发布时间 : 星期三 文章麦咖啡McAfee 8.8企业版规则设置(高级篇)更新完毕开始阅读
麦咖啡McAfee8.8企业版规则设置(高级篇)
规则要点:
1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化.
2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制.
3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐. 4、易用性稍差,视个人软件情况,有的排除量可能较大. 5、流畅性极好,飞一般的享受.
6、支持系统自动监测更新,下载并安装时最好关闭访问保护.
7、默认支持与金山网盾、毛豆纯墙\\HIP8.0(二选一)安全搭配,一般用户单奔足矣. 8、不直接分享规则,规则自己设置:
(1)系统进程基本排除完毕,出现触红需要谨慎排除.
(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\\替换成C:\\或D:\\等).
友情提示:如果追求通用,可以把软件路径中的\替换成\即可,安全性影响很小.
(3)没有排除的软件根据日志排除,或自行整理后添加排除.
排除技巧:一般软件要想正常运行,需要在\禁止远程创建/修改可执行文件和配置文件\、\将所有共享项设为只读\、\保护Windows下的文件\、\保护Windows注册表_项\、\保护Windows注册表_值\规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在\保护电话簿文件免受密码和电子邮件地址窃贼的攻击\、\保护缓存文件免受密码和电子邮件地址窃贼的攻击\中排除.
(4)排除原则:善用百度搜索,辅以http://www.virscan.org/扫描,放行已知安全,杜绝一切隐患.
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则. (6)不同系统,规则设置有所区别,请详细阅读规则说明.
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!不好折腾的朋友不建议使用!
规则设置:
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称:保护InternetExplorer收藏夹和设置 要包含的进程:** 要排除的进程:C:\\Windows\\Explorer.EXE,C:\\ProgramFiles\\InternetExplorer\\iexplore.exe 是否勾选报告:否
----------------------------------------
说明:排除C:\\ProgramFiles\\InternetExplorer\\iexplore.exe,C:\\Windows\\Explorer.EXE是为了自己能够修改InternetExplorer收藏夹和设置.不勾选报告,避免大量日志.
《防间谍程序最大保护》
规则名称:禁止安装新的CLSID、APPID和TYPELIB 要包含的进程:** 要排除的进程:无 是否勾选报告:否
----------------------------------
说明:该规则用于阻止新的COMservers的安装和注册.某些广告以及间谍程序能够将自身添加到MicrosoftInternetExplorer的COM加载项中,或者附加到MicrosoftOffice.安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告.
规则名称:禁止所有程序从Temp文件夹运行文件 要包含的进程:** 要排除的进程:C:\\ProgramFiles\\McAfee\\HostIntrusionPrevention\\FireSvc.exe,C:\\ProgramFiles\\McAfee\\HostIntrusionPrevention\\FireTray.exe,C:\\ProgramFiles\\McAfee\\HostIntrusionPrevention\\McAfeeFire.exe,E:\\ProgramFiles\\COMODO\\COMODOInternetSecurity\\cmdinstall.exe,E:\\ProgramFiles\\McAfee\\CommonFramework\\FrameworkService.exe,E:\\ProgramFiles\\McAfee\\CommonFramework\\McScanCheck.exe,E:\\ProgramFiles\\McAfee\\CommonFramework\\McTray.exe,E:\\ProgramFiles\\McAfee\\CommonFramework\\UdaterUI.exe 是否勾选报告:是
-----------------------------
说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的Temp文件夹下,再运行.该规则其中之一的目的在于不断地提醒用户:\切勿从email中打开附件.\而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及InternetExplorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著.排除咖啡相关进程是为了正常升级和使用.
规则名称:禁止从Temp文件夹执行脚本 要包含的进程:?script.exe 要排除的进程:无 是否勾选报告:否
-------------------------------
说明:阻止Windows脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式.没必要勾选报告.
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器 要包含的进程:** 要排除的进程:无
是否勾选报告:是
------------------------------------
说明:保护Windows注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用.不用排除.
规则名称:禁止更改用户权限策略 要包含的进程:**
要排除的进程:C:\\Windows\\system32\\lsass.exe 是否勾选报告:是
------------------------------------
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限.排除应该极少.
规则名称:禁止远程创建/修改可执行文件和配置文件(系统组) 要包含的进程:**(Win7下用*.*) 要排除的进程:*\\ProgramFiles\\**\\*.*,*\\WINDOWS\\system32\\WBEM\\WMIADAP.EXE,*\\WINDOWS\\system32\\winlogon.exe,C:\\Windows\\Explorer.EXE,C:\\Windows\\Microsoft.NET\\Framework64\\**\\mscorsvw.exe,C:\\Windows\\Microsoft.NET\\Framework\\**\\mscorsvw.exe,C:\\WINDOWS\\regedit.exe,C:\\Windows\\servicing\\TrustedInstaller.exe,C:\\WINDOWS\\SoftwareDistribution\\Download\\**\%update.exe,C:\\Windows\\System32\\cleanmgr.exe,C:\\WINDOWS\\system32\\defrag.exe,C:\\WINDOWS\\system32\\imapi.exe,C:\\Windows\\system32\\lsass.exe,C:\\Windows\\System32\\msdtc.exe,C:\\Windows\\System32\\rundll32.exe,C:\\Windows\\system32\\services.exe,C:\\Windows\\system32\\sppsvc.exe,C:\\Windows\\system32\\svchost.exe,C:\\Windows\\system32\\wbem\\WMIADAP.EXE,C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe,C:\\Windows\\system32\\wuapp.exe,C:\\WINDOWS\\system32\\wuauclt.exe,C:\\Windows\\SysWOW64\\rundll32.exe,E:\\4KBrowser\\4KServer\\4KServer.exe,E:\\4KBrowser\\4kText.exe,E:\\AloneSbck\\SbckServer\\SbckServer.exe,E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE,E:\\KangXiDict\\eKangXi.exe 是否勾选报告:是
--------------------------------
说明:该规则是规则\将所有共享项设为只读\的阉割版.保护了*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\\*.ini不被修改.按绝对路径排除已知的安全程序,全局有效防止了对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\\*.ini的创建、写入、删除.只此一条,就涵盖了坛子里原有规则自定义规则的N条.还有com、sys、drv、vxd、bat等,交给自定义规则补充吧.此处排除的是系统组进程,软件组在自定义中补充.(友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同.) 规则名称:禁止远程创建自动运行文件 要包含的进程:** 要排除的进程:无
要阻止的文件或文件夹名:autorun.inf 是否勾选报告:是
-------------------------------- 说明:禁止创建所有自动播放.
规则名称:禁止拦截.EXE和其他可执行文件扩展名 要包含的进程:** 要排除的进程:无 是否勾选报告:是
--------------------------------------
说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件.
规则名称:禁止伪装Windows进程 要包含的进程:** 要排除的进程:无 是否勾选报告:是
--------------------------------------- 说明:禁止针对Windows核心进程svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe的任何操作,防止浑水摸鱼.启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的Windows文件不受该规则限制.切记不用排除.
规则名称:禁止群发邮件蠕虫发送邮件 要包含的进程:** 要排除的进程:无 是否勾选报告:是
----------------------------
说明:邮件客户端,禁止通过SMTP端口(25和587)出站发送email.需要排除所用邮件软件的进程,否则软件将无法使用.
规则名称:禁止IRC通信 要包含的进程:** 要排除的进程:无 是否勾选报告:是
---------------------------
说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令.
规则名称:禁止使用tftp.exe 要包含的进程:** 要排除的进程:无 是否勾选报告:是
---------------------------------
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒.使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除.
《防病毒最大保护》
规则名称:禁止Svchost执行非Windows可执行文件 要包含的进程:svchost.exe