レジストリアクセス監視ルールの作成と設定
レジストリアクセス監視ルールは、[レジストリアクセス監視ルール]ブロックにリストされている順序で適用されます。
管理プラグインを使用してレジストリアクセス監視ルールを作成および設定するには:
- Kaspersky Security Center の管理コンソールツリーで[管理対象デバイス]フォルダーを展開します。
- アプリケーション設定を編集する管理グループを選択します。
- 選択した管理グループの詳細ペインで、次のいずれかを実行します:
- 保護対象デバイスグループに対してアプリケーションを設定するには、[ポリシー]タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
- 個々の保護対象デバイスのタスクまたは本製品の設定を指定するには、[デバイス]タブを選択し、ローカルタスク設定またはアプリケーション設定に移動します。
- 次のいずれかを行います:
- ポリシーでファイル変更監視ルールを作成している場合は、[システム監査]セクションの[レジストリアクセス監視]ブロックで[設定]をクリックします。
表示される[レジストリアクセス監視]ウィンドウで、[レジストリアクセス監視の設定]タブを開きます。
- ローカルタスクのレジストリアクセス監視ルールを作成している場合は、ジストリアクセス監視のプロパティウィンドウで、[設定]セクションに移動します。
- ポリシーでファイル変更監視ルールを作成している場合は、[システム監査]セクションの[レジストリアクセス監視]ブロックで[設定]をクリックします。
- [レジストリアクセス監視ルール]ブロックで、[追加]をクリックします。
[レジストリアクセス監視ルール]ウィンドウが表示されます。
- [指定した範囲に対するルール有効化の条件を指定]フィールドに、サポートされているマスクを使用してパスを入力します。
ルールの作成時は、ルートキーにサポートされているマスクを使用しないでください。
HKEY_CURRENT_USER などのルートキーのみを指定するか、HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーのみを指定すると、指定された子キーのアドレス指定に関する大量の通知が生成され、システムパフォーマンスに問題が生じます。HKEY_CURRENT_USER などのルートキー、または HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーを指定し、[ルールに基づき操作をブロック]モードをオンにすると、システムは OS の機能に必要なキーの読み取りや変更ができずに応答できなくなります。 - [追加]タブで、必要に応じて処理のリストを設定します。
- ルールが監視するレジストリ値を指定します:
- [レジストリ値]タブで、[追加]をクリックします。
[レジストリ値のルール]ウィンドウが開きます。
- 対応するフィールドに、レジストリ値マスクを入力します。
- [管理対象の操作]ブロックで、レジストリ値に対して実行されたどの操作をルールによって監視するかを選択します。
- [OK]をクリックして、変更内容を保存します。
- [レジストリ値]タブで、[追加]をクリックします。
- 必要に応じて、信頼するユーザーを指定します。
- [信頼するユーザー]タブの[追加]のコンテキストメニューで、信頼するユーザーを追加する方法を選択します。
[ユーザーまたはユーザーグループの抽出]ウィンドウが開きます。
- 選択した動作の実行を許可されているユーザーまたはユーザーグループを選択します。
- [OK]をクリックして、変更内容を保存します。
既定では、Kaspersky Embedded Systems Security for Windows においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを生成します。信頼するユーザーの場合、統計が収集されます。
- [信頼するユーザー]タブの[追加]のコンテキストメニューで、信頼するユーザーを追加する方法を選択します。
- [レジストリアクセス監視ルール]ウィンドウで、[OK]をクリックします。
設定されたレジストリアクセス監視ルールは、[レジストリアクセス監視 / レジストリアクセス監視のプロパティ]ウィンドウの[レジストリアクセス監視ルール]ブロックに表示されます。