデバイスコントロールを使用してデバイスへのアクセスを設定することができます。
システム変更監視は、次の種別の外部デバイスの接続を監視します: