レジストリアクセス監視ルールの作成と設定

レジストリアクセス監視ルールは、［レジストリアクセス監視ルール］ブロックにリストされている順序で適用されます。

Web プラグインを使用してレジストリアクセス監視ルールを作成および設定するには：

1. Kaspersky Security Center Web コンソールのメインウィンドウで、［デバイス］→［ポリシーとプロファイル］の順に選択します。
2. 設定するポリシー名をクリックします。
3. 表示されたポリシーのプロパティウィンドウで、［アプリケーションの設定］タブを選択します。
4. ［システム監査］セクションを選択します。
5. ［レジストリアクセス監視］サブセクションで、［設定］をクリックします。

   表示される［レジストリアクセス監視］ウィンドウで、［レジストリアクセス監視の設定］タブを開きます。

6. ［レジストリアクセス監視ルール］ブロックで、［追加］をクリックします。

   ［レジストリアクセス監視ルール］ウィンドウが表示されます。

7. ［範囲内のレジストリへのアクセスを監視する］フィールドに、サポートされているマスクを使用してパスを入力します。

   パスを入力する際に、マスクとして ？ と * を使用できます。

   ルートレジストリキーへのパスを入力する場合は、「HKEY_USERS」のように、マスクを使わずに完全パスで指定してください。以下は、有効なルートレジストリキーのリストです：

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   ルールの作成時は、ルートキーにサポートされているマスクを使用しないでください。
   HKEY_CURRENT_USER などのルートキーのみを指定するか、HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーのみを指定すると、指定された子キーのアドレス指定に関する大量の通知が生成され、システムパフォーマンスに問題が生じます。
   HKEY_CURRENT_USER などのルートキー、または HKEY_CURRENT_USER\* などのすべての子キーのマスクを持つルートキーを指定し、［ルールに基づき操作をブロック］モードをオンにすると、システムは OS の機能に必要なキーの読み取りや変更ができずに応答できなくなります。

8. 選択した監視領域の［処理］タブで、必要に応じて処理のリストを設定します。
9. ルールが監視するレジストリ値を指定します：
   1. ［管理対象の値］タブで、［追加］をクリックします。

      ［レジストリ値のルール］ウィンドウが開きます。

   2. 対応するフィールドに、レジストリ値マスクを入力します。
   3. ［管理対象の操作］ブロックで、レジストリ値に対して実行されたどの操作をルールによって監視するかを選択します。
   4. ［OK］をクリックして、変更内容を保存します。
10. 必要に応じて、信頼するユーザーを指定します。
    1. ［信頼するユーザー］タブで、［追加］をクリックします。
    2. ［ユーザー名］を入力するか［セキュリティ識別子（SID）をグループ Everyone に設定］をクリックし、選択した処理の実行を許可するユーザーを定義します。
    3. ［OK］をクリックして、変更内容を保存します。

    既定では、Kaspersky Embedded Systems Security for Windows においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを生成します。信頼するユーザーの場合、統計が収集されます。

11. ［レジストリアクセス監視ルール］ウィンドウで、 ［OK］をクリックして変更を保存します。

設定されたレジストリアクセス監視ルールは［レジストリアクセス監視］ウィンドウの［レジストリアクセス監視ルール］ブロックに表示されます。