Sobre as regras de monitoramento do registro do sistema
A tarefa Monitor de acesso ao registro é executada de acordo com as regras de monitoramento do registro do sistema. É possível utilizar os critérios para acionamento de regras para configurar as condições que acionam a tarefa e definir o nível de importância de eventos detectados e registrados no log de tarefas.
Uma regra de monitoramento do registro do sistema é especificada para cada escopo de monitoramento.
É possível configurar os seguintes critérios para acionamento de regras:
- Ações
- Valores de registro
- Usuários confiáveis
Ações
Quando a tarefa Monitor de acesso ao registro é iniciada, o Kaspersky Embedded Systems Security utiliza uma lista de ações para monitorar o registro (veja a tabela abaixo).
Caso uma ação especificada como um critério para acionamento de regras seja detectada, o aplicativo registra um evento respectivo.
O nível de importância dos eventos registrados em log não depende das ações selecionadas ou do número de eventos.
Por padrão, o Kaspersky Embedded Systems Security considera todas as ações. É possível configurar a lista de ações manualmente nas configurações de regra da tarefa.
Ações
Ação | Restrições | Sistema operacional |
|---|---|---|
Criar a chave |
| Windows XP e posterior |
Excluir a chave | Caso queira excluir uma chave principal, desmarque as opções Excluir a chave e Excluir subchaves na lista de Ações monitoradas para uma chave de registro configurada, pois só é possível excluir a chave principal com subchaves. | Windows XP e posterior |
Renomear a chave | N/A | Windows XP e posterior |
Alterar as configurações da chave de segurança | N/A | Windows Vista e posterior |
Excluir os valores | N/A | Windows XP e posterior |
Definir os valores | Caso queira adicionar Definir os valores na lista de Ações, definir o Nome do valor padrão na regra para uma chave e, a seguir, selecionar Bloquear operações de acordo com as regras, a chave não será criada, porque uma nova chave só pode ser criada com um valor padrão. | Windows XP e posterior |
Criar subchaves | N/A | Windows XP e posterior |
Excluir subchaves | N/A | Windows XP e posterior |
Renomear subchaves | N/A | Windows XP e posterior |
Alterar as configurações de segurança das subchaves | N/A | Windows Vista e posterior |
Valores de registro
Além do monitoramento das chaves de registro, é possível bloquear ou monitorar as alterações dos valores do registro existentes. As seguintes opções estão disponíveis:
- Definir o valor - criar os novos valores de registro ou alterar os valores de registro existentes.
- Excluir o valor - excluir os valores de registro existentes.
A renomeação e a alteração das configurações de segurança não se aplicam aos valores do registro.
Usuários confiáveis
Por padrão, o aplicativo trata todas as ações de usuário como potenciais violações de segurança. A lista de usuários confiáveis está vazia. É possível configurar o nível de importância do evento criando uma lista de usuários confiáveis nas configurações da regra de monitoramento do registro do sistema.
Usuário não confiável é qualquer usuário não indicado na lista de usuário confiável nas configurações da regra de escopo de monitoramento. Caso o Kaspersky Embedded Systems Security detecte uma ação realizada por um usuário não confiável, a tarefa Monitor de acesso ao registro registra um evento crítico no log de tarefas.
Usuário confiável é um usuário ou grupo de usuários autorizados a realizar ações dentro do escopo de monitoramento especificado. Caso o Kaspersky Embedded Systems Security detecte uma ação realizada por um usuário confiável, a tarefa de Monitor de Acesso ao Registro registrará um evento informativo no log de tarefas.