Detalles avanzados

En la ficha Detalles avanzados de los eventos de la clase Registry aparecen algunos o todos los siguientes parámetros. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

Nombre en la GUI
explicación
Registry Key
Nombre de la clave del Registro afectada, incluido el nombre de la ruta de acceso. El prefijo \REGIS-TRY\MACHINE\ representa HKEY_LOCAL_MACHINE\, y \REGISTRY\CURRENT_USER\ representa \HKEY_USER\.
Registry Value(s)
Nombre del valor del Registro concatenado con el nombre completo de su clave.
old data
Sólo aplicable para cambios de los valores del Registro: datos que contenía un valor del Registro antes de que se cambiaran o se intentaran cambiar.
New Data
Sólo aplicable para cambios de los valores del Registro: datos que un valor del Registro contiene después de haberse cambiado o que contendría si el cambio se realizara.
old data type
Sólo aplicable para cambios de los valores del Registro: tipo de datos que un valor del Registro contenía antes de cambiarse o de que se intentaran cambiar.
new data type
Sólo aplicable para cambios de los valores del Registro: tipo de datos que un valor del Registro contendría después de cambiarse o si el cambio se realizara.

Ejemplo

La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”

Rule {

Class Registry

Id 4001

level 1

value { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }

time { Include "*" }

application { Include "*" }

user_name { Include "*" }

directives -c -d registry:delete

}

Las diversas secciones de esta regla tienen el siguiente significado:

Copyright © 2005 McAfee, Inc. Reservados todos los derechos.