（更新墨池见解、规则整理）ＭｃＡｆｅｅ企业版修改三条默认规则的含义与价值

墨池

　　个人时间、经历有限，不能分享规则供大家参考，但小折腾并没有停止。现提出这个问题供大家讨论，以加深对咖啡规则的理解，提高规则设置与应用水平。三条规则改动如下：

规则名称：阻止对所有共享资源的读写访问
要包含的进程：system:remote
要排除的进程：无
----------------------------------------------------------------
规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：排除信任区

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无
-----------------------------------------------------------------------
规则名称：将所有共享项设为只读
要包含的进程：*
要排除的进程：绝对路径排除

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：system:remote
要排除的进程：无
--------------------------------------------------------------------------
规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：绝对路径排除

讨论：
　　这样修改后，每条规则会起什么作用，意义和价值如何，可以省掉哪些或哪类规则，在此基础上需要补充哪些规则可以组成完整的防御体系，等等。

　　有兴趣的朋友可以参与回帖讨论，说说您的理解与看法，以及分享您实机系统（包括３２位、６４位ＸＰ、Ｗｉｎ７、Ｗｉｎ８等）下的排除列表，这样是不是可以大家合力做一个通用规则，我可以抽时间做整理工作。

　　二楼：墨池见解
　　三楼：规则整理

　　本人会定期拜读回帖，并适时整理，谢谢大家支持！
　　先闪。。。。

墨池

墨池见解

规则名称：阻止对所有共享资源的读写访问
要包含的进程：system:remote
要排除的进程：无
----------------------------------------------------------------
规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：排除信任区
------------------------------------------------------------------------------------
全局禁运规则，信任区以外的程序无法运行，这就把绝大部分病毒窝藏地点封死了，可以省去一大堆入口、U盘规则。

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无
-----------------------------------------------------------------------
规则名称：将所有共享项设为只读
要包含的进程：*
要排除的进程：绝对路径排除
--------------------------------------------------------------------------------------
全局降权规则，没有排除的进程没有任何创建、修改、删除文件的能力，包括TXT文件。

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：system:remote
要排除的进程：无
--------------------------------------------------------------------------
规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：绝对路径排除
-----------------------------------------------------------------------------------------------
全局可执行文件和配置文件降权规则。没有排除的进程没有任何创建、修改、删除文件的执行文件和配置文件能力，包括LOG文件。

    如此一来，再启用两条默认规则“禁止在 Windows 文件夹中创建新的可执行文件”、“禁止在 Program Files 文件夹中创建新的可执行文件”，加上“禁止公用程序创建exe文件”和“封锁所有端口”两条规则，从防病毒的角度看，已经足够强大了。

墨池

规则整理

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：排除信任区或绝对路径排除（如果安装软件较少）
------------------------------------------------------------------------------------
全局禁运规则，信任区以外的程序无法运行，这就把绝大部分病毒窝藏地点封死了，可以省去一大堆入口、U盘规则。排除安装文件不影响程序安装。

规则名称：将所有共享项设为只读
要包含的进程：*
要排除的进程：绝对路径排除（软件进程可以用文件夹排除，如C:\Program Files (x86)\McAfee\**。）
--------------------------------------------------------------------------------------
全局降权规则，没有排除的进程没有任何创建、修改、删除文件的能力，包括TXT文件。排除安装文件不影响程序安装。

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：绝对路径排除
-----------------------------------------------------------------------------------------------
全局可执行文件和配置文件降权规则。没有排除的进程没有任何创建、修改、删除文件的执行文件和配置文件能力，包括LOG文件。排除安装文件不影响程序安装。

规则名称：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：绝对路径排除
-----------------------------------------------------------------------------------------------
排除安装文件不影响程序安装。

规则名称：禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：绝对路径排除
-----------------------------------------------------------------------------------------------
排除安装文件不影响程序安装。

规则名称：禁止公用程序创建/修改可执行文件_exe
要包含的进程：eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, QQ.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, TM.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程：绝对路径排除
要阻止的文件：*.exe
-----------------------------------------------------------------------------------------------
下载exe文件时临时关闭。

规则名称：封锁所有端口
要包含的进程：*.*
要排除的进程：文件名排除
要阻止的文件：*.exe
-----------------------------------------------------------------------------------------------
防止木马联网。

    咖啡防病毒，其实就这么简单。其它规则基本上是华丽的摆设。

Respect

过来支持一个…占位围观、拜读

jxfaiu

墨大面前，班门弄斧：
XP正版32位系统：

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：*\C:\WINDOWS\system32\csrss.exe, *\C:\WINDOWS\system32\winlogon.exe,C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeePro5.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeQVPro5.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat Elements\Acrobat Elements.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Acrobat.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroDist.exe, c:\program files\adobe\acrobat 11.0\acrobat\acrord32.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroTray.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\Baidu\BaiduPlayer\1.19.0.32\BaiduP2PService.exe, C:\Program Files\Baidu\BaiduPlayer\1.19.0.32\BaiduPlayer.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\Common Files\ACD Systems\IDBSvr.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe, C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\GameChannel\GameHall.exe, C:\Program Files\GameChannel\sndz\sndz.exe, C:\Program Files\GameChannel\sumk\sumk.exe, C:\Program Files\Google\Chrome\Application\chrome.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpf.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpfsrv.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\Common Framework\naPrdMgr.exe, C:\Program Files\McAfee\Common Framework\udaterui.exe, C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, C:\Program Files\MeteorNetTV\MeteorNetTV.exe, C:\Program Files\MeteorNetTV\regsvr32.exe, C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, C:\Program Files\Microsoft Office\Office12\EXCEL.EXE, C:\Program Files\Microsoft Office\Office12\WINWORD.EXE, C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe, C:\Program Files\MSN Gaming Zone\Windows\chkrzm.exe, C:\Program Files\MSN Gaming Zone\Windows\hrtzzm.exe, C:\Program Files\MSN Gaming Zone\Windows\Rvsezm.exe, C:\Program Files\MSN Gaming Zone\Windows\shvlzm.exe, C:\Program Files\MSN Gaming Zone\Windows\zclientm.exe, C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe, C:\Program Files\Tencent\TM2008\Bin\TM.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\Thunder Network\Thunder5\Thunder.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Program Files\WMZHE\Pure Codec\PotPlayerMini.exe, C:\Program Files\WMZHE\Pure Codec\PurePlayer.exe, C:\Program Files\Your Uninstaller\autoupdater.exe, C:\Program Files\Your Uninstaller\urmain.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\freecell.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mpnotify.exe, C:\WINDOWS\system32\mshearts.exe, C:\WINDOWS\system32\msiexec.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\runonce.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\shmgrate.exe, C:\WINDOWS\system32\SNDVOL32.EXE, C:\WINDOWS\system32\spider.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡、报告（绝对途径排除可以省去自定义全局禁止读取、执行规则）

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\MeteorNetTV\MeteorNetTV.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Program Files\Your Uninstaller\urmain.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡（感觉不是见红就排除，仅排除以上不影响使用）

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无
阻挡（无需更改）

w99308702

尾随大神，最近不折腾咖啡，改用什么了？？
实际排除了工商银行网银助手更新、迅雷、yy，采用通配符大范围的排除，减少排除的工作量
目的是排除一切见红的，感觉阻挡或者报告是会使cpu段时间飙升，故尽量排除一切的阻挡，因为实机无毒都是可信任程序

win7旗舰 32位

规则名称：阻止对所有共享资源的读写访问
包含*.*
排除*\**\Google\**, *\**\Program Files\**, *\**\Users\**, *\**\Windows\**, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\ICBCChromeExtension.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_infosec_certenroll_plugins.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_infosec_netsign_plugins.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_mw_usbkey_plugins.exe, C:\ProgramData\icbc_data\Temp\UpdateService.exe, C:\ProgramData\icbc_data\Temp\UShieldSetups\minghua\ICBC_MW_UShield2_Install.exe
阻挡+报告

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
排除*\**\Google\**, *\**\Program Files\**, *\**\Windows\**, C:\Users\Public\Thunder Network\KanKan\Pusher\XmpTipWnd*.exe, C:\Users\*\AppData\Local\Temp\XLLiveUD\*\XLLiveUD.exe, C:\Users\*\AppData\Roaming\duowan\**\yylauncher.exe, System
阻挡+报告

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无
阻挡+报告

rlx

win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或者U盘 才可能出问题 所以没有用“*”   以前也是像J叔一样的   后来发现自己完全忽视了安全软件的初衷   所以 不是太苛刻 但也很安全

jxfaiu

rlx 发表于 2013-5-8 16:50
win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或 ...

不是太苛刻，是预防。

马云波波波

rlx 发表于 2013-5-8 16:50
win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或 ...

我也是默认规则。win8 64位操作系统。我使用麦咖啡现在一直是用他来扎好入口，以及控制程序的入站与出站。个人也认为，咖啡的规则没必要搞得太严厉，因为咖啡还有杀毒模块，而且，在咖啡企业版的防御体系中，杀毒是主要，规则是辅助。

蓝核

jxfaiu 发表于 2013-5-8 17:17
不是太苛刻，是预防。

j大，你在本帖的回复可能透露了点个人信息，建议修改下