檢視次數:
目標
允許規則
封鎖規則
結果
監控所有使用者的 Downloads 資料夾
-
  1. 啟動評估模式
  2. 任何本機儲存
  3. 字串
  4. C:\Users\*\Downloads\*
記錄對所有使用者的 Downloads 資料夾中應用程式的存取嘗試。
監控:
  • C:\Users\john_doe\Downloads\start.exe
  • C:\Users\Administrator\Downloads\start.exe
封鎖位於 Program Files 目錄之 MyApps 子資料夾內的全部資料夾中的所有應用程式
-
  1. Program Files 資料夾
  2. 字串
  3. \MyApps*
封鎖:
  • C:\Program Files(x86)\MyApps\start.exe
  • C:\Program Files\MyApps\start.exe
  • C:\Program Files(x86)\MyApps\bin\start.exe
允許:
  • C:\Program Files(x86)\start.exe
允許位於 Program Files 目錄之 MyApps 子資料夾內的全部資料夾中的所有應用程式,但封鎖所有其他其應用程式/資料夾
  1. Program Files 資料夾
  2. 字串
  3. \MyApps*
  1. 任何本機儲存
  2. 字串
  3. C:\Program Files\*
AND
  1. 任何本機儲存
  2. 字串
  3. C:\Program Files (x86)\*
封鎖:
  • C:\Program Files(x86)\start.exe
允許:
  • C:\Program Files(x86)\MyApps\start.exe
  • C:\Program Files\MyApps\start.exe
  • C:\Program Files(x86)\MyApps\bin\start.exe
僅封鎖位於 Program Files 目錄之 MyApps 子資料夾內的應用程式,但允許所有其他其應用程式/資料夾
  1. 允許 MyApps 目錄的子資料夾
    1. Program Files 資料夾
    2. 字串
    3. \MyApps\*\*
  1. Program Files 資料夾
  2. 字串
  3. \MyApps\*
封鎖:
  • C:\Program Files(x86)\MyApps\start.exe
  • C:\Program Files\MyApps\start.exe
允許:
  • C:\Program Files(x86)\start.exe
  • C:\Program Files(x86)\MyApps\bin\start.exe
封鎖任何資料夾的特定應用程式檔案名稱
-
  1. 特定路徑
  2. 正規運算式 (PCRE)
  3. .*\\(?i)test(?-i)\..*
封鎖:
  • C:\MyApps\test.exe
  • C:\Users\guet\AppData\Local\Temp\test.exe
  • C:\Program Files(x86)\MyApps\test.exe