本帖最后由 jxfaiu 于 2012-11-18 17:32 编辑
mcafee8.7i默认规则,在正式版windowsXPsp3系统,除《防病毒爆发控制》下的“阻止对所有共享资源的读写访问”未删除原通配符排除项外,其实这条规则是“禁止所有读取、写入、执行、创建、删除”的,你要更改此规则的排除项,主板、系统进程未排除干净,那重启就傻罗!其余均重启N次亲测,不触红的不做排除,个别有触红的下面有说明;我排除比较惰,使用了大部分通配符,排除如下:不妥之处望大大们指正;
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE
阻挡
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:C:\Program Files\CCleaner.v3.19.1721 Portable\CCleaner.exe
阻挡
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:C:\Program Files\AutoCAD 2004\acad.exe
阻挡、报告
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
阻挡、报告
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
阻挡
规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.EXE
阻挡
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程: *\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
Framework\FrameworkService.exe
规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
阻挡、报告
规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:C:\Program Files\**.exe
阻挡
规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:
阻挡
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:
阻挡
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:
阻挡
规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:
阻挡
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:*\WINDOWS\**\*Svchost*.**
要排除的进程:无
阻挡
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\Program Files\**.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡、报告
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:C:\Epoint\新点清单造价江苏版V7.4\新点清单造价.exe, C:\Epoint\新点清单造价江苏版V7.4\智慧清单.exe, C:\Program Files\**.exe
阻挡
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\Program Files\**.exe,C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡
《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
阻挡、报告
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:*\SystemRoot\**.exe, C:\Epoint\新点清单造价江苏版V7.4\新点清单造价.exe, C:\Epoint\新点清单造价江苏版V7.4\智慧清单.exe, C:\Program Files\**.exe, C:\PROGRA~1\**.exe, C:\WINDOWS\**.exe, SYSTEM, *\C:\WINDOWS\system32\csrss.exe, \??\C:\WINDOWS\system32\winlogon.exe
阻挡、报告
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe, C:\WINDOWS\system32\services.exe
阻挡、报告
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe, C:\WINDOWS\system32\services.exe
阻挡
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe
阻挡、报告
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:
阻挡
规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:
阻挡
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:
阻挡
规则名称:保护网络设置
要包含的进程:*
要排除的进程:C:\WINDOWS\System32\svchost.exe
阻挡
规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:cmd.*, conime.*, ntvdm.*
要排除的进程:无
阻挡、报告
规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe
阻挡
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\svchost.exe
阻挡
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe, C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe, C:\WINDOWS\system32\services.exe
阻挡
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe
阻挡
规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\**.exe
阻挡、报告
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无
阻挡
规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\McScript_InUse.exe
阻挡
规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:C:\Program Files\**.exe
阻挡
“保护Internet Explorer收藏夹和设置”是保护IE浏览器收藏夹和设置,除IE浏览器及桌面进程排除外,难道说还让其它进程更改IE浏览器收藏夹和设置吗?不排除IE浏览器及桌面的进程是无法添加收藏夹及在工具-选项无法更改IE浏览器设置。
“禁止安装新的 CLSID、APPID 和 TYPELIB”我通俗理解为是禁止写入、创建、删除注册表,只有个别有小动作的程序进程触红未排除,仅排除了清理软件:CCleaner;如不排除:CCleaner,是无法清理废弃的注册表。
“禁止所有程序从 Temp 文件夹运行文件”我理解为“禁止所有程序从 C:\Documents and Settings\Administrator\Local Settings\Temp 文件夹运行文件”,在我这仅有AutoCAD不排除是无法运行,其它程序都不触红。
"禁止更改用户权限策略"只需排除桌面进程,更改安全策略其它进程一律不排除也不触红。
“禁止远程创建/修改可执行文件和配置文件”、绝对途径只需排除,*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe进程其它不排除不影响使用;要是见红就排除的话,排除:C:\Program Files\**.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe, System, *\C:\WINDOWS\system32\winlogon.exe就没有触红。
“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”、“保护缓存文件免受密码和电子邮件地址窃贼的攻击”这2条规则要是用绝对途径排除,C:\Program Files、 C:\PROGRA~1文件夹下好多进程不触红,因为有好多程序是不读取缓存文件的,
“保护 Mozilla 及 FireFox 文件和设置”我理解为是保护火狐浏览器文件和设置。
“保护 Internet Explorer 设置”当然是保护IE浏览器的设置啦!
“禁止安装 Browser Helper Objects 和 Shell Extensions”我简单理解为安装插件与扩展。
“禁止 FTP 通信”解释为:FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
只排除杀软、防火墙的更新进程。
不触红的没必要作排除。
|
发表于 2012-11-16 15:14:20
