跟上新版本，与时俱进，不做凹凸曼！

柯林

新版本已经转移重心到自动沙盘防御为主的策略上，为了高效、安全、方便、易用，大家也应该转变思路，把精力转到自动沙盘上来。

下面就来探讨下，默认的安全模式下，如何捣鼓成“安全防线”？

首先，安装完豆子，默认：杀毒开启，防火墙安全模式，沙盒开启，Viruscope开启【话说都这么全面了，弄什么霉豆组合的，都喜欢自残爱机是吧？一个套装就够了，玩组合，就一个纯杀软+一个墙就行，其它的都是虐机得来的心理安慰】

怎么搞？简单弄下——防火墙与自动沙盒，就okk啦。

防火墙，未必要自定义模式，安全模式也ok啦（喜欢玩控制感，没关系，两步搞定）：
第一步，去除默认放行的勾：任务-->防火墙任务-->打开高级设置-->防火墙设置（警告设置第一项：不显示弹出警告，把这一项的勾去掉）
第二步：选个合适的隐身模式：防火墙任务---端口隐藏（一般选第二个警报传入连接就可以了，如果不用P2P类软件，出于高安全性考虑，可以选第一个阻止传入连接）
第三步：添加一条全局询问的规则把关（防火墙-->应用程序规则，添加一条所有应用程序的规则，将它拖到最下面垫底。在这条规则里，添加，所有TCP/UDP进出询问的网络访问规则，如下图）。

现在好啦，有程序访问网络，防火墙不再装瞎啦。弹窗应该是允许还是阻止，应该套个什么样的预设规则权限，各人自己拿捏了（一般的只许外联就行，迅雷神马的P2P软件，毛豆自身的程序，都信任吧）。

接下来，精彩的部份——新版的精华（自动BB），玩转自动BB，比你费劲弄一大堆HIPS规则简单得多，效率得多，方便得多了，最适合懒人啦。
自动BB究竟妙在哪里？可以把程序自动入沙啊（不管是已知的、未知的，安全的，不安全的，用家一设置，它就入沙了，而且是按照用户设定的权限入沙啊），只要你想沙的，它就沙了，而且是想在哪个限制级别沙，它就在哪个级别沙。
沙了的好处，就不用说了，大家都知道的，除非把毛豆的沙盘穿了，否则就被囚禁了，做不了坏事了，呵呵，你弄半天HIPS规则，不也就是想限制程序行为嘛，咱们简单点几下鼠标，就解决了问题，比你捣鼓HIPS高效多啦。
是不是真的？当然啦：

实际效果呢？

（看到了吧，企鹅是信任软件商又咋的？验证为安全可靠的文件又咋的？安全模式又咋的？分分钟沙了，自动沙了，呵呵）
换句话说，新版本，要捣鼓规则，应该捣鼓的是自动沙盒的规则，捣鼓这个才是抓住了新版的精华。自动沙盒规则，跟HIPS规则一样的，可以分组，可以讲优先级（简单明了，从上到下，排在前面的优先执行）。
具体的玩法，各人根据自己的喜好随意就是了。下面举例看下大致的攻略。
沙盒设置就不用管了，直接打开“自动沙盒”，进去里面捣鼓就ok，进去后你会发现，豆子默认已经自带几条了，你要做的，是根据自己的需要，尽情的DIY吧。
例如，咱们新添加一条规则（实际上相当于新弄了个组，或者更直观一些说，新做了个规则盒子，要在这个盒子里放些什么规则，自己随意），对两位置进行限制，分别是临时文件夹和共享文件夹（凡是出现在这两个目录里的可执行文件，未验证为安全的，一律入沙，至于沙盒级别，自己定呵）：



【上面这三个图，是截取的默认自带规则的，不是我说的新添加限制共享文件夹的，说明下，免得让人雾水；只是程序路径及位置不同，其他的一样的哈】
其他的，皆同此理，自由定制哈。
这玩意的强大之处，可以对位置、来源进行指定，这个就很牛叉了：


需要注意的是，规则顺序，是从上到下加以执行的，你新添加的规则，毛豆自动置顶，把它移下来，拖到最下面吧（如无特殊考虑，不需要管优先级，但是默认的两条阻止未知东东的，一定要置顶，它们过滤剩下的，才由下面的规则来执行，如果你觉得它们的权限高了，改就是了，一般的用户，忽略即可）。
每一条规则（姑且称其为一个小盒子），使用的是同一个限制级别（不管你在这个小盒子里写多少条小规则，所有的小规则用的都是同一权限，你改变其中一条小规则的权限，整个盒子的权限也就改了，盒子里所有小规则都用该权限）。
如果你要用不同的权限，就要用不同的盒子（这应该很好理解啊，打个比喻，不管你在盒子里装啥子，盒子是金的，它们就当作是金的，是银的，就当作是银的....就像现实中，甭管你是聪明鬼还是猪头三，你是市局的就有市局的权限，是县局的就享受县局的待遇，贫困山村的就往后靠靠吧，呵呵）
根据以上特点，要对不同的程序给予不同的限制，你需要不同的“盒子”。于是乎，根据你的需要，你可以对默认自带的几条规则进行修改，也可以自由添加，把想要限制的程序放在合适的“盒子”里，并按照优先关系进行排列，以实现一定的目的。
想要限制的程序，可以是具体的，也可以是某个路径，可以是单个，也可以引用文件组（文件组里，可以修改增添程序路径；也可以新建文件组来方使用）；可以是未知文件，也可以是信任文件，乃至于是任意文件。
.............各人依据需要，自由定制哈............

怎么样？新版是不是也很有意思，很有玩头啊？还有必要抱着旧观念不放，非要做凹凸曼吗？

========================================================
适当分组，利用沙盘隔离，给爱机一层“金钟罩”，远离危险，这就是新版本带来的好处啊。
比如说，病毒不是喜欢跑到临时文件夹里运行嘛，补条规则，临时文件夹自动入沙，给予高级别限制，可以无忧啦。自己安装、卸载软件，先让它自动沙一遍，看看安全不安全，安全的，临时禁用该条规则，放心安装就是了。同样的道理，神马脚本，将cmd.exe、mscript.exe，cscript.exe之类，分个组放一处，自动沙盒里建条规则引用这个组，直接拉到最高不信任，呵呵，自己要用的时候，解冻即可。
危险位置，比如：IE缓存、各种软件缓存、系统备份卷、我的文档、QQ的存放文件目录、迅雷神马的下载目录之类，分个组，自动BB里引用该组自动入沙，呵呵。（关于我的文档及QQ存放目录，如果是公司电脑，或者正在用QQ热恋的人，就不要入沙了，到时候聊天记录找不到，你会懊悔的）
再比如各种国产不放心软件，分个组，全部丢进去，自动沙了该组，看它再如何不放心？
电子书之类的exe格式文件，建个组，自动沙了，不想让它联网的话，防火墙里引用该组加以限制即可。
机子上的某些程序（比如很久之前下的，别人传来的），不知道安全不安全，咋办？建个专门用来测试的文件夹，比如D:\Test，直接把想要确认的程序丢进去，自动沙盒里沙了该组，随便点击运行啦，回头去看看它都有啥行为，判断下就ok。
诸如此类，开动你的想象，放开你的手脚，尽情DIY啦........

【提醒一下，自动沙盒也不是“万能”的，也有漏的地方，比如文件保护（默认的文件组，很多东西没有保护啊）；你要以为真的万无一失了，下个删除磁盘上所有文件的批处理或病毒来运行，到时候文件没了，别说我没提醒哈（这个跟你弄HIPS规则一样的，保护不全，一样死的难看）】
实际上默认设置就已经很厉害，足以应对病毒威胁和满足日常应用，一般人不用进行修改。在制定沙盘规则或执行修改的时候，注意毛豆沙盘的特殊性，具体请参看这个帖子：http://bbs.kafan.cn/thread-1825218-1-1.html

效果，有啥特别的？一个字，无弹窗，无打扰，自动隔离，效果哈哈的！
========================================
解读一下BB默认自带的5条规则：
1、所有的应用程序（全部可执行文件），凡是文件鉴定为恶意的，一律阻止运行。
2、位于“可疑之处”这个组的可执行文件，不管是安全还是未知，一律阻止运行（默认设置，“可疑之处”这个文件组，里面只有一条，针对回收站的，你要加其它的进去也可以，一般不用更改）。
3、所有应用程序，凡是从互联网来的，或是网络磁盘上任意位置上的，移动磁盘任意位置上，凡是文件鉴定没有通过验证，不能确认为安全可靠的，一律虚拟运行，沙盘限制级别默认为“部分限制”级。
4、所有应用程序，凡是来自于这些文件组（网页浏览器、邮件客户端、文件下载、伪文件下载、文件压缩解压管理器）的程序所创建或者所规定的文件格式，只要没有通过文件鉴定，不能确认为安全可靠的，一律虚拟运行，沙盘限制级别默认为“部分限制”级。
5、凡是位于这些位置（开始目录、临时文件）上的所有应用程序，只要没有通过文件鉴定，不能确认为安全可靠的，一律虚拟运行，沙盘限制级别默认为“部分限制”级。
=======================================
再补充两句，任何时候，都不要忘了两点：
第一，毛豆还有个大自动沙盘——虚拟桌面，上危险网站的时候，你切换到它，一切都自动沙了（正常应用又切回来，很方便的）。
第二，毛豆无论是防火墙还是沙盘，都是依托于HIPS的，也就是说，防火墙并不是单纯的防火墙，沙盘也不是单纯的沙盘，都有HIPS的影子或者叫做功能。例如，防火墙弹窗的时候，可以选择阻止，或者是阻止并结束进程，这个就是HIPS功能；沙盘一样的，自动沙盘里，每条规则，可以选用的操作包括：阻止，限制运行，虚拟化，忽略，并不只是单单能选入沙啊，这也是HIPS功能啊（阻止就是禁运党，直接灭；限制运行，就是降权使用；虚拟化就是入沙；忽略就是放行，不管文件评级说什么，直接放行，不沙化，不虚拟）。善于应用这些组合，加上优先级，可玩性也很高啊。譬如说，如果优先级及忽略是对的，可以很方便就写出这样的规则，windows目录里的程序，除了指定外，一律入沙或阻止，化为规则就是两条1、windows目录里的可信程序（例如explorer.exe之类的归入该组），忽略；2、*\WINDOWS入沙或者阻止，诸如此类的，要用HIPS规则可能都有点麻烦的，这个是很简单的噻（是不是可以这样弄，大家一起尝试下，这里只是就理推析）。

毛豆有杀毒，有文件安全鉴定，有云，有自动沙盘（带HIPS功能的），有虚拟桌面，这么全面，一个套装真的够了。

柯林

在捣鼓自动沙盘的时候，需要注意的相关问题（有意思的哈，自己实验）：

虚拟化就是重定向，不虚拟（限制运行与忽略）就没定向，哪些东东需要虚拟，哪些东东不需要？哪些东东不虚拟比虚拟好，哪些又相反？【从限制运行、虚拟化、阻止，再到忽略，有不同的级别可供选择】

保护内容还需要加强不？加哪些进去比较合适？

---------------------------------------------------
现在的自动沙化，已经实现了，非可靠程序（文件鉴定为未知的）入沙降权，简单高效的决然二分法，很久之前某些人嚷嚷着希望有的功能，现在真的有了，好好利用吧


ps：一般就默认都够安全了，用好默认的都ok啦，会修改强化默认规则的就不错了。这些极度DIY的问题，是给折腾党们玩的，一般人可无视。

柯林

witty606 发表于 2015-4-17 09:21
柯大，在看了你的贴子后，我也装上了最新的8.2版。有问题请教下！
我用comodo做的是完全无需参与的“过 ...

BB与HIPS的不同之处，除了AD上降权之外，主要是FD与RD上：HIPS你可以采用直接拦截的方法，BB与沙盘一样，采用的是虚拟，就是“允许它操作”，但是是操作到虚拟区域，而不是实机，譬如它创建一个程序到windows目录，是虚拟区里的windows目录，而不是实机上的windows目录。这也不是说它可以“为所欲为”，按照沙盘定义，沙盘内的程序不可以访问沙盘外的东东，譬如沙盘内运行的程序不可以访问沙盘外运行的程序的内存之类等等，至于沙盘内的程序是不是可以完全访问本机磁盘，在做了保护扩展（例如把D:\*之类的磁盘列入受保护文件）之后，它是否还可以读取、改写，需要实测一下，有兴趣可以写两个复制及删除的批处理到沙盘里运行下看看，或者用相关的测试工具测试一下。

虚拟后“创建”的东东，你重置沙盘的时候，点击删除，就啥都没了，跟影子系统一样的道理，所有的更改都伤害不了实机。说到数据安全的话，只要IE之类的程序没有在沙盘里运行，就算它是个病毒木马，它运行在沙盘里，没法注入到沙盘外运行的IE之类上网程序上，做不了坏事的。

===================================
补充下：所谓的“允许它操作”，是不是全允许，这个要以实测为主，例如注册表的保护键值，在不同的沙盘限制级别下，是不是它都有权访问，这个要实际测试了才知道。

witty606

柯林大神最新力作，支持！虽然还在用5.12，但是也想进化到新版。
认真看完了，总算是了解新版的好处了，主要是没有大神来介绍。大家都搞不懂，希望柯林大神常回来讲课！

柯林

witty606 发表于 2015-4-16 09:38
柯林大神最新力作，支持！虽然还在用5.12，但是也想进化到新版。
认真看完了，总算是了解新版的好处了，主 ...

我也是菜鸟啦，老菜鸟而已，大家一起交流，玩玩而已。

witty606

柯林 发表于 2015-4-16 10:06
我也是菜鸟啦，老菜鸟而已，大家一起交流，玩玩而已。

你都很久没来了，我去年9月份来这里入门，拜读了你的许多大作。感谢！
我认为大多数用comodo的还停留在定制hips规则上，根本没看到comodo的bb，也不懂得如何用。
你这篇文章让我真正了解了，期待你的下次发表。

YSJ

大神出现,快乐学习
交流无极限,体验更上一层楼

maz-1

想问一下毛豆的杀毒怎么样？如果比较好的话我就把mse和破解版的sandboxie卸了用这个替代。

HEMM

不稀饭自动BB，应该说沙盘偶都用不习惯，还是高H适合偶，好玩！可惜！脑子太死板，毛豆的D+又.......神秘的蒙娜丽莎......学习之路漫长无尽头= =

aquablue

不错，新版还没有用起来，学习，准备使用。

柯林

maz-1 发表于 2015-4-16 11:50
想问一下毛豆的杀毒怎么样？如果比较好的话我就把mse和破解版的sandboxie卸了用这个替代。

杀毒的话，客观点说，对于一般人而言，实际上各大杀软都差不多吧，高危的病毒，都能杀，不能杀就严重了，差别也就是少数东东的入库速度问题。对于普通人，重要的还是防毒问题。

你这组合，沙盘重复了，杀软的话，微软与毛豆的用哪个看自己喜欢了，没冲突。

maz-1

柯林 发表于 2015-4-16 13:17
杀毒的话，客观点说，对于一般人而言，实际上各大杀软都差不多吧，高危的病毒，都能杀，不能杀就严重了， ...

感谢回复，几年以前用过毛豆，后来加了杀毒之类的嫌太臃肿又放弃了。。。当时对毛豆的杀毒能力没什么信心，不过老实说现在看到加了免费的沙盘有点动心。