システム変更監視ルールの作成と編集

ファイルとフォルダー、レジストリキー、値に対して、監視の範囲および監視の範囲からの除外リストを作成することで、システム変更監視ルールを作成できます。システム変更監視ルールを作成またはインポートした後で、必要に応じてルールの設定を変更できます。

Kaspersky Security Center で、システム変更監視ルールを作成または編集するには：

1. Kaspersky Security Center 管理コンソールを開きます。
2. コンソールツリーの［管理対象デバイス］フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
3. 作業領域で、［ポリシー］タブを選択します。
4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
5. ポリシーのプロパティウィンドウで、左のリストから［システム変更監視］セクションを選択します。
6. ウィンドウの右側で、次のいずれかのセクションの［ファイルとレジストリを監視する］チェックボックスの右側にある［設定］をクリックします：
   • ［システム変更監視の範囲］セクション（リアルタイムでのシステム変更監視ルールを設定する場合）。
   • ［システム変更チェックの範囲］セクション（システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合）。
7. 表示される［システム変更監視］ウィンドウで、次のいずれかの動作を実行します：
   • システム変更監視ルールを作成する場合は、ルールのリストの上にある［追加］をクリックします。
   • システム変更監視ルールを編集するには、リストからルールを選択し、［編集］をクリックします。
8. 表示される［システム変更監視ルール］ウィンドウでルール名を入力し、このルールの適用時にシステム変更監視が生成するイベントの重要度を選択します。既定では、［情報］イベントが生成されます。
9. ［ファイル］タブでファイルとフォルダーの監視範囲を設定します。

   Kaspersky Security が変更を監視するファイルまたはフォルダーを追加するには：

   1. ［ファイル］タブの［監視の範囲］の上にある［追加］をクリックします。
   2. 表示される［ファイルまたはフォルダー］ウィンドウで、監視対象とするフォルダーの絶対パス、またはパスのマスクを入力します。

      パスのマスクを入力する場合、パスの任意の部分で次の文字を使用できます：

      • 「*」文字は \ / : 以外の文字を表すことができます。加えて：
        • 「*」がパスの要素全体の名前を示すために使用されている場合（たとえば、フォルダー名を示すための /*/）、1 文字以上の文字列を表すことができます。
        • 「*」がパス要素の名前の一部を示すために使用されている場合（たとえば、フォルダー名の一部を示すための /abc*/）、0 文字以上の文字列を表すことができます。
      • 「?」は任意の 1 文字と置き換えることができます。

      フォルダーのパスの入力では、環境変数を使用できます。環境変数名の前後に「%」を入力する必要があります。

   3. 指定されたフォルダー内のファイルの変更を監視する必要がある場合は、［ファイル名またはファイルマスク］でファイル名またはファイルのマスクを入力します。

      マスクを入力する場合、次の文字を使用できます：

      • * - ゼロ文字以上の文字列を表します。\ / : 以外の任意の文字列を表します：
      • ? は任意の単一文字を表します

      下位のフォルダー内の指定されたファイルに対する変更も監視する場合は、［サブフォルダー内のファイルを含める］をオンにします。

   4. ［ファイルまたはフォルダー］ウィンドウで［OK］をクリックします。

   ファイルまたはフォルダーのパスが、［監視の範囲］のパスのリストに表示されます。

   Kaspersky Security は、リアルタイムでのシステム変更監視の開始時点（ポリシーが適用された時、またはリアルタイムでのシステム変更監視が有効になった時）に接続されているドライブ上のファイルやフォルダーの変更のみを監視します。リアルタイムでのシステム変更監視の開始時点でドライブがパワーオンの状態でなかった場合、そのドライブ上のファイルやフォルダーの変更は、ファイルやフォルダーが監視範囲に追加された場合でも、監視されません。

   リストでキーワード検索を実行し、［削除］を使用して、リストからファイルとフォルダーを削除できます。

10. 必要に応じて、監視の範囲から除外されるファイルまたはフォルダーのパスのリストを同じように設定できます。Kaspersky Security は、［除外リスト］でパスのリストに追加されているファイルとフォルダーの変更を監視しません。

    除外のリストを設定するには、［ファイル］タブの［除外リスト］の上にある［追加］および［削除］を使用します。

11. ［レジストリ］タブでレジストリキーと値の監視範囲を設定します。

    Kaspersky Security が変更を監視するレジストリキーまたはキーのパラメータを追加するには：

    1. ［レジストリ］タブの［監視の範囲］の上にある［追加］をクリックします。

       ［レジストリキー］ウィンドウが表示されます。

    2. 変更を監視する必要があるレジストリキーの名前を入力します。

       HKEY_CURRENT_USER キーはサポートされません。HKEY_USER からのレジストリキーへのパスは次のように指定できます：HKEY_USERS\<ユーザープロファイル ID>\<キー>。

    3. Kaspersky Security でネストされたライセンスも監視する場合は、［ネストされたライセンスを含める］をオンにします。
    4. 指定されたキーのパラメータに対する変更を監視する必要がある場合は、［キーパラメータの名前またはマスク］でパラメータの名前またはマスクを入力します。

       マスクを入力する時に、ワイルドカード *（任意の文字列）および ?（任意の 1 文字）を使用できます。

    5. ［レジストリキー］ウィンドウで［OK］をクリックします。

    キーおよびキーのパラメータの名前（指定された場合）が、［監視の範囲］のキーおよびレジストリの値のリストに表示されます。

    リストでキーワード検索を実行し、［削除］を使用して、リストからキーを削除できます。

12. 必要に応じて、監視の範囲から除外されるキーとレジストリの値のリストを同じように設定できます。Kaspersky Security は、［除外リスト］でパスのリストに追加されるキーとレジストリの値の変更を監視しません。

    除外のリストを設定するには、［レジストリ］タブの［除外リスト］の上にある［追加］および［削除］を使用します。

13. ［システム変更監視ルール］ウィンドウで［OK］をクリックします。

    ルールが、［システム変更監視ルール］ウィンドウのルールのリストに表示されます。

14. ［システム変更監視ルール］ウィンドウで［OK］をクリックします。
15. ［適用］をクリックします。

ローカルインターフェイスで、システム変更監視ルールを作成または編集するには：

1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
2. ウィンドウの左側の［エンドポイントコントロール］セクションで、［システム変更監視］を選択します。

   ウィンドウの右側に、システム変更監視の設定が表示されます。

   ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

3. 次のいずれかの手順を実行します：
   • リアルタイムでのシステム変更監視ルールを設定する場合は、［システム変更監視の設定］の上の［ファイルとレジストリを監視する］の右側にある［設定］をクリックします。
   • システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合は、［システム変更監視の設定］の上の［ファイルとレジストリを監視する］の右側にある［設定］をクリックします。

   ［システム変更監視ルール］ウィンドウが表示されます。

4. 前述の手順のうち、ステップ 7 ～ 14 を実行します。
5. 変更内容を保存するには［保存］をクリックします。