COMODO的文件保护及禁用黑名单程序功能失效的问题

jordren

   我最初的目的是测试一下，如何禁止运行一些程序，比如说，最关键的资源管理器（Explorer.exe），我们运行大部分的程序的时候都是通过双击或单击打开一个程序的。我想可不可以在单双击的时候禁用一些程序。
   思路如下：在运行一个程序的时候把程序加到禁止列表里。
   过程如下:
一 我使用的是4.1版，规则是毛豆自带的Proative Security 规则。
二 测试时把资源管理器的打开一个程序是询问，阻止列表里加个notepad.exe 路径是%windir%\notepad.exe %windir%\system32\notepad.exe, 允许列表清空。此时阻止见效。
三 但我们要运行的程序很多，允许列表里清空的话每一个都要询问，每一个都加到允许列表里太麻烦，不太可能，通常我们是加了*，表所有程序，此时打开程序 是询问，允许列表是*，阴止列表是如上，此时阻止不见效。由于允许权限大于阻止，这个理解。是正常的。
四 那么我们还有什么其它简单的办法呢？我想到了保护文件，我把notepad程序加入了一个文件组：notepad，组里有上面两个路径的程序。最初只是在组里，没加入保护列表，然后设置受保护的文件/目录为允许，阻止列表里加入刚才的组，结果阻止无效。这说明例外规则不大于正常规则？
  再次把notepad文件组加入了文件保护列表，然后设置受保护的文件/目录为阻止，阻止列表里加入刚才的组，结果还是不见效。重启之后也不行。这样就产生了一个问题，文件保护失效，还是说，允许打开一个文件的权限比保护文件高?
五 单独测试notepad.exe 程序，设置它的权限， 文件保护组里设置一个组test,组里有文件夹 c:\11,文件夹里有11.txt，写法是c:\test*,设置受保护的文件/目录为阻止，notepad还是能打开这个文件夹， 写法c:\test*,有问题，这可是我在毛豆界面鼠标点选c:\11这个目录，毛豆自动加上去的，它本身的文件夹保护也是这个写法。

  发生了什么事？毛豆文件保护为什么失效？？
  谁有好的有效方法解法Explorer 禁止访问黑名单程序？

lorchid

1.运行一个程序和文件保护是Hips的两个范畴，一个是AD一个是FD。一般来说资源管理器打开一个程序没必要严格限制，如果要作禁运，可以根据自己的习惯来设定。比如我习惯仅禁止运行根目录下的可执行程序，就可以设定允许运行?:\*\*.exe 阻止运行?:\*.exe。一般的思路要么是允许个别，禁止所有，要么是禁止个别，允许所有。如果只要禁止调用黑名单组的程序，允许列表留空，阻止列表添加黑名单组，运行程序权限设为允许即可。
2.只有加入文件保护列表的文件才受FD监控，在组里设置以后还需要添加该组到受保护文件才能起作用；设定应用程序的受保护的文件/目录只能监控对文件/文件夹的创建、修改、删除，如果要防读取则要用到隔离区。另，毛豆不监控空文件夹的创建。

柯林

建议楼主好好看教程，搞清优先级关系及各项内容——比如把explorer的规则移到全局规则下，然后全局规则里阻止运行%windir%\*试试

补充楼上意见，只要在受保护内容里加入需要的内容，就可以监控和拦截，比如*\新建文件夹*

jordren

嗯，谢谢楼上二位大大的热心回答，这个问题我搞懂了。