監視ルールの設定

監視ルールは、設定されたルールのリストの位置に沿って、連続して適用されます。

1. Web コンソールのメインウィンドウで、［デバイス］ - ［ポリシーとプロファイル］の順に選択します。
2. 設定するポリシー名をクリックします。
3. 表示されたポリシーのプロパティウィンドウで、［アプリケーションの設定］タブを選択します。
4. ［システム監査］セクションを選択します。
5. ［レジストリアクセス監視］サブセクションの［設定］をクリックします。
6. 表示される［レジストリアクセス監視］ウィンドウで、［レジストリアクセス監視の設定］タブを開きます。
7. ［レジストリアクセス監視ルール］セクションで、［追加］をクリックします。
8. ［レジストリアクセス監視領域］ウィンドウで、サポートされているマスクを使用して、［範囲内のレジストリ操作を監視する］にパスを指定します。

   パスを入力する際に、マスクとして ？ と * を使用できます。

   ルートレジストリキーへのパスを入力する場合は、「HKEY_USERS」のように、マスクを使わずに完全パスで指定してください。以下は、有効なルートレジストリキーのリストです：

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   ルールを作成するときは、ルートキーにサポートされているマスクを使用しないでください。
   HKEY_CURRENT_USER などのルートキーのみを指定するか、HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーのみを指定すると、指定された子キーのアドレス指定に関する大量の通知が生成され、システムパフォーマンスに問題が生じます。
   HKEY_CURRENT_USER などのルートキー、または HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーを指定し、［ルールに基づき操作をブロック］モードをオンにすると、システムは OS の機能に必要なキーの読み取りや変更ができずに応答できなくなります。

9. 選択した監視領域の［処理］タブで、必要に応じて処理のリストを設定します。
10. 特定の［レジストリ値］を監視する場合、次の操作を行います：
    1. ［レジストリ値］タブで、［追加］をクリックします。
    2. ［レジストリ値のルール］ウィンドウで、［値のマスク］を入力し、必要な［操作のリスト］を設定します。
    3. ［OK］をクリックして、変更内容を保存します。
11. ［信頼するユーザー］を定義するには、次の操作を行います：
    1. ［信頼するユーザー］タブで、［追加］をクリックします。
    2. ［ユーザー名］を入力するか［セキュリティ識別子（SID）を Everyone に設定］をクリックし、選択した処理の実行を許可するユーザーを定義します。
    3. ［OK］をクリックして、変更内容を保存します。

    既定では、Kaspersky Embedded Systems Security においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを作成します。信頼するユーザーの場合、統計が収集されます。

12. ［レジストリアクセス監視領域］ウィンドウで［OK］をクリックして変更を保存します。

    指定したルール設定は、［レジストリアクセス監視］タスクの定義した監視範囲にただちに適用されます。

ページのトップに戻る