mcafee企业版自定义的控制规则

jxfaiu

mcafee企业版自定义的控制规则,我在这抛砖引玉,不妥之处望大大们指正.

规则名称：禁止非信任Windows进程修改文件
要包含的进程：C:\Windows\**
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\regedit.exe,C:\WINDOWS\system32\NOTEPAD.EXE
要阻止的文件或文件夹名：*
要禁止的文件操作：写入 创建 删除
阻挡

规则名称： 禁止修改Windows文件
要包含的进程：*
要排除的进程：c:\Program Files\**\McAfee\**\*.*,  C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：写入 创建 删除
阻挡

规则名称：禁止修改程序共享文件
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Program Files*\Common Files\**
要禁止的文件操作：写入 创建 删除
阻挡

规则名称： 禁止修改驱动区域文件
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Windows\Sys*\Dr*\**
要禁止的文件操作：写入 创建 删除
阻挡

规则名称：禁止读取-bat
要包含的进程：*
要排除的进程:
要阻止的文件或文件名: **.bat
要禁止的文件操作:  读

规则名称：禁止读取-cpl
要包含的进程：*
要排除的进程: C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件名: **.cpl
要禁止的文件操作:  读

规则名称：禁止读取-js
要包含的进程：*
要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件名: **.js
要禁止的文件操作:  读

规则名称：禁止读取-jse
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.jse
要禁止的文件操作：读取


规则名称：禁止读取-msc
要包含的进程：*
要排除的进程: C:\WINDOWS\system32\mmc.exe
要阻止的文件或文件名: **.msc
要禁止的文件操作:  读


规则名称：禁止读取-msi
要包含的进程：*
要排除的进程:C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件名: **.msi
要禁止的文件操作:  读

规则名称：禁止读取-msp
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.msp
要禁止的文件操作：读取


规则名称：禁止读取-sys
要包含的进程：*
要排除的进程 :
要阻止的文件或文件名: **.sys
要禁止的文件操作:  读取


规则名称：禁止读取-vbd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbd
要禁止的文件操作：读取

规则名称：禁止读取-vbe
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbe
要禁止的文件操作：读取

规则名称：禁止读取-vbs
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbs
要禁止的文件操作：读取

规则名称：禁止读取-vxd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vxd
要禁止的文件操作：读取

规则名称：禁止读取-wsf
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.wsf
要禁止的文件操作：读取

规则名称：禁止读取-wsh
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.wsh
要禁止的文件操作：读取

规则名称：禁止非信任Windows进程访问文件
要包含的进程：C:\Windows\**
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称： The Access Control Of Script Files/可执行文件访问控制
要包含的进程：?script.exe, cmd.exe
要排除的进程：
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称：禁止执行Windows进程
要包含的进程：*
要排除的进程：c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明：C:\Windows\**.exe
要禁止的文件操作：执行

规则名称：禁止执行-D
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：D:\**
要禁止的文件操作：执行

规则名称：禁止执行-E
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：E:\**
要禁止的文件操作：执行

规则名称：禁止执行-F
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：F:\**
要禁止的文件操作：执行

规则名称：禁止执行-bat
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.bat
要禁止的文件操作：执行

规则名称：禁止执行-cmd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.cmd
要禁止的文件操作： 执行

规则名称：禁止执行-com
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.com
要禁止的文件操作： 执行

规则名称：禁止执行-cpl
要包含的进程：*
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe,C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件夹名：**.cpl
要禁止的文件操作：执行

规则名称：禁止执行-dll
要包含的进程：*
要排除的进程： C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：**.dll
要禁止的文件操作：执行

规则名称：禁止执行-drv
要包含的进程：*
要排除的进程：C:\Program Files\**, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\SNDVOL32.EXE
要阻止的文件或文件夹名：**.drv
要禁止的文件操作：执行

规则名称：禁止执行-exe
要包含的进程：*
要排除的进程：C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：**.exe
要禁止的文件操作：执行

规则名称：禁止执行-inf
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.inf
要禁止的文件操作：执行

规则名称：禁止执行-js
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.js
要禁止的文件操作：执行

规则名称：禁止执行-jse
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.jse
要禁止的文件操作： 执行

规则名称：禁止执行-ocx
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件夹名：**.ocx
要禁止的文件操作：执行

规则名称：禁止执行-msc
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.msc
要禁止的文件操作：执行

规则名称：禁止执行-msi
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.msi
要禁止的文件操作：执行

规则名称：禁止执行-msp
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.msp
要禁止的文件操作： 执行

规则名称：禁止执行-sys
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.sys
要禁止的文件操作：执行

规则名称：禁止执行-vbd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbd
要禁止的文件操作： 执行

规则名称：禁止执行-vbe
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbe
要禁止的文件操作： 执行

规则名称：禁止执行-vbs
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbs
要禁止的文件操作： 执行

规则名称：禁止执行-vxd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vxd
要禁止的文件操作： 执行

规则名称：禁止执行-wsf
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.wsf
要禁止的文件操作： 执行

规则名称：禁止执行-wsh
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.wsh
要禁止的文件操作： 执行

规则名称：禁止执行-386
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.386
要禁止的文件操作：执行

规则名称：禁止执行-ie
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\*.exe,  C:\Windows\Explorer.exe
要阻止的文件或文件夹名：**\Internet Explorer\**
要禁止的文件操作: 执行

以上排除是XPsp3系统,IE8浏览器,C:\WINDOWS\system32\spoolsv.exe夏普打印机进程,上面规则没有排除的可不勾选报告,不影响程序运行及其全部功能我是绝不排除;我的原有规则是:mcafee8.7ip4XP邪版系统加强规则加深红的雪部分入口规则添加了墨大的卧龙规则9系列再增加以上的自定义,关机不使用快速组件,关机正常,开机已在安全模式设置启用本地用户安全密码策略及设置了用户系统登陆密码,请在2分钟之内输入密码,超时需重启方可输入密码进入系统,系统正常模式需关闭访问保护才能运行管理工具;在此感谢小邪邪,深红的雪,墨大等诸位大大们提供的好规则.如需添加以上规则,所有程序都安装在C盘,因为D,E,F盘的任何文件都禁止了执行.

谢谢叶知大大的指正,经参阅http://bbs.kafan.cn/thread-1241733-1-1.html『可执行控制规则』,控制规则做如下调整:


规则名称：禁止非信任Windows进程修改文件
要包含的进程：C:\Windows\**
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\regedit.exe,C:\WINDOWS\system32\NOTEPAD.EXE
要阻止的文件或文件夹名：*
要禁止的文件操作：写入 创建 删除
阻挡

规则名称： 禁止修改Windows文件
要包含的进程：*
要排除的进程：c:\Program Files\**\McAfee\**\*.*,  C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：写入 创建 删除
阻挡

规则名称：禁止修改程序共享文件
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Program Files*\Common Files\**
要禁止的文件操作：写入 创建 删除
阻挡

规则名称： 禁止修改驱动区域文件
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Windows\Sys*\Dr*\**
要禁止的文件操作：写入 创建 删除
阻挡


规则名称： The Access Control Of Of Script Files/可执行文件访问控制-BAT（全局禁读）
要包含的进程：*
要排除的进程:
要阻止的文件或文件名: **.bat
要禁止的文件操作:  读

规则名称： The Access Control Of Of Script Files/可执行文件访问控制-cpl（非，全局禁读）
要包含的进程：*
要排除的进程: C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件名: **.cpl
要禁止的文件操作:  读

规则名称： The Access Control Of Of Script Files/可执行文件访问控制-JS（非，全局禁读）
要包含的进程：*
要排除的进程: C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件名: **.js
要禁止的文件操作:  读

规则名称： The Access Control Of Of Script Files/可执行文件访问控制-VBS（全局禁读）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vbs
要禁止的文件操作：读取

规则名称： 禁止非信任Windows进程访问文件
要包含的进程：C:\Windows\**
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\system32\**
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称： The Access Control Of Script Files/可执行文件访问控制
要包含的进程：?script.exe, cmd.exe
要排除的进程：
要阻止的文件或文件名: *
要禁止的文件操作: 读取

规则名称：禁止执行Windows进程
要包含的进程：*
要排除的进程：c:\Program Files\**\McAfee\**\*.*, C:\Program Files\Internet Download Manager\IDMan.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe
要阻止的文件或文件夹明：C:\Windows\**.exe
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-D
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：D:\**
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-E
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：E:\**
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-F
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：F:\**
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-cmd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.cmd
要禁止的文件操作： 执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-com
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.com
要禁止的文件操作： 执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-cpl
要包含的进程：*
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\rundll32.exe,C:\Program Files\Internet Explorer\iexplore.exe
要阻止的文件或文件夹名：**.cpl
要禁止的文件操作：执行

规则名称：The Access Control Of Executable Regions/可执行区域控制-dll
要包含的进程：*
要排除的进程： C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：**.dll
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-drv
要包含的进程：*
要排除的进程：C:\Program Files\**, C:\WINDOWS\notepad.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\SNDVOL32.EXE
要阻止的文件或文件夹名：**.drv
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-exe
要包含的进程：*
要排除的进程：C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：**.exe
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-ocx
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\system32\rundll32.exe
要阻止的文件或文件夹名：**.ocx
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-sys
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.sys
要禁止的文件操作：执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-vxd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vxd
要禁止的文件操作： 执行

规则名称： The Access Control Of Executable Regions/可执行区域控制-386
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.386
要禁止的文件操作：执行

规则名称： 禁止执行-ie
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\*.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名：**\Internet Explorer\**
要禁止的文件操作: 执行

shiyuelaohu

禁止执行DEF盘文件，在什么情况下开启呢？
我自己这里也有一个规则，拿出来分享下，
12 防U盘病毒
*.*
C:\**, D:\**, E:\**, F:\**
*
所有操作。

jxfaiu

shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件，在什么情况下开启呢？

我的所有程序都安装在C盘,一直开着,安装程序时关闭访问保护.

shiyuelaohu

可否考虑过来个全局禁运vxd文件，这个个人感觉经常被病毒利用。

jxfaiu

shiyuelaohu 发表于 2012-9-16 10:30
可否考虑过来个全局禁运vxd文件，这个个人感觉经常被病毒利用。

禁止vxd,读取 执行.我记得曾经添加过后来删啦.

shiyuelaohu

jxfaiu 发表于 2012-9-16 10:35
禁止vxd,读取 执行.我记得曾经添加过后来删啦.

为什么？我这几天倒是准备来个exe、vxd和dll禁运，有了这三个就已经够霸道了。

jxfaiu

shiyuelaohu 发表于 2012-9-16 10:39
为什么？我这几天倒是准备来个exe、vxd和dll禁运，有了这三个就已经够霸道了。

exe、dll需谨慎排除,不影响运行及使用功能我都不排除.sys也是个关键(驱动)

rlx

其实自己用着感觉好就行

jxfaiu

rlx 发表于 2012-9-16 10:44
其实自己用着感觉好就行

本来就是,恶意不可能天天光顾的,加强些控制也没坏处.

叶知

不少地方有着错误：部分可执行文件，仅能够使用【读取】控制

规则名称：禁止执行-js
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.js
要禁止的文件操作：执行

该规则无效；另【规则名称：禁止读取-js】已给予了控制

--

部分规则重复：使用【读取】与【执行】，在规则效力上基本一致（附：XP中可能不一致；但防御效果基本相同；而在Win7中一致）

--

主要问题出现在【可执行文件控制】上，对【读取】与【执行】的控制能力上没有较深的认识

附：你的规则应该参照了『【可执行全面控制规则】』；然而，该版本的规则并不完整和完全正确！！！

在『《访问保护规则原理》』中的【规则效力】-【执行规则】，才有着较为完整的描述！！