校园网锐捷狂弹窗口

aixiniu

刚用comodo时间不长，按照大大们的建议，先用学习模式，把程序都运行了一遍，然后把不合理的自动创建的规则删了（中间还发现个问题，用学习模式自动生成的规则里面，默认允许修改所有文件，我都是一个一个删除的。）形成框架后，我换成安全模式了，锐捷就开始狂弹，全是修改文件和com接口的日志。日志我贴上了，希望大家帮帮我！！！不胜感激！

日期	应用程序	行为	目标
2010-06-18 08:26:09	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.0000000b
2010-06-18 08:26:24	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.0000000c
2010-06-18 08:26:34	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.0000000d
2010-06-18 08:28:47	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.0000000e
2010-06-18 08:30:28	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.0000000f
2010-06-18 08:30:41	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.00000010
2010-06-18 08:30:54	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.00000011
2010-06-18 08:33:05	D:\Program Files\校园网登陆器\8021x.exe	修改文件	\Device\NamedPipe\Win32Pipes.00000408.00000012

日期	类型	描述	建议	回答	回答	标志	认为是
2010-06-18 08:26:09	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.0000000b.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:26:17	允许	记住
2010-06-18 08:26:24	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.0000000c.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:26:27	允许	记住
2010-06-18 08:26:34	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.0000000d.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:26:40	允许	记住
2010-06-18 08:28:47	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.0000000e.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:28:56	允许	记住
2010-06-18 08:30:28	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.0000000f.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:30:34	允许	记住
2010-06-18 08:30:41	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.00000010.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:30:47	允许	记住
2010-06-18 08:30:54	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.00000011.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:30:57	允许	记住
2010-06-18 08:33:05	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.00000012.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:33:09	允许	记住
2010-06-18 08:35:05	Defense+ 警报	8021x.exe 将 访问被保护的接口.您想怎样处理?	8021x.exe 不能被识别并且它将访问被保护的接口 \\Device\\NamedPipe\\Win32Pipes.00000408.00000013.如果8021x.exe 是您的一个日常应用程序,您应该允许这次请求.	2010-06-18 08:35:08	允许	记住

深度扫描

如果确认是安全的，就放行。
不知道是否安全就禁止，禁止后不能呢个正常使用再放行。

yippeesoft

访问命名管道 进程通讯经常用到
校园网登陆器\8021x.exe  
既然是登录器 估计要不停检测当前状态以便自动重新登录

柯林

没说的，允许
既然你设置了这么多的命名管道，就要考虑到正常软件的例外放行

xyt777

最简单的方法是先禁止.看那个软件不能运行.保证是安全软件的前提下看日志提示放行就可以了

sunjoykf

要放行的   我也碰到过   放行了N次以后   墙终于认识锐捷了

sunjoykf

好像锐捷认证是要不停的发包给认证服务器的

aixiniu

回复 4楼 柯林  的帖子


    我都不知道在哪里设置的命名管道，在例外规则里面也看到放行了，但是还是有很多弹窗，现在直接把他设成trust了，不知道行不行

柯林

回复 8楼 aixiniu  的帖子
不着急，慢慢磨，时间长了，就会摸到门道

   

aixiniu

回复 9楼 柯林  的帖子
现在好像好了，请教下柯林大大，用了预设规则后，以后要是有弹窗，点了允许，这个例外规则会自动添加到里面吗？