監視ルールの設定

監視ルールは、設定されたルールのリストの位置に沿って、連続して適用されます。

監視範囲を追加するには：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 単一の保護対象デバイスに対してアプリケーションを設定するには、［デバイス］タブを選択して、［アプリケーションの設定］ウィンドウを開きます。

     Kaspersky Security Center のアクティブポリシーがデバイスに適用され、アプリケーションの設定の変更がブロックされている場合、［アプリケーションの設定］ウィンドウでこれらの設定を編集することはできません。

4. ［システム監査］セクションの［レジストリアクセス監視］サブセクションで、［設定］をクリックします。

   ［レジストリアクセス監視］ウィンドウが表示されます。

5. ［範囲内のレジストリ操作を監視する］セクションで、［追加］をクリックします。
6. ［レジストリアクセス監視領域］ウィンドウで、サポートされているマスクを使用してパスを指定し、監視範囲を追加します。

   パスを入力する際に、マスクとして ？ と * を使用できます。

   ルートレジストリキーへのパスを入力する場合は、「HKEY_USERS」のように、マスクを使わずに完全パスで指定してください。以下は、有効なルートレジストリキーのリストです：

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   ルールの作成時は、ルートキーにサポートされているマスクを使用しないでください。
   HKEY_CURRENT_USER などのルートキーのみを指定するか、HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーのみを指定すると、指定された子キーのアドレス指定に関する大量の通知が生成され、システムパフォーマンスに問題が生じます。HKEY_CURRENT_USER などのルートキー、または HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーを指定し、［ルールに基づき操作をブロック］モードをオンにすると、システムは OS の機能に必要なキーの読み取りや変更ができずに応答できなくなります。

7. ［追加］タブで、必要に応じて処理のリストを設定します。
8. 特定の［レジストリ値］を監視する場合、次の操作を行います：
   • ［レジストリ値］タブで、［追加］をクリックします。
   • ［レジストリ値のルール］ウィンドウで、［管理対象の操作］を入力し、［管理対象の操作］を設定します。
   • ［OK］をクリックして、変更内容を保存します。
9. ［信頼するユーザー］を定義するには、次の操作を行います：
   • ［信頼するユーザー］タブで、［追加］をクリックします。
   • ［ユーザーまたはグループの選択］ウィンドウで、定義された処理の実行を許可するユーザーまたはユーザーグループを選択します。
   • ［OK］をクリックして、変更内容を保存します。

   既定では、Kaspersky Embedded Systems Security においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを生成します。信頼するユーザーの場合、統計が収集されます。

10. ［レジストリアクセス監視領域］ウィンドウで［OK］をクリックします。

指定したルール設定は、［レジストリアクセス監視］タスクの定義した監視範囲にすぐに適用されます。