【补充额外意见】三五分钟搞定一个普通用户的基本应用设置

柯林

v6对于一般用户（非折腾族）而言，无须太过费力设置，花个三五分钟随便设置下，就可以“一次定制，终身受用”。
以下为个人的简单设置和用法，仅供参考（以下设置更改了默认设置——开启了HIPS）：

1、防火墙改自定义，满足一般用户控制程序联网的“快感”：

补充：要是觉得手动控制程序联网太烦的话，建议默认的智能安静

2、外网用户需要补充一点高危端口拦截的补充下（以下全局设置选的p2p环境的端口隐身模式）：


3、私人文件，担心被人扫描窥视的，自己添加保护（以后自己要用的时候，临时删掉规则，建议参考4楼的方法）：


4、不放心的，把未知程序入沙虚拟化吧，这样就不用担心某些程序入沙后无法运行（沙盘策略定制过高的情况下），或者某些病毒突破低策略。【对于一些需要加驱运行的游戏，毛豆不识别的情况下，可能悲剧，如果你要的话，自己上报和排除吧】


5、实在有额外的担心的，日常上网用入沙的浏览器吧（需要登陆一些安全站点的，再用不入沙的方式）：

或者考虑虚拟桌面下上网。

至于插U盘之类，在杀毒和云及HIPS和自动沙盘全虚拟化的整体防护下，无须担忧。

一个普通用户，只要使用类似的方法简单设置下，遵循一些日常上网运用的安全方法（譬如瞪大双眼防钓鱼），所有不必要的疑虑及纠结（譬如毛豆的杀毒能力如何如何），全都可以抛到九霄云外，忘掉毛豆，安安静静地用你的电脑就是了。
==================================================================
为了安全性，可以考虑，对自动沙盘实施”全局阻止+例外允许“的使用方式：
BB未知程序的入沙限制，往高里选，以便尽可能地秒毒（喜欢做禁运党就选阻止吧）
不能运行的程序，自己认识并确认的（例如QQ、迅雷、快播……），到沙盘里，手动制定规则，给予低限制（譬如部分限制之类的）
注意：使用这种方法，请特别注意一下dll文件的限制问题，以免软件功能受挫。

Regeneration

柯大帖子支持

88865ff

柯林出品 必属精品！

Candygu

3. 其实自己要用的时候，完全不必删除，再添加反而麻烦。改个字母或者加个数字就行

number228

柯大给力啊，有个问题请教一下，以前俺V5是svchost.exe都是禁止联网的，昨天用自定义防火墙的V6，svchost.exe要联网，我选择了阻止，结果上不了网了。   
不知道svchost需要怎么设置呢？直接允许吗？

yejian9237

柯大这帖子里的规则是按照你以前的帖子设置的，但是添加不了主机不可达啊，你的V6行吗
http://bbs.kafan.cn/thread-1432736-1-1.html

柯林

number228 发表于 2012-12-22 10:40
柯大给力啊，有个问题请教一下，以前俺V5是svchost.exe都是禁止联网的，昨天用自定义防火墙的V6，svchost.e ...

如果你用svchost代{过}{滤}理域名解析，禁止联网就无法正常获取网站的IP地址了，如果你不喜欢它代{过}{滤}理域名，请使用各个程序自身的域名解析（到控制面板的服务里禁用DNS Client服务后重启生效）。
如果使用svchost的域名代{过}{滤}理功能，还是允许它外连吧（默认就是允许它外连的）

柯林

yejian9237 发表于 2012-12-22 10:41
柯大这帖子里的规则是按照你以前的帖子设置的，但是添加不了主机不可达啊，你的V6行吗
http://bbs ...

icmp规则，防黑最主要的一点就是防止ping入即可，其它的，没必要太严格，默认的可以了。

number228

柯林 发表于 2012-12-22 10:44
如果你用svchost代{过}{滤}理域名解析，禁止联网就无法正常获取网站的IP地址了，如果你不喜欢它代{过}{滤 ...

多谢解答

yejian9237

柯林 发表于 2012-12-22 10:47
icmp规则，防黑最主要的一点就是防止ping入即可，其它的，没必要太严格，默认的可以了。

多谢，另外你的TCP BLOCK PORT和UDP BLOCK PORT为什么不一起贴出啊