McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则
McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段:
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到:
第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、U盘规则禁止创建可执行文件,如猫版64位Win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。
规则名称:只读权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:只读保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:写 创建 删除
第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制Windows文件夹下的文件的运行权限,应该写成:
规则名称:读写权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
这样就可以防止Windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为:
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架:
一、读写双向权限(修改默认规则)
规则名称:阻止对所有共享资源的读写访问
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
--------------------------------------------
权限:运行权力+访问保护。
作用:禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除:不要使用绝对路径,目的有二:一是保证规则优先起作用(咖啡规则有一定的优先级,下面专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称:将所有共享项设为只读
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四:禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称:读写权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除,内存进程参照*\WINDOWS\system32\winlogon.exe排除。
规则名称:读写权限_C:\Program Files
要包含的进程:C:\Program Files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:分组运行权限_E:\Program Files
要包含的进程:E:\Program Files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如C:\Program Files\McAfee\**、C:\Program Files\Microsoft Office\**、C:\Program Files\Common Files\**等。
四、只读权限
规则名称:只读权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读权限_Program Files
要包含的进程:*\Program Files*\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
五、读写保护
规则名称:读写保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
规则名称:读写保护_Program Files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
六、只读保护
规则名称:只读保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读保护_Program Files
要包含
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段:
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到:
第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、U盘规则禁止创建可执行文件,如猫版64位Win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。
规则名称:只读权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:只读保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:写 创建 删除
第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制Windows文件夹下的文件的运行权限,应该写成:
规则名称:读写权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
这样就可以防止Windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为:
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架:
一、读写双向权限(修改默认规则)
规则名称:阻止对所有共享资源的读写访问
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
--------------------------------------------
权限:运行权力+访问保护。
作用:禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除:不要使用绝对路径,目的有二:一是保证规则优先起作用(咖啡规则有一定的优先级,下面专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称:将所有共享项设为只读
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四:禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称:读写权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除,内存进程参照*\WINDOWS\system32\winlogon.exe排除。
规则名称:读写权限_C:\Program Files
要包含的进程:C:\Program Files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:分组运行权限_E:\Program Files
要包含的进程:E:\Program Files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如C:\Program Files\McAfee\**、C:\Program Files\Microsoft Office\**、C:\Program Files\Common Files\**等。
四、只读权限
规则名称:只读权限_Windows
要包含的进程:*\Windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读权限_Program Files
要包含的进程:*\Program Files*\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
五、读写保护
规则名称:读写保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
规则名称:读写保护_Program Files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
六、只读保护
规则名称:只读保护_Windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读保护_Program Files
要包含
以上就是McAfee麦咖啡企业版8.8设置方法的详细内容,更多请关注0133技术站其它相关文章!
