关于注册表访问监控规则
“注册表访问监控”任务根据注册表访问监控规则运行。可以使用规则触发条件来配置触发任务的条件,以及设置任务日志中记录的已检测事件的重要级别。
针对每个监控范围指定了注册表访问监控规则。
可以配置以下规则触发条件:
- 操作
- 受控制的值
- 受信任用户
操作
当注册表访问监控任务启动时,Kaspersky Embedded Systems Security for Windows 使用操作列表以监控注册表(参见下表)。
如果检测到指定为规则触发条件的操作,应用程序将记录相应的事件。
已记录事件的重要级别不取决于选定的操作或事件的数量。
默认下,Kaspersky Embedded Systems Security for Windows 考虑所有操作。您可以在任务规则设置中手动配置操作列表。
操作
操作 | 限制 | 操作系统 |
---|---|---|
创建键 |
| Windows XP 及更高版本 |
删除键 | 如果您要删除父键,请确保清除已配置注册表键的受监控删除键列表上的“删除子键”和“操作”选项,因为您只能删除带有子键的父键。 | Windows XP 及更高版本 |
重命名键 | N/A | Windows XP 及更高版本 |
更改键安全设置 | N/A | Windows Vista 及更高版本 |
删除值 | N/A | Windows XP 及更高版本 |
设置值 | 如果您将操作添加到设置值列表中,在规则中为键定义默认值或值掩码,然后选择根据规则阻止操作模式,则不会创建键,因为只能使用默认值创建新键。 | Windows XP 及更高版本 |
创建子键 | N/A | Windows XP 及更高版本 |
删除子键 | N/A | Windows XP 及更高版本 |
重命名子键 | N/A | Windows XP 及更高版本 |
更改子键安全设置 | N/A | Windows Vista 及更高版本 |
注册表值
除了注册表键监控之外,您还可以阻止或监控现有注册表值的更改。有以下选项可用:
- 设置值 - 创建新注册表值或更改现有注册表值。
- 删除值 - 删除现有注册表值。
重命名和更改安全设置不适用于注册表值。
受信任用户
默认情况下,应用程序将所有操作视为潜在安全入侵。受信任用户列表为空。可以通过在系统注册表监控规则设置中创建受信任用户列表来配置事件重要性级别。
不受信任用户是监控范围规则设置中的受信任用户列表中未指定的任何用户。如果 Kaspersky Embedded Systems Security for Windows 检测到不受信任用户执行的操作,则“注册表访问监控”任务将在任务日志中记录一个严重事件。
受信任用户是经过授权可在指定的监控范围内执行操作的用户或用户组。如果 Kaspersky Embedded Systems Security for Windows 检测到受信任用户执行的操作,则“注册表访问监控”任务将在任务日志中记录一个“信息事件”。