仅监控传入的文件的具体含义是什么？(附微软官方论坛答复)

显示全部楼层 · 发表于 2011-5-13 23:41:55

前两天在官方论坛提问了下，居然得到了回复，大家看看讨论下。

问题

仅监控传入的文件的具体含义是什么？[size=0.95em]适用于: Microsoft Security Essentials | 入门和升级
[size=1em]

如果设置成仅监控传入的文件是不是意味着只监控下载到本地活着从其他移动存储上复制过来的文件，而电脑上本身已存在的文件将不再监控？

反之依然，仅监控传出的文件意味着仅监控传出本电脑的文件，对传入的文件和已有的文件不做监控？

请解答一下，谢谢！

回答：你好，这项选项是针对下载上传过程中的文件进行监控的，你直接按字面意思理解即可。对本机原有文件和程序的监控，是由其他项设置的，该项仅针对文件传输进行监控。
官方是这样回答的，但是我始终还有一个疑问，就是既然是监控上传下载的，为什么设置为仅监控传入的文件就不卡exe较多的文件夹了。。。。。。这点始终想不明白。

显示全部楼层 · 发表于 2011-5-14 00:36:39

本帖最后由 hj5abc 于 2011-5-14 00:45 编辑

上传不用读取么？下载不需要写入么？
反过来，读取/写入又不只局限于上传/下载。
自己试下就知道了，如果是在Anwsers上问的，我只能提醒你，不能完全相信，不一定是MS的技术部门。

附上forefront某mvp的回复

Hello Terry,

It's easy as it sounds,

The most secured configuration under:

Scan NTFS system files:
Is "Scan incoming and outgoing files"

But let's not forget that when I’m choosing to scan files when they are "going out" from my computer and not only "getting in",
I need to think about performance (Double check)

Anyhow, my recommended configuration to balance performance and security is to choose:

"Scan incoming files only"

By that i can "count" on the scheduled scan to scan my existing files, and the real-time scan to scan new files saved to my NTFS.

Thanks,
Ohad Plotnik (Plotniko)
MVP-Forefront
System&network
Security Architect
Blog: blogs.microsoft.co.il/blogs/Plotniko

显示全部楼层 · 发表于 2011-5-14 00:45:49

hj5abc 发表于 2011-5-14 00:36
上传不用读取么？下载不需要写入么？
反过来，读取/写入又不只局限于上传/下载。
自己试下就知道了，如果 ...

关键楼主这个卡e的事，也太邪乎了吧。。。

显示全部楼层 · 发表于 2011-5-14 00:50:58

本帖最后由 hj5abc 于 2011-5-14 13:01 编辑

回复 3楼 wy1091727248 的帖子

为什么打开含大量程序的文件夹会卡PE？
因为默认设置包含读取文件时监控，即"传出文件监控"
打开大量含EXE的文件夹，explorer(可能还有searchprotocolhost)会访问文件，这时MSE就要在打开文件夹时扫描当中的EXE，导致卡EXE
而设置为”仅传入监控“后，MSE只监控新建或修改的文件，打开文件夹时即便EXPLORER进程访问文件夹中的EXE，也不会触发MSE的扫描

显示全部楼层 · 发表于 2011-5-14 01:07:10

本帖最后由 wy1091727248 于 2011-5-14 01:43 编辑

2楼和4楼解释很详尽，可参考，顺便贴下对于2楼英文个人的翻译：（经h童鞋指正，已修改，若还有错误，欢迎拍砖）
你好特里,

这很容易,就像他听起来那样,

在"扫描NTFS文件系统"设置下，
最安全的设置是“扫描收发文件”

但是我们不要忘记,当我选择去扫描的文件,他们是从我的电脑上“走出去的”,而不只是“进入”,
我需要考虑性能(检查两次[注])

总之,我推荐的来平衡性能和安全的配置是选择:

“只扫描传入的文件”

我可以通过"计数"的计划扫描,扫描我现有的文件，和实时扫描保存到我的NTFS卷中的新文件。
[注]：即“写入的时候扫一次读取的时候又扫一次”

显示全部楼层 · 发表于 2011-5-14 01:21:14

回复 5楼 wy1091727248 的帖子

纠正下，

在"扫描NTFS文件系统"设置下，
最安全的设置是“扫描收发文件”

getting in -- 进入 going out -- 出去

double check 是指检查两次即写入的时候扫一次读取的时候又扫一次

显示全部楼层 · 发表于 2011-5-14 01:38:54

这个我一直没搞懂!

显示全部楼层 · 发表于 2011-5-14 01:40:02

回复 6楼 hj5abc 的帖子

你的翻译太灵活了，直接改变了顺序，和我这种常年为了考级而直译的英语翻译方式格格不入，当然也通顺多了，好吧，改一下。
至于后面那三个短语，getting in有一种深深地进入的含义在里面，所以我翻成“陷入”了。double check这个倒要好好解释一下，翻得时候就有点糊涂。

显示全部楼层 · 发表于 2011-5-14 07:42:49

说实话大家好像都已经进入误区了，我有时间做一个试验，把真相还给大家

显示全部楼层 · 发表于 2011-5-14 10:08:03

看了大家的回答，尤其是那段英文，我基本上是明白了。
主要是传入和传出这个说法很让人纠结，呵呵！

[技术探讨] 仅监控传入的文件的具体含义是什么？(附微软官方论坛答复)

评分

评分

评分

评分