CA ControlMinder 在以下键下维护其使用的驱动程序设置:
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv
FsiDrv 注册表键包含以下注册表项:
定义来自同一个源的两个连续审核事件之间的最短时间(秒)。 CA ControlMinder 不会记录来自在此时段内发生的相同源的连续事件的审核消息。
默认值:0(记录所有审核事件)
指定是否禁用整个文件的批处理 OpLocks(操作锁定)。 禁用(值是零)时,驱动程序收集 100% 的文件访问的审核信息,但性能会降低。 非零值保持批处理 OpLocks 定期操作(启用)并提高性能,但可能提供不完整的审核信息(可能不包括访问相关文件的尝试)。
注意:您必须重新加载驱动程序才能使用新的设置。 停止 CA ControlMinder (secons -s) 之后卸载驱动程序 (net stop seosdrv)。
默认值:1(启用)
定义要添加到跳过列表中的驱动程序数量。
类型:REG_DWORD
默认值:0
定义 seosdrv 内核内存缓存限制大小(兆字节)。
类型:REG_DWORD
限制:8 - 64
默认值:16
使用以下格式定义时间戳测量解析:a:1000。
类型:DWORD
限制:1 - 1000(十进制)
默认值:100
驱动程序的位置。
默认值:system_drive\Windows_path\system32\drivers
定义要跳过的驱动程序名称,例如 thisdrv.sys。
值:drvNumber-从 0 到 BypassDriversCount - 1 的数。
类型:REG_SZ
限制:49 个字符。
注意:为要跳过的每个驱动程序创建一个注册表项并确认 BypassDriversCount 指定定义的驱动程序数。
指定 CA ControlMinder 跟踪所有内核模式线程,该线程由创建系统线程的其他产品所创建,例如:Trend Micro™ PC-cillin Antivirus。
注意:启用此注册表值可引起性能的问题。 建议在您启用该注册表值前先联系 CA Technologies。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
类型:REG_DWORD
默认值:0(禁用)
启用或禁用常规文件缓存的切换。
值:0-启用常规文件缓存,1-禁用常规文件缓存
默认值:0
指定是否禁用漏洞保护,它可以保护 CA ControlMinder 免受应用程序(如可能关闭其句柄的过程监视器 (procmon.exe))的侵害。
值:0-启用漏洞保护;1-禁用漏洞保护。
默认值:0
定义审核队列限制。 队列长度超过此限制时,CA ControlMinder 会故意降低生成审核事件的线程的速度。 这样一来,它可以读取队列并写入到日志文件中,比将新项目添加到队列要快一些。
注意:将新项添加到队列比 CA ControlMinder 可以读取并处理他们快时,系统的内存可能会耗尽。
默认值:200
在触发驱动程序跳过之前,定义 CA ControlMinder 检测的连续超时的数目。 一旦到达此数目,驱动程序会停止将授权请求发送给授权引擎,直到引擎表示准备就绪处理事件。
零值禁用该跳过。
默认值:5
在 IRQL 的调度的已拦截网络事件期间定义驱动程序响应。
值:0、1
默认值:
等待 seosd 响应的最长时间(秒)。
默认值:10
超时之后的驱动程序响应。
默认值:0(拒绝)
启用或禁用常规注册表缓存的切换。
值:0-启用常规注册表缓存,1-禁用常规注册表缓存
默认值:0
与队列超时相比定义累积的授权超时范围。
类型:DWORD
值:70 - 99
默认值:70
以行分隔的用户名,可以维护模式 (SilentModeEnabled =1) 管理计算机。
无默认值
确定维护模式是否为活动状态 (1)。
默认值:0(禁用)
指定 CA ControlMinder 是否跳过系统进程的访问权限检查。 默认情况下,CA ControlMinder 不会将系统进程视为受信任,因此不会跳过系统进程的访问权限检查。
值:0-跳过访问权限检查;1-不跳过访问权限检查。
默认值:1
与队列超时值相比定义累积的授权超时范围。 例如,如果驱动程序授权队列包含 15 个事件,且平均处理时间为 0.1 秒,则累计的授权超时为 1.5 秒,表示 10 秒的 15%。 在黄色范围下的值将该状态设置为绿色。 在黄色范围上的值将该状态设置为红色。
类型:DWORD
值:20-50
默认值:40
|
版权所有 © 2013 CA。
保留所有权利。
|
|