關於系統註冊表監控規則
登錄存取監控工作是根據系統註冊表監控規則執行的。您可以使用規則觸發條件來配置觸發工作的條件,以及調整工作記錄中記錄的已偵測事件的重要性等級。
針對每個監控範圍指定了系統註冊表監控規則。
可以配置以下規則觸發條件:
- 操作
- 登錄值
- 受信任使用者
操作
當登錄檔存取監控任務啟動時,Kaspersky Embedded Systems Security 會使用一組操作清單來監控登錄檔(請參閱下表)。
如果偵測到指定為規則觸發條件的操作,則應用程式會記錄相應的事件。
已記錄事件的重要性等級不取決於選定的操作或事件的數量。
預設情況下,Kaspersky Embedded Systems Security 會考慮所有操作。您可以在工作規則設定中手動配置操作清單。
操作
操作 | 限制 | 作業系統 |
|---|---|---|
建立金鑰 |
| Windows XP 及更高版本 |
刪除金鑰 | 如果要刪除父參數,對於已配置的註冊表參數請務必同時清除監控清單中操作選項的刪除金鑰和刪除子機碼,因為您只能刪除帶有子參數的父參數。 | Windows XP 及更高版本 |
重新命名金鑰 | N/A | Windows XP 及更高版本 |
變更金鑰安全設定 | N/A | Windows Vista 及更高版本 |
刪除值 | N/A | Windows XP 及更高版本 |
設定值 | 如果新增設定值到操作清單中,在參數規則中定義預設的值名稱,然後選擇根據規則封鎖操作模式,則將不會建立金鑰,因為您只能使用預設值建立新金鑰。 | Windows XP 及更高版本 |
建立子機碼 | N/A | Windows XP 及更高版本 |
刪除子機碼 | N/A | Windows XP 及更高版本 |
重新命名子機碼 | N/A | Windows XP 及更高版本 |
變更子機碼安全設定 | N/A | Windows Vista 及更高版本 |
登錄值
除了註冊表參數監控之外,您還可以封鎖或監控現有的註冊表值變更。以下選項為可用選項:
- 設定數值 - 建立新的註冊表值或變更現有的註冊表值。
- 刪除數值 - 刪除現有的註冊表值。
重新命名和變更安全設定不適用於註冊表值。
受信任使用者
預設情況下,應用程式將所有操作視為潛在安全入侵。受信任使用者清單為空。您可以透過在系統註冊表監控規則設定中建立受信任使用者清單來配置事件重要性等級。
不受信任使用者 – 監控範圍規則設定中的受信任使用者清單中未指定的任何使用者。如果 Kaspersky Embedded Systems Security 偵測到不受信任的使用者執行的操作,則「登錄檔存取監控」任務將在任務日誌中日誌一個緊急事件。
受信任使用者 – 經過授權可在指定的監控範圍內執行操作的使用者或使用者群組。如果 Kaspersky Embedded Systems Security 偵測到受信任使用者執行的操作,則「註冊表存取監控」工作將在工作記錄中記錄一個資訊事件。