【SEP】System进程（ntoskrnl.exe)该如何设置防火墙规则？

显示全部楼层 · 发表于 2013-3-1 22:15:29

这个进程似乎有时会接收一些ICMP包，大多数是来源不明的地址，但也有看域名像是symantec的地址。由于这是个系统进程，我也不清楚是干啥的，因此那些连接是干啥的也不清楚（而且系统进程的工作范围似乎很广，以允许似乎就允许了一大堆类型的连接），于是就禁止了访问。
但SEP的日志里总显示信誉检查超时之类，怀疑是不是和ntoskrnl.exe没接收到服务器的ICMP包有关？
所以这里我想问一问ntoskrnl.exe这个进程到底该如何设置防火墙规则比较合适？

显示全部楼层 · 发表于 2013-3-1 23:07:50

http://bbs.kafan.cn/thread-1428716-1-1.html

显示全部楼层 · 发表于 2013-3-2 12:23:03

我之前已经按照那个帖子里对防火墙进行设置了。他在防火墙设置帖里并未提到针对任何特定exe的设置规则，都是全局性的，而在http://bbs.kafan.cn/thread-1424523-1-1.html里提到了对svchost.exe和ntoskrnl.exe全部放行。但在http://bbs.kafan.cn/thread-1424978-1-2.html里（虽然是NIS，但我觉得原理应该通用）则对svchost.exe进行了单独的限制。
我之所以想问问ntoskrnl.exe的设置，主要是考虑到不同于任何普通程序那样有明确的作用，系统进程往往“打包”了一大堆功能，因此我想对其进行诸如http://bbs.kafan.cn/thread-1424978-1-2.html这帖对svchost.exe的设置那样对ntoskrnl.exe进行具体的设置，只保留必要功能而禁止其他的。

显示全部楼层 · 发表于 2013-3-2 13:01:30

去防火墙区问问吧，那里研究墙的比较多

显示全部楼层 · 发表于 2013-3-3 11:55:38

好的，谢谢。

显示全部楼层 · 发表于 2013-3-4 14:25:15

本帖最后由 jxfaiu 于 2013-3-4 14:26 编辑

SEP防火墙中任何一条规则只要在编辑未指定程序就是全局规则，当然包括系统进程：svchost.exe、ntoskrnl.exe及其它进程。

[求助] 【SEP】System进程（ntoskrnl.exe)该如何设置防火墙规则？