楼主: jxfaiu
收起左侧

[讨论] mcafee企业版自定义的控制规则

[复制链接]
jxfaiu
 楼主| 发表于 2012-9-16 23:07:24 | 显示全部楼层
本帖最后由 jxfaiu 于 2012-9-16 23:08 编辑
462588842 发表于 2012-9-16 22:52
我主要就是想问, System这个有没有你那有红吗?


有触红不影响使用我绝不排除,比如:
2012-9-16        23:03:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log        用户定义的规则:FD19 禁止未授权程序进行文件操作(请自行添加光驱到排除项)        已阻止的操作: 写入
我是不排除的,尤其是控制规则。
shiyuelaohu
发表于 2012-9-16 23:08:04 | 显示全部楼层
jxfaiu 发表于 2012-9-16 22:43
禁止读取-sys
要包含的进程:*
要排除的进程 :

这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM,你的是administrator,具体为什么我也搞不清楚。如果是NT AUTHORITY\SYSTEM的情况下,有时排除是无用的,只能是将*改为*.*。
jxfaiu
 楼主| 发表于 2012-9-16 23:11:01 | 显示全部楼层
本帖最后由 jxfaiu 于 2012-9-16 23:13 编辑
shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM,你的是administrator,具体为什么我也搞不清楚。如果是 ...


系统的关系吧,以前不管,现在加的规则有条件都要测试一次。
462588842
发表于 2012-9-16 23:15:10 | 显示全部楼层
jxfaiu 发表于 2012-9-16 23:07
有触红不影响使用我绝不排除,比如:
2012-9-16        23:03:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM ...

有触红不影响使用我绝不排除

用mcafee就应该有你这样的勇气。。牛x

我做不到
462588842
发表于 2012-9-16 23:16:37 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM,你的是administrator,具体为什么我也搞不清楚。如果是 ...

*。*除了端口规则其他我全用*

对了。要8.8P1+才行
jxfaiu
 楼主| 发表于 2012-9-16 23:17:44 | 显示全部楼层
462588842 发表于 2012-9-16 23:15
有触红不影响使用我绝不排除

用mcafee就应该有你这样的勇气。。牛x

不敢当,我现在又还原了XPsp2,XPsp3用着有点不适应,主要是规则。
jxfaiu
 楼主| 发表于 2012-9-16 23:24:53 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM,你的是administrator,具体为什么我也搞不清楚。如果是 ...

2012-9-16        23:03:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log        用户定义的规则:FD19 禁止未授权程序进行文件操作(请自行添加光驱到排除项)        已阻止的操作: 写入
System我在不影响使用触红我是不排除的,比如上面“禁止未授权程序进行文件操作(请自行添加光驱到排除项)”
462588842
发表于 2012-9-16 23:39:02 | 显示全部楼层
jxfaiu 发表于 2012-9-16 23:24
2012-9-16        23:03:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System    ...

比如上面“禁止未授权程序进行文件操作(请自行添加光驱到排除项)”

这个是什么意思?、能解释 下吗
jxfaiu
 楼主| 发表于 2012-9-16 23:58:57 | 显示全部楼层
本帖最后由 jxfaiu 于 2012-9-17 00:11 编辑
462588842 发表于 2012-9-16 23:39
比如上面“禁止未授权程序进行文件操作(请自行添加光驱到排除项)”

这个是什么意思?、能解释 下吗


  NT AUTHORITY\SYSTEM        System系统最高权限的帐户(由系统自己控制;如部分Scvhost.exe进程)
2012-9-16        23:03:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log        用户定义的规则:FD19 禁止未授权程序进行文件操作(请自行添加光驱到排除项)        已阻止的操作: 写入
就“禁止未授权程序进行文件操作(请自行添加光驱到排除项)”规则根据以上日志排除: System ,才不触红

规则名称:禁止非信任Windows进程访问文件
要包含的进程:C:\Windows\**
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称:禁止执行Windows进程
要包含的进程:*
要排除的进程:c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe,  C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明:C:\Windows\**.exe
要禁止的文件操作:执行

以上两条规则就是对系统进程进行控制。因为Scvhost.exe进程最容易被木马利用,所以没排除Scvhost.exe进程
462588842
发表于 2012-9-17 00:07:49 | 显示全部楼层
jxfaiu 发表于 2012-9-16 23:58
NT AUTHORITY\SYSTEM        System系统最高权限的帐户(由系统自己控制;如部分Scvhost.exe进程)
...

是不是说这个System可根据自己情况选择排除?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:15 , Processed in 0.105040 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表