关于USB入口规则

wfl5201314

linjuncpu 发表于 2014-7-2 22:42
理解有误吧？是除CDEFJ盘外的任意盘无法读取任何文件。。。
如果是Explorer.exe读取G盘，这个还是可以 ...

明天给你上传  还请大侠帮忙看看

wfl5201314

linjuncpu 发表于 2014-7-2 22:42
理解有误吧？是除CDEFJ盘外的任意盘无法读取任何文件。。。
如果是Explorer.exe读取G盘，这个还是可以 ...

规则名称：U盘入口控制
要包含的进程：*
要排除的进程：*\C:\**,D:\**,E:\**,F:\**,J:\**
要阻止的文件或文件夹名：*
要禁止的文件操作：读取 写入 执行 创建
阻挡
   


要禁止的文件操作：读取 写入 执行 创建
阻挡                                         这里的执行是什么意思呀

shiyuelaohu

勾选报告，然后看看有没有触红日志，我记得应该要排除system的。

cocabean

wfl5201314 发表于 2014-7-2 22:54
规则名称：U盘入口控制
要包含的进程：*
要排除的进程：*\C:\**,D:\**,E:\**,F:\**,J:\**

比如说explorer进程（C盘中的，已经被排除）执行了G盘中的某个可执行文件，这个可执行文件所对应进程的就触红了此条规则。。。

wfl5201314

linjuncpu 发表于 2014-7-2 22:59
比如说explorer进程（C盘中的，已经被排除）执行了G盘中的某个可执行文件，这个可执行文件所对应进程的就 ...

哦  是 这样呀   也就是说除了排除的盘以外，其他的盘只要执行什么文件就触红是吧  呵呵

wfl5201314

shiyuelaohu 发表于 2014-7-2 22:57
勾选报告，然后看看有没有触红日志，我记得应该要排除system的。

要排除这个SYSTEM   的正确排除法该怎么写呀

shiyuelaohu

wfl5201314 发表于 2014-7-2 23:46
要排除这个SYSTEM   的正确排除法该怎么写呀

直接排除system就是，跟其他的一样。

cocabean

wfl5201314 发表于 2014-7-2 23:45
哦  是 这样呀   也就是说除了排除的盘以外，其他的盘只要执行什么文件就触红是吧  呵呵

是没有被排除盘的进程执行读取。。。等操作任何文件都会触红
排除system进程，包含的进程那里可以改成*·*

wfl5201314

linjuncpu 发表于 2014-7-2 22:42
理解有误吧？是除CDEFJ盘外的任意盘无法读取任何文件。。。
如果是Explorer.exe读取G盘，这个还是可以 ...

2014/7/2        12:20:27        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        C:\Windows\System32\drivers\USBSTOR.SYS        用户定义的规则:防U盘入口规则        已阻止的操作: 执行

wfl5201314

日志里就是显示这个