建立和編輯自適應異常控制規則的排除項目

您無法為適應性異常控制規則建立超過 1000 個排除項目。不建議建立超過 200 個排除項目。要減少使用的排除項目數量,建議在排除項目設定中使用遮罩。

適應性異常控制規則的排除項目包括來源物件和目的物件的說明。來源物件是執行操作的物件。目的物件是被執行操作的物件。例如,您開啟了一個名為 file.xlsx 的檔案。結果,一個帶 DLL 副檔名的庫檔案載入到電腦記憶體中。該庫被瀏覽器(名為 browser.exe 的可執行檔)使用。在此示例中,file.xlsx 是來源物件,Excel 是來源處理程序,browser.exe 是目的物件,Browser 是目的處理程序。

要為適應性異常控制規則建立或編輯排除項目,請執行以下操作:

  1. 在應用程式主視窗中,點擊“設定”按鈕。
  2. 在視窗左側的“安全控制”區域中,選取“自適應異常控制”子區域。

    “適應性異常控制”元件的設定顯示在視窗右側。

  3. 在視窗右側的表中,選取規則。
  4. 點擊“編輯”按鈕。

    適應性異常控制規則”視窗將開啟。

  5. 請執行以下操作之一:
    • 如果您要新增新的排除項目,請點擊“新增”按鈕。
    • 如果要編輯現有規則,請在“排除”表中選取相應行,然後點擊“編輯”按鈕。

    規則排除項目”視窗將開啟。

  6. 在“敘述”欄位中輸入排除項目的說明。
  7. 點擊“使用者”欄位中的“瀏覽”按鈕,以指定要應用排除項目的使用者。

    Microsoft Windows 中將開啟“選取使用者或群組”視窗。

  8. 定義來源物件的設定或該物件啟動的來源處理程序的設定:
    • 來源處理程序。檔案或包含檔案的資料夾的路徑或遮罩(例如,С:\Dir\File.exeDir\*.exe
    • 來源處理程序雜湊檔案雜湊碼。
    • 來源物件。檔案或包含檔案的資料夾的路徑或遮罩(例如,С:\Dir\File.exeDir\*.exe)。例如,檔案路徑 document.docm,它使用指令碼或巨集來啟動目的處理程序。

      您還可以指定要排除的其他物件,如 Web 位址、巨集、命令列中的指令、登錄檔路徑等等。按照以下範本指定物件:object://<object>,其中 <object> 指物件的名稱,例如 object://web.site.example.comobject://VBA、object://ipconfigobject://HKEY_USERS。您也可以使用遮罩,例如,object://*C:\Windows\temp\*

    • 來源物件雜湊。檔案雜湊碼。

    適應性異常控制規則不適用於該物件執行的操作或該物件啟動的處理程序。

  9. 指定目的物件的設定或對該物件啟動的目的處理程序的設定。
    • 目的處理程序。檔案或包含檔案的資料夾的路徑或遮罩(例如,С:\Dir\File.exeDir\*.exe
    • 目的處理程序雜湊。檔案雜湊碼。
    • 目的物件。用於啟動目的處理程序的指令。使用模式 object://<command> 指定指令,例如,object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"。您也可以使用遮罩,例如,object://*C:\windows\temp\*
    • 目的物件雜湊。檔案雜湊碼。

    適應性異常控制規則不適用於對該物件執行的操作或對該物件啟動的處理程序。

  10. 在“規則排除項目”視窗中,點擊“確定”。
  11. 在“自適應異常控制規則”視窗,點擊“OK”。
  12. 要儲存變更,請點擊“儲存”按鈕。
頁面頂部