- Class Files : indique que la règle est associée à la classe des opérations de fichiers.
- Id 4001 affecte l’ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.
- level 4 : affecte un niveau de sécurité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de sécurité.
- files { Include "C:\\test\\abc.txt" } : indique que la règle couvre le fichier et le chemin spécifiques C:\test\abc.txt. Si la règle couvre plusieurs fichiers, ajoutez-les dans cette section sur différentes lignes. Par exemple, lors du contrôle des fichiers C:\test\abc.txt et C:\test\xyz.txt, la section est modifiée comme suit : files { Include "C:\\test\\abc.txt" "C:\\test\\xyz.txt" }.
- time { Include "*" } : actuellement, cette section n’est pas utilisée mais doit être incluse de cette façon dans la règle.
- application { Include "*"} : indique que cette règle est valide pour l’ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec leur nom de chemin.
- user_name { Include "*" } : indique que cette règle est valide pour l’ensemble des utilisateurs (ou plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté). Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/ utilisateur ou Domaine/ utilisateur. Consultez le paragraphe « Sections communes obligatoires » pour plus d’informations.
- directives -c -d files:create : indique que cette règle couvre la création d’un fichier. Les aiguillages –c et –d doivent toujours être utilisés dans la section directives.