- Class Registry: Gibt an, dass diese Regel für Anforderungen gilt, die an IIS gesendet werden.
- Id 4001: Weist die ID 4001 dieser Regel zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden.
- level 4: Weist der Regel die Sicherheitsebene „Hoch“ zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden.
- value { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }: Gibt an, dass die Regel den Registrierungswert „abc“ überwacht unter dem Registrierungsschlüssel „\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa“. Wenn die Regel mehrere Werte abdecken soll, müssen Sie diese in diesem Abschnitt in anderen Zeilen hinzufügen.
- time { Include "*" }: Dieser Abschnitt wird gegenwärtig nicht verwendet, muss jedoch auf diese Weise in der Regel enthalten sein.
- application { Include "*" }: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssten diese hier ausgedrückt werden, mit ihrem vollständigen Pfadnamen.
- user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssten diese hier ausgedrückt werden in der Form „Lokal/Benutzer“ oder „Domäne/Benutzer“. Einzelheiten dazu finden Sie im Abschnitt unter „Obligatorische allgemeine Abschnitte“.
- directives -c -d registry:delete: Gibt an, dass diese Regel das Löschen eines Registrierungsschlüssels oder Wertes abdeckt. Die Schalter –c und –d müssen im Abschnitt „directives“ stets verwendet werden.