Acerca de las reglas de supervisión del registro de sistemas
La tarea Monitor de acceso al registro se ejecuta según las reglas de supervisión del registro de sistemas. Puede usar los criterios de activación de la regla para configurar las condiciones que activan la tarea y establecen el nivel de importancia de los eventos detectados y registrados en el registro de tareas.
Una regla de Supervisión del registro de sistemas se especifica para cada área de supervisión.
Puede configurar los siguientes criterios de activación de la regla:
- Acciones
- Valores del registro
- Usuarios de confianza
Acciones
Cuando se inicia la tarea Monitor de acceso a registros, Kaspersky Embedded Systems Security utiliza una lista de acciones para supervisar el registro (ver la tabla a continuación).
Si se detecta una acción especificada como criterio de activación de la regla, la aplicación registra un evento correspondiente.
El nivel de importancia de los eventos registrados no depende de las acciones seleccionadas o del número de eventos.
De forma predeterminada, Kaspersky Embedded Systems Security considera todas las acciones. Puede configurar la lista de acciones manualmente en la configuración de reglas de la tarea.
Acciones
Acción | Restricciones | Sistema operativo |
|---|---|---|
Crear clave |
| Windows XP y versiones posteriores |
Eliminar clave | Si desea eliminar una clave principal, asegúrese de borrar las opciones Eliminar clave y Eliminar subclaves en la lista de Acciones supervisadas para una clave de registro configurada, ya que solo puede eliminar la clave principal con subclaves. | Windows XP y versiones posteriores |
Renombrar clave | N/D | Windows XP y versiones posteriores |
Cambiar configuración de seguridad de claves | N/D | Windows Vista y versiones posteriores |
Eliminar valores | N/D | Windows XP y versiones posteriores |
Establecer valores | Si agrega Establecer valores a la lista de Acciones, define el Nombre del valor predeterminado en la regla para una clave y luego selecciona el modo Bloquear operaciones según las reglas, la clave no se crea porque una clave nueva solo se puede crear con un valor predeterminado. | Windows XP y versiones posteriores |
Crear subclaves | N/D | Windows XP y versiones posteriores |
Eliminar subclaves | N/D | Windows XP y versiones posteriores |
Renombrar subclaves | N/D | Windows XP y versiones posteriores |
Cambiar configuración de seguridad de subclaves | N/D | Windows Vista y versiones posteriores |
Valores del registro
Además de la supervisión de las claves de registro, puede bloquear o supervisar los cambios de los valores del registro existentes. Las siguientes opciones están disponibles:
- Establecer valor: crea valores del registro nuevos o cambia los valores del registro existentes.
- Eliminar valor: elimina los valores del registro existentes.
El cambio de nombre y configuración de seguridad no se aplica a los valores del registro.
Usuarios de confianza
De forma predeterminada, la aplicación trata todas las acciones del usuario como posible violación de la seguridad. La lista de usuarios de confianza está vacía. Puede configurar el nivel de importancia del evento al crear una lista de usuarios de confianza en la configuración de reglas de supervisión del registro de sistemas.
Un usuario que no es de confianza es cualquier usuario no indicado en la lista de usuarios de confianza en la configuración de la regla del área de supervisión. Si Kaspersky Embedded Systems Security detecta una acción que realiza un usuario que no es de confianza, la tarea Monitor de acceso a registros inscribe un Evento crítico en el registro de tareas.
Un usuario de confianza es un usuario o grupo de usuarios autorizados para realizar acciones dentro del área de supervisión especificada. Si Kaspersky Embedded Systems Security detecta una acción que realiza un usuario de confianza, la tarea Monitor de acceso a registros registrará un Evento informativo en el registro de tareas.