咖啡防入口通用型规则包【7月19更新】

深红的雪

那个只是尝试性的加入，算是一个排除示例吧
至于2000不能导入的问题，由于手头没有2000系统，所以无法测试，抱歉

wccs

是答复我吗？谢谢楼主！就是看着禁止格式化的那条感到恐怖！

ciyici

我的优盘或者读卡器插入就显示未格式化，不知道是什么原因，好像也为见红。装了规则以后，家里和单位都是这样。

ciyici

我的优盘或者读卡器插入就显示未格式化，不知道是什么原因，好像也为见红。装了规则以后，家里和单位都是这样。，刚才发现用精简版的规则不会出现这样的问题。

jone_jys

版主的规则里面好像也没有防止“影像劫持”吧！ 邪邪的规则也没有，难道是不需要？还是有其它的规则代替了？

viso1985

学习了，谢谢

minle

谢谢，下载了

jone_jys

气流！你好！
关于标题的规则，是否可以排除SYSTEM呢？或者将包含的进程改为*.*  

具体规则为：
UserString UR4 "A35 禁止执行的后缀"
UserEnforce UR4 1
UserReport UR4 1
UserProcess UR4 {Include *;Exclude *.com *.exe *.mp *.scr *.tmp}
UserRule UR4 G_User {File X { Include * }

下面是我的触犯日志记录：（只有装风云墙后会触犯规则）
2008-8-20 13:43:15 已由访问保护规则禁止  NT AUTHORITY\SYSTEM SYSTEM C:\WINDOWS\system32\ntdll.dll 用户定义的规则:ZDY080811禁止非常用的后缀名文件进行操作 已阻止的操作: 执行

jone_jys

气流！你好！

关于A01规则需要加入排除项：\SystemRoot\System32\smss.exe

如果有多用户同时使用的话！需要新增上面的排除，若只有单用户则不用排除的 请核实！谢谢

2008-8-20 22:19:28 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe C:\WINDOWS\System32\win32k.sys 用户定义的规则:禁止非本地文件操作（防U盘加强） 已阻止的操作: 读取
2008-8-20 22:22:53 将由访问保护规则 (当前不强制执行规则) 禁止  NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe C:\WINDOWS\System32\win32k.sys 用户定义的规则:禁止非本地文件操作（防U盘加强） 已阻止的操作: 读取

[ 本帖最后由 jone_jys 于 2008-8-20 22:39 编辑 ]

深红的雪

\SystemRoot\System32\smss.exe的确需要排除，因为多用户登陆时是由smss.exe创建会话的
以前没有注意到这个问题，多谢提醒

至于A35，可以加入SYSTEM排除，但不要将包含的进程改为*.*，因为这样会把无后缀的进程漏过