咖啡怎么设置全局禁运规则？

sinbad2

我用的是8.8 P2版的，规则如下：

规则名称：全局禁运
要包含的进程：*
要排除的进程：**\C:\**, D:\Program Files\**, D:\QUARANTINE\**, E:\Program Files\**, F:\Program Files\**

要阻止的文件或文件夹名：*
要禁止的文件操作：读取 写入 执行 创建 删除

我的意思是DEF盘除Program Files文件夹外其它地方不能创建文件，比如不能创建F：123.txt或123文件夹。但实际上可以创建。哪个地方出错了吗？

sinbad2

经实际，加入任何排除项的话规则失效，只能做到禁止在根目录创建删除文件，规则如下：

规则名称：禁止在根目录创建文件
要包含的进程：*
要排除的进程:此处不有加入任何排除项，否则规则失效。
要阻止的文件或文件夹名：?:\*
要禁止的文件操作：读取 写入 执行 创建 删除

再求全局禁运的规则设置方法。

Savoor

1 .“全局禁运”本身没意义，只有在针对未知路径的未知程序时才有意义。你的那条规则，基本把能排除的都排除了。

2.就咖啡的设计而言，防止创建文件，必须单独设计规则。并且“要阻止的文件或文件夹名”处，仅能添加一个路径。在防创建的规则中，不能排除非必要进程，否则，被排除的进程可以在路径中创建文件。

3.咖啡中，没有所谓的“全局禁运”规则。全局禁运本质为阻止一切程序，不管是未知还是已知，只要有排除，就不是“全局禁运”。在咖啡中，设置这样的规则，等于自杀。

sinbad2

那禁止未知的exe程序运行的规则怎么设置？我几年前用过的，还是8.5版的时候，好像是小邪邪的规则，可以做到已有的exe程序运行，未知的exe程序不能运行。

Savoor

sinbad2 发表于 2013-2-20 21:41
那禁止未知的exe程序运行的规则怎么设置？我几年前用过的，还是8.5版的时候，好像是小邪邪的规则，可以做到 ...

所谓的“全局禁运”，仅在一个完整的规则体系中才有意义。邪版规则是一个完整的防御体系，所以你所说的“全局禁运”在那里有意义。

“未知exe”至少与“路径，程序名，作用”有关，在完整规则体系中可以被很好的限制，但其防御本质，并不是依赖于“全局禁运”

sinbad2

邪版8.5规则可以用在8.8 P2吗？不过想起以前每个程序都要在好几个地方排除，痛苦呀！邪版现在的McAfee8.8企业版通用加强规则经典版我还没有遇到要排除的情况，拿起来就用，在这里向大家推荐。

马云波波波

真正的全局禁运（可执行区域控制）；是这样的规则：

这样的规则，才能够防御几乎所有的病毒（包括一些底层病毒；但不能够拦截脚本）

要包含的进程：*
要排除的进程：无排除
要保护的文件或文件夹名：*
要排除的文件或文件夹名(这项，规则是没有的)：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**（以及其他可执行区域）
要禁止的文件操作：执行

因此，以咖啡目前的体系，是无法实现全盘禁运的！