Tạo và chỉnh sửa một loại trừ cho quy tắc Kiểm soát thích ứng sự cố

Bạn không thể tạo nhiều hơn 1.000 mục loại trừ cho các quy tắc Kiểm soát thích ứng sự cố. Bạn không nên tạo nhiều hơn 200 quy tắc loại trừ. Để giảm số loại trừ được sử dụng, bạn nên sử dụng tên đại diện trong thiết lập loại trừ.

Một loại trừ cho một quy tắc Kiểm soát thích ứng sự cố bao gồm mô tả về các đối tượng nguồn và đích. Đối tượng nguồn là đối tượng thực hiện hành động. Đối tượng đích là đối tượng đón nhận hành động đó. Ví dụ, bạn đã mở một tập tin có tên file.xlsx. Kết quả là, một tập tin thư viện với phần mở rộng DLL được tải vào bộ nhớ máy tính. Thư viện này được một trình duyệt sử dụng (một tập tin thực thi có tên browser.exe). Trong ví dụ này, file.xlsx là đối tượng nguồn, Excel là tiến trình nguồn, browser.exe là đối tượng đích, và Browser là tiến trình đích.

Để tạo hoặc chỉnh sửa một loại trừ cho quy tắc Kiểm soát thích ứng sự cố:

1. Trong cửa sổ ứng dụng chính, nhấp vào nút Cấu hình.
2. Trong cửa sổ thiết lập ứng dụng, hãy chọn Các thành phần kiểm soát bảo mật → Kiểm soát thích ứng sự cố.
3. Trong bảng ở bên phải cửa sổ, chọn một quy tắc.
4. Nhấn nút Chỉnh sửa.

   Cửa sổ Quy tắc Kiểm soát thích ứng sự cố sẽ được mở ra.

5. Thực hiện một trong các thao tác sau:
   • Nếu bạn muốn bổ sung một loại trừ, nhấn nút Thêm.
   • Nếu bạn muốn chỉnh sửa một loại trừ hiện tại, nhấn vào hàng đó trong bảng Loại trừ và nhấn nút Chỉnh sửa.

   Cửa sổ Loại trừ từ một quy tắc sẽ được mở ra.

6. Trong trường Mô tả, nhập mô tả về loại trừ này.
7. Nhấn nút Duyệt cạnh trường Người dùng để quy định những người dùng được áp dụng loại trừ.

   Cửa sổ Chọn người dùng hoặc nhóm tiêu chuẩn trong Microsoft Windows sẽ được mở ra.

8. Quy định các thiết lập của đối tượng nguồn hoặc tiến trình nguồn được bắt đầu bởi đối tượng:
   • Tiến trình nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ, С:\Dir\File.exe hoặc Dir\*.exe).
   • Hash tiến trình nguồn. Mã băm tập tin.
   • Đối tượng nguồn. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ, С:\Dir\File.exe hoặc Dir\*.exe). Ví dụ, đường dẫn tập tin document.docm, sử dụng một kịch bản hoặc macro để bắt đầu các tiến trình đích.

     Bạn cũng có thể quy định các đối tượng khác để loại trừ, ví dụ như một địa chỉ web, macro, lệnh trong dòng lệnh, đường dẫn registry, v.v... Quy định đối tượng theo khuôn mẫu sau: object://<object>, ở đó <object> là tên của đối tượng, ví dụ, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ như object://*C:\Windows\temp\*.

   • Hash đối tượng nguồn. Mã băm tập tin.

   Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được đối tượng thực hiện, hoặc các tiến trình được đối tượng bắt đầu.

9. Quy định các thiết lập của đối tượng đích hoặc tiến trình đích được bắt đầu trên đối tượng này.
   • Tiến trình đích. Đường dẫn hoặc đường dẫn đại diện đến tập tin hoặc thư mục chứa các tập tin (ví dụ, С:\Dir\File.exe hoặc Dir\*.exe).
   • Hash tiến trình đích. Mã băm tập tin.
   • Đối tượng đích. Lệnh để khởi chạy tiến trình đích. Quy định lệnh theo dạng sau object://<lệnh>, ví dụ, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". Bạn cũng có thể sử dụng các ký tự đại diện, ví dụ như object://*C:\windows\temp\*.
   • Hash đối tượng đích. Mã băm tập tin.

   Quy tắc Kiểm soát thích ứng sự cố không được áp dụng cho các hành động được thực hiện trên đối tượng này, hoặc các tiến trình được bắt đầu trên đối tượng.

10. Lưu các thay đổi của bạn.

Về đầu trang