麦咖啡McAfee 88企业版规则设置高级篇Word文档格式.docx
《麦咖啡McAfee 88企业版规则设置高级篇Word文档格式.docx》由会员分享,可在线阅读,更多相关《麦咖啡McAfee 88企业版规则设置高级篇Word文档格式.docx(48页珍藏版)》请在冰豆网上搜索。
E:
\ProgramFiles\"
替换成"
*\ProgramFiles*\"
即可,安全性影响很小.
(3)没有排除的软件根据日志排除,或自行整理后添加排除.
排除技巧:
一般软件要想正常运行,需要在"
禁止远程创建/修改可执行文件和配置文件"
、"
将所有共享项设为只读"
保护Windows下的文件"
保护Windows注册表_项"
保护Windows注册表_值"
规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在"
保护电话簿文件免受密码和电子邮件地址窃贼的攻击"
保护缓存文件免受密码和电子邮件地址窃贼的攻击"
中排除.
(4)排除原则:
善用XX搜索,辅以http:
//www.virscan.org/扫描,放行已知安全,杜绝一切隐患.
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则.
(6)不同系统,规则设置有所区别,请详细阅读规则说明.
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!
不好折腾的朋友不建议使用!
规则设置:
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称:
保护InternetExplorer收藏夹和设置
要包含的进程:
**
要排除的进程:
C:
\Windows\Explorer.EXE,C:
\ProgramFiles\InternetExplorer\iexplore.exe
是否勾选报告:
否
----------------------------------------
说明:
排除C:
\ProgramFiles\InternetExplorer\iexplore.exe,C:
\Windows\Explorer.EXE是为了自己能够修改InternetExplorer收藏夹和设置.不勾选报告,避免大量日志.
《防间谍程序最大保护》
禁止安装新的CLSID、APPID和TYPELIB
无
----------------------------------
该规则用于阻止新的COMservers的安装和注册.某些广告以及间谍程序能够将自身添加到MicrosoftInternetExplorer的COM加载项中,或者附加到MicrosoftOffice.安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告.
禁止所有程序从Temp文件夹运行文件
\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:
\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:
\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,E:
\ProgramFiles\COMODO\COMODOInternetSecurity\cmdinstall.exe,E:
\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:
\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:
\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:
\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe
是
-----------------------------
一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的Temp文件夹下,再运行.该规则其中之一的目的在于不断地提醒用户:
"
切勿从email中打开附件."
而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及InternetExplorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著.排除咖啡相关进程是为了正常升级和使用.
禁止从Temp文件夹执行脚本
?
script.exe
-------------------------------
阻止Windows脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式.没必要勾选报告.
《防病毒标准保护》
禁止禁用注册表编辑器和任务管理器
------------------------------------
保护Windows注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用.不用排除.
禁止更改用户权限策略
\Windows\system32\lsass.exe
防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限.排除应该极少.
禁止远程创建/修改可执行文件和配置文件(系统组)
**(Win7下用*.*)
*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\system32\winlogon.exe,C:
\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe,C:
\Windows\Microsoft.NET\Framework\**\mscorsvw.exe,C:
\WINDOWS\regedit.exe,C:
\Windows\servicing\TrustedInstaller.exe,C:
\WINDOWS\SoftwareDistribution\Download\**\update.exe,C:
\Windows\System32\cleanmgr.exe,C:
\WINDOWS\system32\defrag.exe,C:
\WINDOWS\system32\imapi.exe,C:
\Windows\system32\lsass.exe,C:
\Windows\System32\msdtc.exe,C:
\Windows\System32\rundll32.exe,C:
\Windows\system32\services.exe,C:
\Windows\system32\sppsvc.exe,C:
\Windows\system32\svchost.exe,C:
\Windows\system32\wbem\WMIADAP.EXE,C:
\WINDOWS\system32\wbem\wmiprvse.exe,C:
\Windows\system32\wuapp.exe,C:
\WINDOWS\system32\wuauclt.exe,C:
\Windows\SysWOW64\rundll32.exe,E:
\4KBrowser\4KServer\4KServer.exe,E:
\4KBrowser\4kText.exe,E:
\AloneSbck\SbckServer\SbckServer.exe,E:
\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:
\KangXiDict\eKangXi.exe
--------------------------------
该规则是规则"
的阉割版.保护了*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini不被修改.按绝对路径排除已知的安全程序,全局有效防止了对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.只此一条,就涵盖了坛子里原有规则自定义规则的N条.还有com、sys、drv、vxd、bat等,交给自定义规则补充吧.此处排除的是系统组进程,软件组在自定义中补充.(友情提示:
如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同.)
禁止远程创建自动运行文件
要阻止的文件或文件夹名:
autorun.inf
禁止创建所有自动播放.
禁止拦截.EXE和其他可执行文件扩展名
--------------------------------------
禁止间谍和恶意程序修改操作系统的配置以及可执行文件.
禁止伪装Windows进程
---------------------------------------
禁止针对Windows核心进程svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe的任何操作,防止浑水摸鱼.启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的Windows文件不受该规则限制.切记不用排除.
禁止群发邮件蠕虫发送邮件
----------------------------
邮件客户端,禁止通过SMTP端口(25和587)出站发送email.需要排除所用邮件软件的进程,否则软件将无法使用.
禁止IRC通信
---------------------------
屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令.
禁止使用tftp.exe
---------------------------------
防止通过利用脆弱的应用缓冲区溢出散播一些病毒.使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除.
《防病毒最大保护》
禁止Svchost执行非Windows可执行文件
svchost.exe
禁止Svchost.exe加载非Windows服务.DLL文件.用则不要排除,也不用勾选报告.否则可以不用.
保护电话簿文件免受密码和电子邮件地址窃贼的攻击
\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:
\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:
\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:
\Windows\System32\svchost.exe,C:
\ProgramFiles\CCleaner\CCleaner*.exe,E:
\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:
\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:
\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:
\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E:
\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:
\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:
\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:
\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:
\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe
------------------------------------------
隐私保护规则.保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码.排除已知的安全程序.
禁止更改所有文件扩展名的注册
\WINDOWS\explorer.exe
------------------------------
这是一个严格的版本"
反病毒标准保护:
防止其他可执行的EXE和扩展劫持"
规则,而不是只保护的.EXE.这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键.排除C:
\WINDOWS\explorer.exe是为了只允许自己修改扩展名.不勾选报告,否则日志量大.
保护缓存文件免受密码和电子邮件地址窃贼的攻击
\ProgramFiles\WindowsMediaPlayer\wmplayer.exe,C:
\WINDOWS\system32\dwwin.exe,C:
\KangXiDict\eKangXi.exe,E:
\ProgramFiles\COMODO\COMODOInternetSecurity\cfp.exe,E:
\ProgramFiles\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:
隐私保护规则.防止病毒、木马读取上网隐私.排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为).
《防病毒爆发控制》
将所有共享项设为只读(系统组)
\WINDOWS\Explorer.EXE,C:
\WINDOWS\SoftwareDistribution\**\update.exe,C:
\Windows\System32\csrss.exe,C:
\Windows\system32\DeviceDisplayObjectProvider.exe,C:
\WINDOWS\system32\drwtsn32.exe,C:
\Windows\system32\mmc.exe,C:
\Windows\system32\notepad.exe,C:
\Windows\System32\services.exe,C:
\Windows\System32\smss.exe,C:
\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe,C:
\Windows\SysWOW64\notepad.exe,C:
\Windows\SysWOW64\rundll32.exe,C:
\Windows\SysWOW64\runonce.exe,C:
\Windows\SysWOW64\WerFault.exe,E:
\KangXiDict\eKangXi.e
升级会员 