创建和配置注册表访问监控规则

注册表访问监控规则按照“注册表访问监控规则”块中列出的顺序应用。

要使用管理插件创建和配置注册表访问监控规则：

1. 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
2. 选择要为其配置应用程序设置的管理组。
3. 在选定的管理组的详细窗格中执行以下操作之一：
   • 要为一组受保护设备配置应用程序设置，请选择“策略”选项卡，然后打开“属性：<策略名称>”窗口。
   • 要为单个受保护设备配置任务或应用程序的设置，请选择“设备”选项卡并转至本地任务设置或应用程序设置。
4. 执行以下操作之一：
   • 如果要在策略中创建注册表访问监控规则，请在“系统审查”部分的“注册表访问监控”块中单击“设置”按钮。

     “注册表访问监控”窗口在“注册表访问监控设置”选项卡上打开。

   • 如果要为本地任务创建注册表访问监控规则，请在“属性：注册表访问监控”窗口中转至“设置”部分。
5. 在“注册表访问监控规则”块中，单击“添加”按钮。

   将出现“注册表访问监控规则”窗口。

6. 在“为指定的范围设置规则触发条件”字段中，使用支持的掩码输入路径。

   输入路径时，您可以使用 ? 和 * 作为掩码。

   如果您输入路径到根注册表键，请确保指定没有掩码的完整路径，例如 HKEY_USERS。以下是有效的根注册表键列表：

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   在创建规则时，避免对根键使用支持的掩码。
   如果您仅指定根键（如 HKEY_CURRENT_USER），或对所有子键使用掩码的根键（如 HKEY_CURRENT_USER\*），则将生成大量关于指定子键的通知，这将导致系统性能问题。如果您指定根键，例如 HKEY_CURRENT_USER，或对所有子键使用掩码的根键，例如 HKEY_CURRENT_USER\*，并选择根据规则阻止操作模式，则系统无法读取或更改系统功能所需的键并无法响应。

7. 在“添加”选项卡上，根据需要配置操作列表。
8. 指定规则将监控的注册表值：
   1. 在“注册表值”选项卡上，单击“添加”按钮。

      将打开“注册表值规则”窗口。

   2. 在相应字段中，输入注册表值掩码。
   3. 在“受控制的操作”块中，选择规则将监控对注册表值执行的哪些操作。
   4. 单击“确定”按钮以保存更改。
9. 如有必要，指定受信任用户：
   1. 在“受信任用户”选项卡上的“添加”按钮的上下文菜单中，选择添加受信任用户的方法。

      将打开“用户或用户组选择”窗口。

   2. 选择允许执行所选操作的用户或用户组。
   3. 单击“确定”按钮以保存更改。

   默认情况下，Kaspersky Embedded Systems Security for Windows 将未列入受信任用户列表的所有用户视为不受信任，并为他们生成严重事件。对于受信任用户，将编译统计信息。

10. 在“注册表访问监控规则”窗口中，单击“确定”按钮。

配置的注册表访问监控规则显示在“注册表访问监控/属性：注册表访问监控”窗口的“注册表访问监控规则”块中。