RegistryKeySet
RegistryKeySet 标记描述了注册表中的一组项(仅限 Windows)。
标记属性
相对于完整性监控规则所监控的实体的属性,以下属性是标记本身的 XML 属性。
| 属性 | 描述 | 必需 | 缺省值 | 允许值 |
| base | 设置 RegistryKeySet 的基本项。该标记中的所有其他内容都与此项有关。基本项必须以下列注册表分支名称之一开头: HKEY_CLASSES_ROOT(或 HKCR)、 HKEY_LOCAL_MACHINE(或 HKLM)、 HKEY_USERS(或 HKU)、 HKEY_CURRENT_CONFIG(或 HKCC) |
是 | N/A | 解析为语法上有效的注册表项路径的字符串值 |
实体集属性
以下是可由完整性监控规则监控的实体的属性。
- Owner
- Group
- Permissions
- LastModified(Windows 注册表术语中的 "LastWriteTime")
- Class
- SecurityDescriptorSize
速记属性
- STANDARD:Group、Owner、Permissions、LastModified
"Key" 的含义
注册表项以层次结构形式存储在注册表中,与文件系统中的目录非常相似。就该语言而言,某项的“项路径”可理解为相当于目录的路径。例如,客户端的“趋势科技服务器深度安全防护系统客户端”项的“项路径”为:
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\趋势科技服务器深度安全防护系统 Agent
RegistryValueSet 的包含和排除 "key" 值与项路径匹配。这是一种层次结构模式,其中由 "/" 分隔的模式部分与由 "\" 分隔的项路径部分相匹配。
子元素
- Include
- Exclude
有关 include 的允许属性和子元素的一般说明,请参阅完整性监控规则语言。
