查看: 6814|回复: 44
收起左侧

[讨论] mcafee企业版自定义的控制规则

[复制链接]
jxfaiu
发表于 2012-9-16 10:00:26 | 显示全部楼层 |阅读模式
本帖最后由 jxfaiu 于 2013-6-20 16:22 编辑

mcafee企业版自定义的控制规则,我在这抛砖引玉,不妥之处望大大们指正.

规则名称:禁止非信任Windows进程修改文件
要包含的进程:C:\Windows\**
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\regedit.exe,C:\WINDOWS\system32\NOTEPAD.EXE
要阻止的文件或文件夹名:*
要禁止的文件操作:写入 创建 删除
阻挡

规则名称: 禁止修改Windows文件
要包含的进程:*
要排除的进程:c:\Program Files\**\McAfee\**\*.*,  C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:写入 创建 删除
阻挡

规则名称:禁止修改程序共享文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Program Files*\Common Files\**
要禁止的文件操作:写入 创建 删除
阻挡

规则名称: 禁止修改驱动区域文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Windows\Sys*\Dr*\**
要禁止的文件操作:写入 创建 删除
阻挡

规则名称:禁止读取-bat
要包含的进程:*
要排除的进程:
要阻止的文件或文件名: **.bat
要禁止的文件操作:  读

规则名称:禁止读取-cpl
要包含的进程:*
要排除的进程: C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件名: **.cpl
要禁止的文件操作:  读

规则名称:禁止读取-js
要包含的进程:*
要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件名: **.js
要禁止的文件操作:  读

规则名称:禁止读取-jse
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.jse
要禁止的文件操作:读取


规则名称:禁止读取-msc
要包含的进程:*
要排除的进程: C:\WINDOWS\system32\mmc.exe
要阻止的文件或文件名: **.msc
要禁止的文件操作:  读


规则名称:禁止读取-msi
要包含的进程:*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件名: **.msi
要禁止的文件操作:  读

规则名称:禁止读取-msp
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.msp
要禁止的文件操作:读取


规则名称:禁止读取-sys
要包含的进程:*
要排除的进程 :
要阻止的文件或文件名: **.sys
要禁止的文件操作:  读取


规则名称:禁止读取-vbd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbd
要禁止的文件操作:读取

规则名称:禁止读取-vbe
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbe
要禁止的文件操作:读取

规则名称:禁止读取-vbs
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbs
要禁止的文件操作:读取

规则名称:禁止读取-vxd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vxd
要禁止的文件操作:读取

规则名称:禁止读取-wsf
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.wsf
要禁止的文件操作:读取

规则名称:禁止读取-wsh
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.wsh
要禁止的文件操作:读取

规则名称:禁止非信任Windows进程访问文件
要包含的进程:C:\Windows\**
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称: The Access Control Of Script Files/可执行文件访问控制
要包含的进程:?script.exe, cmd.exe
要排除的进程:
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称:禁止执行Windows进程
要包含的进程:*
要排除的进程:c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明:C:\Windows\**.exe
要禁止的文件操作:执行

规则名称:禁止执行-D
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:D:\**
要禁止的文件操作:执行

规则名称:禁止执行-E
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:E:\**
要禁止的文件操作:执行

规则名称:禁止执行-F
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:F:\**
要禁止的文件操作:执行

规则名称:禁止执行-bat
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.bat
要禁止的文件操作:执行

规则名称:禁止执行-cmd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.cmd
要禁止的文件操作: 执行

规则名称:禁止执行-com
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.com
要禁止的文件操作: 执行

规则名称:禁止执行-cpl
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe,C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件夹名:**.cpl
要禁止的文件操作:执行

规则名称:禁止执行-dll
要包含的进程:*
要排除的进程: C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:执行

规则名称:禁止执行-drv
要包含的进程:*
要排除的进程:C:\Program Files\**, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\SNDVOL32.EXE
要阻止的文件或文件夹名:**.drv
要禁止的文件操作:执行

规则名称:禁止执行-exe
要包含的进程:*
要排除的进程:C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:执行

规则名称:禁止执行-inf
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.inf
要禁止的文件操作:执行

规则名称:禁止执行-js
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.js
要禁止的文件操作:执行

规则名称:禁止执行-jse
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.jse
要禁止的文件操作: 执行

规则名称:禁止执行-ocx
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件夹名:**.ocx
要禁止的文件操作:执行

规则名称:禁止执行-msc
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.msc
要禁止的文件操作:执行

规则名称:禁止执行-msi
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.msi
要禁止的文件操作:执行

规则名称:禁止执行-msp
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.msp
要禁止的文件操作: 执行

规则名称:禁止执行-sys
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.sys
要禁止的文件操作:执行

规则名称:禁止执行-vbd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbd
要禁止的文件操作: 执行

规则名称:禁止执行-vbe
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbe
要禁止的文件操作: 执行

规则名称:禁止执行-vbs
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbs
要禁止的文件操作: 执行

规则名称:禁止执行-vxd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vxd
要禁止的文件操作: 执行

规则名称:禁止执行-wsf
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.wsf
要禁止的文件操作: 执行

规则名称:禁止执行-wsh
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.wsh
要禁止的文件操作: 执行

规则名称:禁止执行-386
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.386
要禁止的文件操作:执行

规则名称:禁止执行-ie
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\*.exe,  C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**\Internet Explorer\**
要禁止的文件操作: 执行

以上排除是XPsp3系统,IE8浏览器,C:\WINDOWS\system32\spoolsv.exe夏普打印机进程,上面规则没有排除的可不勾选报告,不影响程序运行及其全部功能我是绝不排除;我的原有规则是:mcafee8.7ip4XP邪版系统加强规则加深红的雪部分入口规则添加了墨大的卧龙规则9系列再增加以上的自定义,关机不使用快速组件,关机正常,开机已在安全模式设置启用本地用户安全密码策略及设置了用户系统登陆密码,请在2分钟之内输入密码,超时需重启方可输入密码进入系统,系统正常模式需关闭访问保护才能运行管理工具;在此感谢小邪邪,深红的雪,墨大等诸位大大们提供的好规则.如需添加以上规则,所有程序都安装在C盘,因为D,E,F盘的任何文件都禁止了执行.

谢谢叶知大大的指正,经参阅http://bbs.kafan.cn/thread-1241733-1-1.html『可执行控制规则』,控制规则做如下调整:


规则名称:禁止非信任Windows进程修改文件
要包含的进程:C:\Windows\**
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\regedit.exe,C:\WINDOWS\system32\NOTEPAD.EXE
要阻止的文件或文件夹名:*
要禁止的文件操作:写入 创建 删除
阻挡

规则名称: 禁止修改Windows文件
要包含的进程:*
要排除的进程:c:\Program Files\**\McAfee\**\*.*,  C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:写入 创建 删除
阻挡

规则名称:禁止修改程序共享文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Program Files*\Common Files\**
要禁止的文件操作:写入 创建 删除
阻挡

规则名称: 禁止修改驱动区域文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Windows\Sys*\Dr*\**
要禁止的文件操作:写入 创建 删除
阻挡


规则名称: The Access Control Of Of Script Files/可执行文件访问控制-BAT(全局禁读)
要包含的进程:*
要排除的进程:
要阻止的文件或文件名: **.bat
要禁止的文件操作:  读

规则名称: The Access Control Of Of Script Files/可执行文件访问控制-cpl(非,全局禁读)
要包含的进程:*
要排除的进程: C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件名: **.cpl
要禁止的文件操作:  读

规则名称: The Access Control Of Of Script Files/可执行文件访问控制-JS(非,全局禁读)
要包含的进程:*
要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件名: **.js
要禁止的文件操作:  读

规则名称: The Access Control Of Of Script Files/可执行文件访问控制-VBS(全局禁读)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbs
要禁止的文件操作:读取

规则名称: 禁止非信任Windows进程访问文件
要包含的进程:C:\Windows\**
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称: The Access Control Of Script Files/可执行文件访问控制
要包含的进程:?script.exe, cmd.exe
要排除的进程:
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称:禁止执行Windows进程
要包含的进程:*
要排除的进程:c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明:C:\Windows\**.exe
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-D
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:D:\**
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-E
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:E:\**
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-F
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:F:\**
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-cmd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.cmd
要禁止的文件操作: 执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-com
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.com
要禁止的文件操作: 执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-cpl
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe,C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件夹名:**.cpl
要禁止的文件操作:执行

规则名称:The Access Control Of Executable Regions/可执行区域控制-dll
要包含的进程:*
要排除的进程: C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-drv
要包含的进程:*
要排除的进程:C:\Program Files\**, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\SNDVOL32.EXE
要阻止的文件或文件夹名:**.drv
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-exe
要包含的进程:*
要排除的进程:C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-ocx
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件夹名:**.ocx
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-sys
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.sys
要禁止的文件操作:执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-vxd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vxd
要禁止的文件操作: 执行

规则名称: The Access Control Of Executable Regions/可执行区域控制-386
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.386
要禁止的文件操作:执行

规则名称: 禁止执行-ie
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\*.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**\Internet Explorer\**
要禁止的文件操作: 执行

评分

参与人数 2经验 +20 人气 +1 收起 理由
墨池 + 1 版区有你更精彩: )
心跳回忆 + 20 版区有你更精彩: )

查看全部评分

shiyuelaohu
发表于 2012-9-16 10:19:21 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2012-9-16 10:20 编辑

禁止执行DEF盘文件,在什么情况下开启呢?
我自己这里也有一个规则,拿出来分享下,
12 防U盘病毒
*.*
C:\**, D:\**, E:\**, F:\**
*
所有操作。

评分

参与人数 1人气 +1 收起 理由
墨池 + 1

查看全部评分

jxfaiu
 楼主| 发表于 2012-9-16 10:21:19 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件,在什么情况下开启呢?

我的所有程序都安装在C盘,一直开着,安装程序时关闭访问保护.
shiyuelaohu
发表于 2012-9-16 10:30:31 | 显示全部楼层
可否考虑过来个全局禁运vxd文件,这个个人感觉经常被病毒利用。
jxfaiu
 楼主| 发表于 2012-9-16 10:35:42 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:30
可否考虑过来个全局禁运vxd文件,这个个人感觉经常被病毒利用。


禁止vxd,读取 执行.我记得曾经添加过后来删啦.
shiyuelaohu
发表于 2012-9-16 10:39:36 | 显示全部楼层
jxfaiu 发表于 2012-9-16 10:35
禁止vxd,读取 执行.我记得曾经添加过后来删啦.

为什么?我这几天倒是准备来个exe、vxd和dll禁运,有了这三个就已经够霸道了。
jxfaiu
 楼主| 发表于 2012-9-16 10:41:58 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:39
为什么?我这几天倒是准备来个exe、vxd和dll禁运,有了这三个就已经够霸道了。


exe、dll需谨慎排除,不影响运行及使用功能我都不排除.sys也是个关键(驱动)
rlx
发表于 2012-9-16 10:44:05 | 显示全部楼层
其实自己用着感觉好就行
jxfaiu
 楼主| 发表于 2012-9-16 10:50:36 | 显示全部楼层
本帖最后由 jxfaiu 于 2012-9-16 10:52 编辑
rlx 发表于 2012-9-16 10:44
其实自己用着感觉好就行


本来就是,恶意不可能天天光顾的,加强些控制也没坏处.
叶知
发表于 2012-9-16 11:53:47 | 显示全部楼层
不少地方有着错误:部分可执行文件,仅能够使用【读取】控制

规则名称:禁止执行-js
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.js
要禁止的文件操作:执行


该规则无效;另【规则名称:禁止读取-js】已给予了控制

--

部分规则重复:使用【读取】与【执行】,在规则效力上基本一致(附:XP中可能不一致;但防御效果基本相同;而在Win7中一致)

--

主要问题出现在【可执行文件控制】上,对【读取】与【执行】的控制能力上没有较深的认识

附:你的规则应该参照了『【可执行全面控制规则】』;然而,该版本的规则并不完整和完全正确!!!

在『《访问保护规则原理》』中的【规则效力】-【执行规则】,才有着较为完整的描述!!


评分

参与人数 2经验 +5 人气 +1 收起 理由
墨池 + 1 版区有你更精彩: )
心跳回忆 + 5 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:34 , Processed in 0.121014 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表