- Class Services: Gibt an, dass diese Regel für die Dateioperationenklasse gilt.
- Id 4001: Weist die ID 4001 dieser Regel zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden.
- level 4: Weist der Regel die Sicherheitsebene „Hoch“ zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden.
- Service { Include "Alerter" }: Gibt an, dass diese Regel den Dienst mit dem Namen „Alerter“ abdeckt. Wenn die Regel mehrere Dienste abdecken soll, müssen Sie sie in diesem Abschnitt in anderen Zeilen hinzufügen.
- time { Include "*" }: Dieser Abschnitt wird gegenwärtig nicht verwendet, muss jedoch auf diese Weise in der Regel enthalten sein.
- application { Include "*" }: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssten diese hier ausgedrückt werden, mit ihrem vollständigen Pfadnamen.
- user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssten diese hier ausgedrückt werden in der Form „Lokal/Benutzer“ oder „Domäne/Benutzer“. Einzelheiten dazu finden Sie im Abschnitt unter „Obligatorische allgemeine Abschnitte“.
- directives -c -d service:stop: Gibt an, dass diese Regel die Deaktivierung eines Dienstes abdeckt. Die Schalter –c und –d müssen im Abschnitt „directives“ stets verwendet werden.