也想出现在这里? 联系我们

麦咖啡McAfee 企业版 8.8规则设置(初级篇)

作者 : 小编 本文共15147个字,预计阅读时间需要38分钟 发布时间: 2021-06-11 共3.42K人阅读
也想出现在这里? 联系我们

McAfee是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。 一、通配符 McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法: *\\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。 **\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。 *\\**\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。 文件的通配符表示方法: *\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。 **\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。 *\\**\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。 *\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)。 **\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。 *\\**\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。 文件夹名的通配符表示方法: Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。 PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等。关于PROGRA~1,百度一下就知道了。 *\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效) **\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效) *\\**\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效) 要包含的进程通配符表示方法: *:表示所有进程。 **:表示所有进程。 *.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题)。 其它:?:\\*:单独表示根目录继续有效。   说明:经实践,以上语法在8.7i中同样有效。 二、规则设置思路 规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同。下面是两种防御思路: 1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。 2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止。这种思路的关键是白名单必须找准。 说明:此思路的规则坛子里目前空白,有兴趣的可以一试。系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的。然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的。 3、干净PC,入口防御。即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载。 以上每一种思路下都可以做到非常严格和相对宽松。 下面就以第一种思路为例来设置McAfee 8.8 规则。 三、前期准备 1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。 2、划分信任区。我的划分比较严格: *\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.* 说明:信任区包括任意盘符下带后缀的系统程序,安装在Program Files、Program Files (x86)以及非Program Files下的应用软件,32、64位通用,加入*\\PROGRA~?\\**\\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着)。4KBrowser四库全书,AloneSbck四部丛刊,EMPIRE EARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可。 3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。 4、安排规则框架。 (1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是,这是咖啡的极致规则,“阻止对所有共享资源的读写访问”开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以,其它三个规则在用户定义的规则中加不加两可。 (2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序 (3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等。 万事俱备,下面就实践吧! 四、规则设置(McAfee 8.8 天诺规则 文字版) (一)默认规则设置 《防间谍程序标准保护》 规则名称:保护Internet Explorer收藏夹和设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 《防间谍程序最大保护》 规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止所有程序从 Temp 文件夹运行文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止从 Temp 文件夹执行脚本 要包含的进程:?script.exe 要排除的进程:无 《防病毒标准保护》 规则名称:禁止禁用注册表编辑器和任务管理器 要包含的进程:* 要排除的进程:无 规则名称:禁止更改用户权限策略 要包含的进程:* 要排除的进程:*\\WINDOWS\\**\\*.* 规则名称:禁止远程创建/修改可执行文件和配置文件 要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败) 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止远程创建自动运行文件 要包含的进程:* 要排除的进程:无 规则名称:禁止拦截 .EXE 和其他可执行文件扩展名 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止伪装 Windows 进程 要包含的进程:* 要排除的进程:*\\WINDOWS\\Explorer.EXE 规则名称:禁止群发邮件蠕虫发送邮件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止 IRC 通信 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止使用 tftp.exe 要包含的进程:* 要排除的进程:无 《防病毒最大保护》 规则名称:禁止 Svchost 执行非 Windows 可执行文件 要包含的进程:svchost.exe 要排除的进程:无 规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止更改所有文件扩展名的注册 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 《防病毒爆发控制》 规则名称:将所有共享项设为只读 要包含的进程:system:remote 要排除的进程:无 规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 ) 要包含的进程:*.* 要排除的进程:*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.* 说明:这条规则的作用即“禁止非信任区程序访问-文件”。 《通用标准保护》 规则名称:禁止修改 McAfee 文件和设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.*, *\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, * \\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\regedit.exe, *\\WINDOWS\\system32\\svchost.exe 规则名称:禁止修改 McAfee Common Management Agent 文件和设置 要包含的进程:* 要排除的进程:*\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, *\\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\system32\\svchost.exe, *\\Program Files*\\**\\McAfee\\**\\*.* 规则名称:禁止修改 McAfee 扫描引擎文件和设置 要包含的进程:* 要排除的进程:*\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, *\\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\system32\\svchost.exe, *\\Program Files*\\**\\McAfee\\**\\*.*, *\\WINDOWS\\Explorer.EXE 规则名称:保护 Mozilla 及 FireFox 文件和设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:保护 Internet Explorer 设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:保护网络设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止公用程序从 Temp 文件夹运行文件 要包含的进程:iexplore.exe 要排除的进程:无 规则名称:在 Internet Explorer 中禁用 HCP URL 要包含的进程:* 要排除的进程:无 规则名称:防止终止 McAfee 进程 要包含的进程:* 要排除的进程:无 《通用最大保护》 规则名称:禁止将程序注册为自动运行 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止将程序注册为服务 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止在 Windows 文件夹中创建新的可执行文件 要包含的进程:* 要排除的进程:无 规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件 要包含的进程:* 要排除的进程:*\\Program Files*\\McAfee\\Common Framework\\FrameworkService.exe 规则名称:禁止从 Downloaded Program Files 文件夹启动文件 要包含的进程:* 要排除的进程:无 规则名称:禁止 FTP 通信 要包含的进程:* 要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe 规则名称:禁止 HTTP 通信 要包含的进程:*.* 要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp 《虚拟机保护》 规则名称:防止终止 VMWare 进程 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止修改 VMWare Workstation 文件和设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止修改 VMWare Server 文件和设置 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 规则名称:禁止修改 VMWare 虚拟机文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* (二)用户定义的规则运行(此部分可以选择性设置,不必求全) 1、禁止非信任区程序(此部分可以没有,原因见前“规则框架”) 1.01 规则名称:禁止非信任区程序访问-文件 要包含的进程:* 要排除的进程:*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\WINDOWS\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.* 要阻止的文件或文件夹名:**\\* 要禁止的文件:读取 写入 执行 创建 删除 1.01 规则名称:禁止非信任区程序访问-注册表(项) 要包含的进程:* 要排除的进程:*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\WINDOWS\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.* 要保护的注册表项目或注册表值:HKALL /** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除 1.02 规则名称:禁止非信任区程序访问-注册表(值) 要包含的进程:* 要排除的进程:*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\WINDOWS\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.* 要保护的注册表项目或注册表值:HKALL /** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除 1.03 规则名称:禁止非信任区程序访问-端口 要包含的进程:*.* 要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe 要阻止的端口:1-65535 方向:入站 出站 2、保护信任区关键部位(此部分必须有) 2.01 规则名称:保护windows下的COM文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.com 要禁止的文件:写入 创建 2.02 规则名称:保护windows下的VXD驱动 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.vxd 要禁止的文件:创建 2.03 规则名称:保护windows下的DRV驱动 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.drv 要禁止的文件:创建 2.04 规则名称:保护windows下的OCX控件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.ocx 要禁止的文件:写入 创建 2.05 规则名称:保护windows下的EXE文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.*, *\\WINDOWS\\system32\\Rundll32.exe 要阻止的文件或文件夹名:**\\WINDOWS\\**\\*.exe 要禁止的文件:写入 创建 2.06 规则名称:保护windows下的DLL文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.* 要阻止的文件或文件夹名:**\\WINDOWS\\**\\*.dll 要禁止的文件:写入 创建 2.07 规则名称:保护windows下的PIF文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.pif 要禁止的文件:写入 创建 2.08 规则名称:保护windows下的SCR文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.scr 要禁止的文件:写入 创建 2.09 规则名称:保护windows下的SYS驱动 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\windows\\**\\*.sys 要禁止的文件:创建 2.10 规则名称:保护Program Files*下的COM文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\Program Files*\\**\\*.com 要禁止的文件:写入 创建 2.11 规则名称:保护Program Files*下的COM文件2 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:E:\\**\\*.com 要禁止的文件:写入 创建   说明:我的四库全书大型软件等都装在E盘,阻止E:\\**\\*.com可以全覆盖,没有的去掉这类即可。下同。 2.12 规则名称:保护Program Files*下的SCR文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\Program Files*\\**\\*.scr 要禁止的文件:写入 创建 2.13 规则名称:保护Program Files*下的SCR文件2 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:E:\\**\\*.scr 要禁止的文件:写入 创建 2.14 规则名称:保护Program Files*下的PIF文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\Program Files*\\**\\*.pif 要禁止的文件:写入 创建 2.15 规则名称:保护Program Files*下的PIF文件2 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:E:\\**\\*.pif 要禁止的文件:写入 创建 2.16 规则名称:保护Program Files*下的EXE文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.* 要阻止的文件或文件夹名:**\\Program Files*\\**\\*.exe 要禁止的文件:创建 2.17 规则名称:保护Program Files*下的EXE文件2 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.* 要阻止的文件或文件夹名:E:\\**\\*.exe 要禁止的文件:创建 2.18 规则名称:保护Program Files*下的DLL文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.* 要阻止的文件或文件夹名:**\\Program Files*\\**\\*.dll 要禁止的文件:写入 创建 2.19 规则名称:保护Program Files*下的DLL文件2 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.* 要阻止的文件或文件夹名:E:\\**\\*.dll 要禁止的文件:写入 创建 3、其它保护(此部分可以选择) 3.01 规则名称:保护根目录 要包含的进程:* 要排除的进程:*\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.* 要阻止的文件或文件夹名:?:\\* 要禁止的文件:写入 创建 删除 3.02 规则名称:禁止在本机非法修改EXE文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\EMPIRE EARTH\\**\\*.* 要阻止的文件或文件夹名:**\\*.exe 要禁止的文件:写入 3.03 规则名称:禁止在本机非法执行TMP文件 要包含的进程:* 要排除的进程:*\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\Windows\\system32\\svchost.exe, *\\AloneSbck\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\EMPIRE EARTH\\**\\*.* 要阻止的文件或文件夹名:**\\*.tmp 要禁止的文件:执行 3.04 规则名称:禁止在本机非法创建BAT文件 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\*.bat 要禁止的文件:创建 3.05 规则名称:禁止在本机非法执行脚本文件 要包含的进程:?script.exe 要排除的进程:无 要阻止的文件或文件夹名:**\\** 要禁止的文件:执行 3.06 规则名称:禁止在本机非法创建CPI文件 要包含的进程:* 要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.cpl 要禁止的文件操作:写入 创建 删除 3.07 规则名称:禁止在本机非法创建INI文件 要包含的进程:* 要排除的进程:*\\**工具\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.* 要阻止的文件或文件夹名:**\\*.ini 要禁止的文件操作:写入 创建 删除 说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。 3.08 规则名称:禁止在本机非法创建MSC文件 要包含的进程:* 要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.msc 要禁止的文件操作:写入 创建 删除 3.09 规则名称:禁止在本机非法创建MSI文件 要包含的进程:* 要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.msi 要禁止的文件操作:写入 创建 删除 3.01 规则名称:禁止在本机非法创建VBS文件 要包含的进程:* 要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.vbs 要禁止的文件操作:写入 创建 删除 3.11 规则名称:禁止*autorun*.*任何操作 要包含的进程:* 要阻止的文件或文件夹名:**\\*autorun*.* 要禁止的文件操作:读取 写入 执行 创建 删除 说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行 3.12 规则名称:禁止修改gho文件 要包含的进程:* 要阻止的文件或文件夹名:**\\*.gho 要禁止的文件操作:读取 写入 执行 创建 删除 3.13 规则名称:保护安全模式设置 要包含的进程:* 要排除的进程:无 要保护的注册表项目或注册表值:HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除 3.14 规则名称:防止映像劫持 要包含的进程:* 要排除的进程:无 要保护的注册表项目或注册表值:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除 3.15 规则名称:禁止通过注册表编辑器与.reg文件对注册表进行任何操作 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\regedit.exe 要禁止的文件操作:读取 写入 执行 创建 删除 说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,通过文件访问对注册表外部进行保护。 3.16 规则名称:禁止管理工具的操作 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\mmc.exe 要禁止的文件操作:读取 写入 执行 创建 删除 说明:管理工具里都是重要的系统工具 3.17 规则名称:禁止格式化命令format的运行 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\format.* 要禁止的文件操作:读取 写入 执行 创建 删除 说明:针对一些格式化病毒的防护措施 3.18 规则名称:禁止net命令的运行 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\net*.exe 要禁止的文件操作:读取 写入 执行 创建 删除 说明:对远程攻击的防护措施 3.19 规则名称:禁止at命令的运行 要包含的进程:* 要排除的进程:无 要阻止的文件或文件夹名:**\\at.exe 要禁止的文件操作:读取 写入 执行 创建 删除 说明:对远程攻击的防护措施 3.20 规则名称:禁止任何远程操作 要包含的进程:System:Remote 要排除的进程:无 要阻止的文件或文件夹名:**\\* 要禁止的文件操作:读取 写入 执行 创建 删除 说明:通过文件保护禁止了远程的一切行为 五、规则导出 运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置: XP及更高版本32位:[HKEY_LOCAL_MACHINE\\SOFTWARE\\McAfee\\SystemCore\\VSCore\\On Access Scanner\\BehaviourBlocking] 64位:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\McAfee\\SystemCore\\VSCore\\On Access Scanner\\BehaviourBlocking] 六、规则分享 64位规则(在Windows Server 2008 R2 下设置而成): McAfee 8.8 天诺规则正式版 64位.rar 32位规则(修改64位规则注册表位置而成): McAfee 8.8 天诺规则正式版 32位.rar XP规则(在Windows XP 下设置而成): McAfee 8.8 天诺规则正式版 XP.rar 上面的几个文件脚本之家小编已经给打包好了。

软件名称:
McAfee 8.8 企业版规则正式版 32/64位 for xp、win7、2008打包
软件大小:
16KB
更新时间:
2016-09-04立即下载

更新说明: 1、删除重复规则; 2、调整部分通配符,运行更流畅,保护更全面; 3、修订少数规则,安全性有所提升; 4、端口规则变化较大,请善用之; 5、绿色软件、电子书请分别放到任意位置的“**工具”和“**电子书”文件夹中,可以正常运行,不干坏事不会触红; 6、保持风格:中规中矩,稳重细腻,安全易用; 7、帖子中的文字版未作大的改动。      规则导入:关闭访问保护,双击规则文件。   规则修改:导入规则,在 控制台——访问保护 中增加、减少或修改包含、排除、阻止的进程以及操作、报告等,完毕再导出,这规则就是你的了。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 麦咖啡McAfee 企业版 8.8规则设置(初级篇)

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录