Computer Security Policy 组设置的问题。

acmeist

如上图，avgnt.exe和avcenter.exe已经加入了上面的文件组，为什么一运行下面又自动加上了？删掉后，一运行有出来，还有其它文件组也是。这里只截图了avgnt.exe和avcenter.exe。

请问，该如何设置才正确？

yitiaoxiaohe

设置无误。毛豆的设定如此。
你的Computer Security Policy组应该用了预置规则，该预置规则中run an executable这一项modify...下，allowed app必是空白。而无论是何预置规则，run an executable这一项本身都只有两个选项，一是询问，一是阻止。如果你的Computer Security Policy组下的程序需要运行新程序，就会做出询问，允许之后就会添加进入allowed app表，从而对原规则做出修改，比如小红伞要正常运作，avgnt.exe需要运行avcenter.exe，avcenter.exe需要运行avadmin.exe等程序。而组规则是没有办法自动变更的，所以毛豆就会自动新加规则。你在新加的两条规则中查看，就会发现所有监控项都是询问操作者，而run an executable这一项modify...下，allowed app表中必然有红伞目录下的程序avadmin.exe等。
要修改组规则，只有修改组所应用的预置规则。
你可以在预置规则中，将Computer Security Policy组所用的规则run an executable这一项modify...下，allowed app表中添加Computer Security Policy组。
要么不理会它，由得毛豆。

acmeist

谢谢楼上的解答。  
正如你说的一样。

夏春秋

还有一种办法就是不采用组，所有红伞程序为custom policy

wolfmei

还有一种方法就是设置为信任