规则名称	检查项说明
杀软检查	检查的杀毒软件主要包括360杀毒、瑞星杀毒、金山毒霸、腾讯电脑管家、2345安全卫士、瑞星个人防火墙、小红伞、卡巴斯基、Avast、赛门铁克(SEP)、趋势杀毒软、诺顿杀毒软件、McAfee(MSC)、Windows Defender 微软杀毒、江民杀毒、熊猫卫士、火绒互联网安全、大蜘蛛杀毒软件等。
登录域检查	必须登录到域；需要登录到指定域：可以自定义。
操作系统检查	Windows XP、Windows2003、Windows7、Windows8、Windows10、Windows11、Windows2012R2、Windows2016、Windows Vista、Windows2008R2 Windows2008的部分操作系统，也可以根据版本进行选择。
进程规则	进程名称、窗口名称、程序路径。进程状态：正在运行和没有运行。高级条件：可设置匹配程序MD5值和匹配程序大小。
文件规则	文件路径：存放的路径。文件状态：文件存在和文件不存在。高级条件：设置匹配文件的MD5值、文件大小、更新日期比当前日期滞后的天数。
注册表规则	注册表项、表项名称、表项数据。表项状态：有和没有。
计划任务规则	执行程序输入程序路径或点击上传文件。配置程序运行所需参数，与上面程序搭配使用。
	执行计划周期性运行：最小时间间隔为40秒。运行一次：计算机上准入程序启动时运行。
	执行权限当前用户执行权限。以SYSTEM用户权限执。
	结果检查不检检查返回结果。检查返回结果。
补丁检测规则	按指定级别检测；按指定补丁检测；获取pc补丁信息识别时按违规处理
外联检查规则	拨号行为、有无线网口、双网卡行为、有4g网卡、连接外网、自定义外联、连接非法WIFI、使用非法网关。
外联控制规则	只能访问以下地址；不能访问以下地址。
外设管控规则	禁止使用的外设类型存储设备、网络设备、蓝牙设备、摄像头、打印机。精细化管控 U盘及移动硬盘接入：可读写、拒绝、可读、告警。便携设备接入：允许、禁用、告警。
Windows规则	禁止以计算机的超级管理员（隶属于Administrators组的帐户）身份登录计算机，否则禁止该计算机上网。
防篡改检查规则	可设置不能修改MAC或IP。
客户端集成规则	All in one场景联动EDR、atrust推端。启用该规则时，需完成“终端安全联动”配置。
软件检查规则	通过准入客户端检查终端的注册表信息，获取终端当前软件安装列表，并根据配置的软件检查规则判断当前客户端是否存在违规情况，如存在违规，则根据软件检查规则配置的违规处置动作，对客户端进行处置。判定方式如果已安装下列任意一款软件，视为违规。如果已安装下列任意一款软件，视为合规。如果安装下列所有软件，视为合规。
桌面水印管控规则	为Windows桌面添加水印标识
端口管控规则	放通以下端口；封堵以下端口
应用联网管控规则	对指定应用联网权限进行控制，包括：禁止联网；允许联网；仅禁止访问以下地址；仅允许访问以下地址。

操作系统检查：补丁包对Windows XP要求是SP2或以上，windows10可选择版本和无要求。

文件检查：规则只使用于同时配置条件的文件。

补丁包检测：该规则不支持Windows xp、Windows Server2003及其以下的操作系统版本；同时勾选按指定级别检测和按指定补丁检测时，其中任何一种方式检测出违规即为违规。

外联检查规则：其中连接非法WIFI和非法网关有白名单设置。

外设管控规则：windows xp系统和全线的家庭版系统没有组策略，不支持组策略的管控方式；精细化管控只支持win7及以上版本，不区分是否家庭版；精细化管控只针对usb接口的存储设备(U盘移动硬盘便携设备)。

软件检查规则：通过绿色安装的软件无法监测，即注册表没有信息的。

桌面水印管控规则：用户名包含emoji，如水印规则勾选了用户名，则水印可能存在乱码。首次下发水印检查策略，终端需要从AC设备获取水印组件，需要等待3分钟左右才会生效。

终端插件检查后违规处置

表13终端插件检查规则违规处置表

检查规则	违规处置
杀软检查	包括：禁止上网并提示用户、提示用户、违规修复、限制用户权限、自定义提示内容。
登录域检查规则	包括：禁止上网并提示用户、提示用户、只记录结果、限制用户权限、自定义提示内容。
操作系统规则	包括：禁止上网并提示用户、提示用户、只记录结果、自定义提示内容。
进程规则	包括：禁止上网并提示用户、停止进程、提示用户、只记录结果、自定义提示内容。
文件检查	包括：禁止上网并提示用户、删除文件、提示用户、只记录结果、自定义提示内容。
计划性任务规则	包括：禁止上网并提示用户、删除该项、提示用户、只记录结果、自定义提示内容。
注册表规则	包括：禁止上网并提示用户、提示用户、只记录结果。
补丁检测规则	包括：提示用户、只记录结果。
外联检查规则	包括：发送告警邮件、断网、自定义提示内容。
外设管控规则	包括：白名单设置，可讲对应设备应将ID加入到白名单中。
防篡改检查规则	包括：禁止上网并提示用户、恢复修改前地址并提示用户、提示用户、只记录结果。其中选择不能修改IP违规处置只能选择恢复修改修改前地址并提示用户。
软件检查规则	包括：只记录结果、安装指定软件、提示用户、禁止上网并提示用户。其中判定方式为[如果已安装下列任意一款软件，视为合规]和[如果安装下列所有软件，视为合规]时才支持“安装指定软件”。
桌面水印管控规则	控制项配置水印显示内容：包括用户名、时间、用户显示名、部门/组、IP地址、Mac地址、Windows登录名、计算机名，至少选择一项。自定义内容：可自定义显示水印内容（可选）。水印透明度：可配置水印透明度范围，默认值20。水印密度：高、中、低，默认值中。

第三步：配置违规后处置，根据不同的检查规则，选择相应的违规处置。点击<提交>检查规则即可配置完成。

组合规则

第一步：在[终端检查/检查规则/终端插件检查规则]，点击<组合规则>，点击<新增>一条组合规则。

第二步：填写规则名称和规则描述，规则类型可选中菜单里的规则类型，也可以直接在对话框内输入自定义的规则类型名称，该规则类型用于后续新增规则策略时调用。组合规则成立可选：所有规则成立和任意一个规则成立。

第三步：组合规则设定在待选规则里选中需要设置的规则，点击<添加>会添加到已选的规则中，如待选列表没有规则可选，在终端插件检查规则创建操作系统规则、进程规则、文件规则、注册表规则、计划任务规则、补丁包检测规则、windows账号规则。

第四步：违规后操作：禁止上网或提示用户、提示用户、只记录结果。也可以点击<编辑提示内容>自定义提示内容。

第五步：点击<提交>，组合规则配置完成。

：

组合规则功能只支持：操作系统规则、进程规则、文件规则、注册表规则、计划任务规则、补丁包检测规则、Windows账号规则。其他规则暂时不支持组合操作。

流量行为检查规则

第一步：在[接入管理/终端检查/检查规则/流量行为检查规则]，点击<新增>需要配置的检查规则。

第二步：填写规则名称和规则描述，规则类型可选中菜单里的规则类型，也可以直接在对话框内输入自定义的规则类型名称。

第三步：检查项配置可选个人版杀毒软件或企业版杀毒软件。个人版杀毒软件是设备已定义流量特征，企业版杀毒软都会有指定服务器地址，通过检查终端是否有流量来判断是否安装杀毒软件。

个人版杀毒软件

可选择检查的杀软有：360安全卫士以及杀毒、金山毒霸、火绒安全软件、腾讯电脑管家、小红伞、卡巴斯基、赛门铁克。

违规判定条件：根据不同的杀毒软件设置的默认时间进行检测是否有该杀软，填写时间不能小于默认值。

企业版杀毒软件

可选择检测的杀软有：EDR、360天擎、卡巴斯基、赛门铁克、自定义企业杀软。

违规判定条件：需要根据企业版杀软配置的更新频率来设置，（EDR默认超过1分钟未检测到该杀软即为违规，建议配置为5分钟），每个应用都有不同的最小默认值，用户配置必须大于默认值。

第四步：设置违规后处置可选择：只记录结果或定期重定向至指定网址修复，选择定期重定向至指定网址修复，需要配置重定向配置：重定向网址和重定向间隔时间。

第五步：点击<提交>，流量检测规则配置完成。

检查规则管理

在[终端检查/检查规则]，管理员对终端插件检查规则和流量行为检查规则进行删除操作、批量编辑、导入/导出等操作，组合规则仅支持删除和编辑操作。

表14检查规则管理功能说明

操作	功能说明
删除	在检查规则页面，选择终端插件检查规则、组合规则、流量行为检查规则，勾选需要删除，点击删除，设备会弹出一个操作确认框，点击<是>，则删除选中的规则。
编辑	在检查规则页面，选择[终端插件检查规则、组合规则、流量行为检查规则，勾选需要编辑的检查规则，点击检查规则名称，设备会弹出检查规则的编辑页面，修改检查策略，除了规则名称无法修改，其他设置项均可以进行修改。
批量编辑	批量编辑检查规则：勾选多个自定义的检查规则，可以批量修改检查规则的类型，点击批量编辑，则弹出[批量编辑]页面。注意批量编辑只能编辑检查规则的类型。
导入/导出	检查规则支持规则的导入导出，在[检查规则]页面，选择终端插件检查规则、流量行为检查规则然后勾选相应的规则，点击导出，即可将选中的规则导出，

：

1．当已经被检查策略引用的规则，不能直接删除；如需要删除，需要先删除检查策略中引用到的规则。

2．内置的检查规则无法导出。

3．导入的规则文件一定要是zip格式的，而且导入的文件一定要包含IngressRuleExport.conf文件，IngressRuleExport.conf文件一定要在最外层。