Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte „Erweiterte Details“ von Ereignissen für die Klasse Registry angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird.

Name der graphischen Benutzeroberfläche
Erklärung
Registry Key
Name des betroffenen Registrierungsschlüssels, einschließlich des Pfadnamens. Das Präfix \REGIS-TRY\MACHINE\ steht für HKEY_LOCAL_MACHINE\, und \REGISTRY\CURRENT_USER\ steht für \HKEY_USER\.
Registry Value(s)
Name des Registrierungswertes, verkettet mit dem vollständigen Schlüsselnamen.
old data
Gilt nur für Änderungen des Registrierungswertes: Daten, die ein Registrierungwert enthielt, bevor er geändert wurde oder ein Änderungsversuch durchgeführt wurde.
New Data
Gilt nur für Änderungen des Registrierungswertes: Daten, die ein Registrierungwert enthält, nachdem er geändert wurde oder die er enthalten würde, wenn die Änderungen akzeptiert werden.
old data type
Gilt nur für Änderungen des Registrierungswertes: Datentyp, den ein Registrierungswert enthält, bevor er geändert wird oder ein Änderungsversuch durchgeführt wurde.
new data type
Gilt nur für Änderungen von Registrierungswerten: Datentyp, den ein Registrierungwert enthalten würde nach einer Änderung oder den er enthalten würde, wenn die Änderung akzeptiert wird.

Beispiel

Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess den Registrierungswert „abc“ unter dem Registrierungsschlüssel „\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa“ löscht

Rule {

Class Registry

Id 4001

level 1

value { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }

time { Include "*" }

application { Include "*" }

user_name { Include "*" }

directives -c -d registry:delete

}

Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung:

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.