mcafee企业版自定义的控制规则

显示全部楼层 · 发表于 2012-9-16 23:07:24

本帖最后由 jxfaiu 于 2012-9-16 23:08 编辑

462588842 发表于 2012-9-16 22:52
我主要就是想问, System这个有没有你那有红吗？

有触红不影响使用我绝不排除，比如：
2012-9-16 23:03:44 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log 用户定义的规则:FD19 禁止未授权程序进行文件操作（请自行添加光驱到排除项）已阻止的操作: 写入
我是不排除的，尤其是控制规则。

显示全部楼层 · 发表于 2012-9-16 23:08:04

jxfaiu 发表于 2012-9-16 22:43
禁止读取-sys
要包含的进程：*
要排除的进程 :

这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM，你的是administrator，具体为什么我也搞不清楚。如果是NT AUTHORITY\SYSTEM的情况下，有时排除是无用的，只能是将*改为*.*。

显示全部楼层 · 发表于 2012-9-16 23:11:01

本帖最后由 jxfaiu 于 2012-9-16 23:13 编辑

shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM，你的是administrator，具体为什么我也搞不清楚。如果是 ...

系统的关系吧，以前不管，现在加的规则有条件都要测试一次。

显示全部楼层 · 发表于 2012-9-16 23:15:10

jxfaiu 发表于 2012-9-16 23:07
有触红不影响使用我绝不排除，比如：
2012-9-16 23:03:44 已由访问保护规则禁止 NT AUTHORITY\SYSTEM ...

有触红不影响使用我绝不排除

用mcafee就应该有你这样的勇气。。牛x

我做不到

显示全部楼层 · 发表于 2012-9-16 23:16:37

shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM，你的是administrator，具体为什么我也搞不清楚。如果是 ...

*。*除了端口规则其他我全用*

对了。要8.8P1+才行

显示全部楼层 · 发表于 2012-9-16 23:17:44

462588842 发表于 2012-9-16 23:15
有触红不影响使用我绝不排除

用mcafee就应该有你这样的勇气。。牛x

不敢当，我现在又还原了XPsp2,XPsp3用着有点不适应，主要是规则。

显示全部楼层 · 发表于 2012-9-16 23:24:53

shiyuelaohu 发表于 2012-9-16 23:08
这里不是系统最高权限的帐户NT AUTHORITY\SYSTEM，你的是administrator，具体为什么我也搞不清楚。如果是 ...

2012-9-16 23:03:44 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log 用户定义的规则:FD19 禁止未授权程序进行文件操作（请自行添加光驱到排除项）已阻止的操作: 写入
System我在不影响使用触红我是不排除的，比如上面“禁止未授权程序进行文件操作（请自行添加光驱到排除项）”

显示全部楼层 · 发表于 2012-9-16 23:39:02

jxfaiu 发表于 2012-9-16 23:24
2012-9-16 23:03:44 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System ...

比如上面“禁止未授权程序进行文件操作（请自行添加光驱到排除项）”

这个是什么意思？、能解释下吗

显示全部楼层 · 发表于 2012-9-16 23:58:57

本帖最后由 jxfaiu 于 2012-9-17 00:11 编辑

462588842 发表于 2012-9-16 23:39
比如上面“禁止未授权程序进行文件操作（请自行添加光驱到排除项）”

这个是什么意思？、能解释下吗

  NT AUTHORITY\SYSTEM       System系统最高权限的帐户（由系统自己控制；如部分Scvhost.exe进程）
2012-9-16       23:03:44       已由访问保护规则禁止       NT AUTHORITY\SYSTEM       System       C:\WINDOWS\System32\LogFiles\HTTPERR\httperr1.log       用户定义的规则:FD19 禁止未授权程序进行文件操作（请自行添加光驱到排除项）       已阻止的操作: 写入
就“禁止未授权程序进行文件操作（请自行添加光驱到排除项）”规则根据以上日志排除： System ，才不触红

规则名称：禁止非信任Windows进程访问文件
要包含的进程：C:\Windows\**
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称：禁止执行Windows进程
要包含的进程：*
要排除的进程：c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe,  C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明：C:\Windows\**.exe
要禁止的文件操作：执行

以上两条规则就是对系统进程进行控制。因为Scvhost.exe进程最容易被木马利用，所以没排除Scvhost.exe进程

显示全部楼层 · 发表于 2012-9-17 00:07:49

jxfaiu 发表于 2012-9-16 23:58
NT AUTHORITY\SYSTEM System系统最高权限的帐户（由系统自己控制；如部分Scvhost.exe进程）
...

是不是说这个System可根据自己情况选择排除？

[讨论] mcafee企业版自定义的控制规则