使用 Explorer.exe 列出目录文件时触发访问保护规则

技术文章 ID: KB94457
上次修改时间: 2021-08-02 06:41:25 Etc/GMT

环境

McAfee Endpoint Security (ENS) 威胁防护 10.x

摘要

使用 ENS 威胁防护访问保护规则时触发Explorer.exe以列出目录文件。

访问保护规则配置如下：

子规则类型：文件
操作：执行

注意：也可以包括其他操作，但执行时请具体触发问题。

使用 FILES 子规则类型和执行操作配置访问保护规则时，使用WindowsExplorer.exe为了只浏览目录（例如，没有双击执行），有时可以触发访问保护规则。该行为因如何 Explorer.exe正在请求访问具有执行权限的文件（通常为读取/执行）。

进程监视器（Procmon）示例：

10:40:52.7836257 AM explorer.exe 9448 CreateFile C:\temp\test.exe ACCESS DENIED Desired Access: Generic Read/Execute, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a

为 FILES 和 EXECUTE 配置的访问保护规则正在检测进程请求是否执行权限。如果是，则访问保护规则会触发违规。

解决方案

此行为正在正常进行。

提示：如果您希望访问保护规则阻止文件执行，请创建使用进程子规则类型和运行操作的子规则。在目标部分下输入要阻止执行的文件名。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

使用 Explorer.exe 列出目录文件时触发访问保护规则

环境

摘要

解决方案

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

使用 Explorer.exe 列出目录文件时触发访问保护规则

环境

摘要

解决方案

免责声明

受影响的产品

语言:

选择您的区域

Title

Title