温馨推出：McAfee8.8 墨池安全通用（自由定制）规则 + 排除说明

显示全部楼层 · 发表于 2011-6-11 23:33:15

墨池发表于 2011-6-10 21:55
需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”相应的系统组和软件组同时 ...

我知道怎么排除。我是说的应该在以后修订时考虑到这两个或者更多类似安装在user目录下的软件

显示全部楼层 · 发表于 2011-6-12 00:38:30

booke 发表于 2011-6-11 23:33
我知道怎么排除。我是说的应该在以后修订时考虑到这两个或者更多类似安装在user目录下的软件

不好意思，我理解有误！

显示全部楼层 · 发表于 2011-6-12 00:39:20

WEI.ER 发表于 2011-6-11 22:12
我爱死你的整合规则了。

感谢支持！

显示全部楼层 · 发表于 2011-6-13 09:09:01

前来汇报战况，笔记本安装好以后，导入规则，无法安装USB鼠标驱动，插入USB鼠标，系统自动安装驱动被拦截，需要暂停保护才能安装，不是bug的bug

显示全部楼层 · 发表于 2011-6-13 12:14:56

WEI.ER 发表于 2011-6-13 09:09
前来汇报战况，笔记本安装好以后，导入规则，无法安装USB鼠标驱动，插入USB鼠标，系统自动安装驱动被拦截， ...

这个应该根据日志排除一下。能贴出需要排除的进程或日志吗？

显示全部楼层 · 发表于 2011-6-13 12:30:05

墨池发表于 2011-6-4 13:17
本楼定期收集整理系统进程排除补充，以方便后来者。除非有重大缺陷，本规则不再更新，请使用的朋友 ...

你的老版规则中，自定义规则多了一条：
保护AppData下的Windows文件
包含：**
排除：*\CCleaner\CCleaner*.exe, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe
要阻止的文件：**\AppData\**\Windows\**
禁止的行为：写、创建、删除

这个规则和你现在的规则有重复和冲突的地方么，还有必要添加么

显示全部楼层 · 发表于 2011-6-13 12:34:12

xjchris 发表于 2011-6-13 12:30
你的老版规则中，自定义规则多了一条：
保护AppData下的Windows文件
包含：**

不用加，有部分重复。

显示全部楼层 · 发表于 2011-6-13 13:52:42

墨池发表于 2011-6-13 12:14
这个应该根据日志排除一下。能贴出需要排除的进程或日志吗？

客户机，已经取走了，无法贴出排除的进程或者日志了，下次在遇到类似情况，我即使截图保留。

显示全部楼层 · 发表于 2011-6-13 15:17:39

墨池发表于 2011-6-13 12:34
不用加，有部分重复。

很感谢，玩规则也这么多年，一换WIN7就糊涂咯

显示全部楼层 · 发表于 2011-6-13 17:35:22

本帖最后由 xjchris 于 2011-6-13 22:57 编辑

墨池发表于 2011-6-4 13:17
本楼定期收集整理系统进程排除补充，以方便后来者。除非有重大缺陷，本规则不再更新，请使用的朋友 ...

你的全局禁止执行_系统组，自定义规则的效果是什么，
我不排除非program files文件夹，一样可以运行其中的EXE文件啊，包括安装包和电子书（关闭其他禁止规则）

是不是哪有问题

另外：
规则名称：阻止对所有共享资源的读写访问 (即禁止非信任区程序访问-文件 )
要包含的进程：*.*
要排除的进程：*\Program Files*\**\*.*, *\PROGRA~*\**\*.*, *\Windows\**\*.*
是否勾选报告：是
------------------------------------------------
排除说明：添加安装在非Program Files下的软件目录和光驱（如X:\**\*.*，X代表光盘盘符）。
这个规则，如果不排除其他软件目录，EXE文件一样可以执行，是不是我理解不对

建了个规则测试了一下，打开其他电子书和软件，是通过explorer.exe和svchost.exe等系统程序运行，因为排除了，所以可以运行。不知道是不是这样。规则：阻止对所有共享资源的读写访问，应该也是类似的问题。

[技术原创] 温馨推出：McAfee8.8 墨池安全通用（自由定制）规则 + 排除说明