- Class Registry: indica que esta regla está relacionada con solicitudes enviadas a IIS.
- Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas, cada una de ellas deberá utilizar el mismo ID.
- level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.
- value { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }: Indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la regla tuviera que cubrir varios valores, se deberían agregar en esta sección en líneas diferentes.
- time { Include "*" }: Esta sección no se utiliza actualmente, aunque debe incluirse de esta forma en la regla.
- application { Include "*" }: Indica que esta regla es válida para todos los procesos. Si deseara limitar la regla a procesos específicos, se deben escribir aquí, junto con el nombre de su ruta de acceso.
- user_name { Include "*" }: Indica que esta regla es válida para todos los usuarios (o más concretamente, el contexto de seguridad en el que se ejecuta un proceso). Si deseara limitar la regla a contextos de usuarios específicos, debe indicarlos aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes obligatorias” para obtener más información.
- directives -c -d registry:delete: Indica que esta regla cubre la eliminación de una clave o valor del Registro. Los modificadores –c y –d siempre deben utilizarse en la sección directives.