Ansichten:
Hinweis
Hinweis
Das Modul zur Integritätsüberwachung durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichtung der Integritätsüberwachung.
Das RegistryKeySet-Tag beschreibt eine Gruppe von Schlüsseln in der Registrierung (nur Windows).

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
Basis
Legt den Basisschlüssel des RegistryKeySet fest. Alles andere im Tag ist relativ zu diesem Schlüssel. Der Basiswert muss mit einem der folgenden Registrierungszweignamen beginnen:
  • HKEY_CLASSES_ROOT (oder HKCR)
  • HKEY_LOCAL_MACHINE (oder HKLM)
  • HKEY_USERS (oder HKU)
  • HKEY_CURRENT_CONFIG (oder HKCC)
Ja
N/A
Zeichenfolgenwerte, die zu einem syntaktisch gültigen Registrierungsschlüsselpfad aufgelöst werden
Hinweis
Hinweis
Der Agent läuft als Dienst mit dem Local System-Konto, daher ist HKEY_CURRENT_USER bedeutungslos. Der HKCU-Zweig der Registrierung ist nur für einen interaktiv angemeldeten Benutzer gültig und spezifisch für diesen Benutzer. In einer Windows-Terminalserver-Umgebung oder auf Windows XP und Vista mit "schnellem Benutzerwechsel" aktiviert, könnten mehrere verschiedene Benutzer gleichzeitig angemeldet sein. Aus diesem Grund wird der Agent sagen, dass jede Regel mit HKEY_CURRENT_USER ein Kompilierungsfehler ist.
Unter HKEY_USERS befinden sich mehrere Unterschlüssel, die mit der numerischen Form der Windows-Benutzerkonto-ID benannt sind. Wenn sich ein Benutzer anmeldet, wird einer dieser Unterschlüssel während der Anmeldesitzung des Benutzers auf HKCU abgebildet.
Tipp
Tipp
Regeln dürfen HKEY_USERS in ihrer Basis verwenden, um Registry-Elemente pro Benutzer zu überwachen. Diese Regeln könnten jedoch viele Einträge abgleichen. Der ...\Software\Classes-Zweig ist sehr groß, insbesondere unter HKLM, daher sollten Sie versuchen, Regeln zu vermeiden, die alle Software\Classes durchlaufen müssen.

Entitätsattributsatz

Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht werden können.
  • Besitzer
  • Gruppe
  • Berechtigungen
  • LastModified ("LastWriteTime" in Windows-Registrierungsterminologie)
  • Class
  • SecurityDescriptorSize

Kurzzeichenattribute

  • STANDARD: Gruppe, Besitzer, Berechtigungen, Zuletzt geändert

Bedeutung von "Schlüssel"

Registrierungsschlüssel werden hierarchisch in der Registrierung gespeichert, ähnlich wie Verzeichnisse in einem Dateisystem. Für die Zwecke dieser Sprache wird der "Schlüsselpfad" zu einem Schlüssel als ähnlich dem Pfad zu einem Verzeichnis betrachtet. Zum Beispiel sieht der "Schlüsselpfad" zum "Deep Security Agent"-Schlüssel des Agents so aus:
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent
Der "Schlüssel"-Wert für Einschlüsse und Ausschlüsse im RegistryValueSet wird mit dem Schlüsselpfad abgeglichen. Dies ist ein hierarchisches Muster, bei dem Abschnitte des Musters, die durch "/" getrennt sind, mit Abschnitten des Schlüsselpfads abgeglichen werden, die durch "" getrennt sind.

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungs-Regelsprache für eine allgemeine Beschreibung der erlaubten Attribute und Unterelemente von Include.