（第一季）《火力全开玩毛豆》

柯林

标题：CIS套装全功能发飙普众小折腾
目标：尽可能地简单，有效，精要！
手段：杀毒+沙盘+HIPS+防火墙，全部开启，防毒防马防流氓！
用法：日常使用，全开；安装/卸载/更新，禁用HIPS，完毕再开启。
本方案组合里，HIPS为安全模式，不需要疯狂模式，特请注意！

第一部分：准备工作
新建分组：任务/高级任务/打开高级设置/安全设置/文件评级/文件组，添加如下分组

危险位置，把来自网络的病毒落点集中到一起（包括浏览器、下载工具的下载目录）
C:\Users\*
C:\ProgramData\*
%windir%\Downloaded Program Files\*
?:\*Downloads\*
*\迅雷下载\*
【如果C:\Users\*这个打击面过大，影响到一些功能，譬如傲娇的win10，可用细化位置代替，例如用户桌面、我的文档、%Temp%，Roaming等，参考名单：*\AppData\*，*\Downloads\*，*\OneDrive\*，*\Videos\*，*\Favorites\*，*\Pictures\*，*\Documents\*，*\Music\*，*\Desktop\*，*\ProgramData\*（具体到你个人电脑上，可用绝对路径替代*号，如C:\Users\FDC\Documents\*】

移动磁盘（把你机器上U盘所占用的盘符路径，连着写三个，以防同时插上U盘、相机内存卡、手机内存卡时有漏；比如我有C/D/E/F/G盘，光驱H盘，移动磁盘I开始，如下）
I:\*
J:\*
K:\*

需要管制的小程序
*\绿色软件\*
*\破解工具\*
*\电子书\*
【如果你电脑上有一些小程序，不想让它联网或实机运行，请仿造本分组，将它所在目录命名为--绿色软件；破解工具；电子书，我们将在防火墙里引用该分组，禁止它联网，然后在沙盘规则里引用该分组，将它永久入沙】

一般新增如上分组即可（已经够用）
附，添加方法：添加--新建组，改名字；右键点击新建组--添加--文件，随便打开个文件夹选一个文件，改成你要添加的内容。
【相关问题】默认自带的分组，是用于自动沙盘防御——无论在何位置，所以多是通配符路径，比如浏览器组，就是*\firefox.exe这样的。这样的分组，在引用时需注意，比如防火墙里就不要引用它来放行；HIPS里如果加以引用，需要结合其他手段，比如规则优先级组合，入口防御等，假设少的话，比如就用个IE与谷歌，可以不引用，直接单文件套用权限或自定义规则管理。
----------------------------------
第二部分：设置防火墙
1、设置隐身模式
任务/高级任务/防火墙任务，点击“端口隐藏”，一般选第二个（不用P2P软件，有稍高一点安全需要的，选第一个：禁止传入）

2、防火墙各项设置
基本设置：任务/高级任务/防火墙任务/打开高级设置/安全设置/防火墙设置（如下图），需要全面掌控程序联网的，选“自定义规则”；想要所有程序都控制的，把“不显示弹出警告（允许请求）”去勾，喜欢安静就默认，如果想实现“安全程序不管，未知联网提示”，请勾选“为安全的应用程序创建规则”：


修改和配置预定义权限：点开“规则”，改名，“允许的程序”改为“允许连入连出”，“被拦截的应用程序”改为“禁止联网”
新建一个权限规则，取名“常规HTTP外出访问”，添加如下规则
允许外出访问HHTP（允许，TCP，出，目的端口/一系列端口:HTTP端口）
允许使用DNS服务（允许，TCP或UDP，出，目的端口/单个端口:53）
允许使用代{过}{滤}理服务（允许，TCP，出，目的端口/一系列端口:代{过}{滤}理服务端口）【默认没有该端口号，请点开“端口”，添加“代{过}{滤}理服务端口”，分别添加单个端口：1080，3128，8080，8081，9080】
拒绝其他请求（拒绝，TCP或UDP，出/入，记录日志）


【为减少不必要的日志，建议在端口设置里，HTTP端口，添加82这个端口号（国内好多网站使用这个端口作为HTTP服务端口）】

【相关说明】：网页浏览器，套用给浏览器使用（注意个别网站使用TCP82、83做HTTP端口，默认设置只有TCP80）；邮件客户端，套用给邮件收发工具所用；FTP客户端，给FTP下载工具所用（对于国内意义不大，大多可以无视）；允许连入连出，给P2P软件（QQ、旋风、迅雷、网络电视等）所用，给高权限软件（如杀软）所用；只允许外连，没啥好选的时候就选个，比如杀软、某些游戏厅等；常规HTTP访问，属于网络访问的最低权限，一般程序所用，比如升级、更新、一般性的联个网。

引用分组，套用权限：点开应用程序规则，把禁止联网的程序封掉：

注意，上图所示的禁止“危险位置联网”（里面的C:\Users\*包含了谷歌浏览器所在位置，请排除---添加谷歌浏览器规则，配给“网页浏览器”权限，置于该条规则之上），如果误杀程序，请排除。

svchost.exe的规则，参考下图：

-------------------------------------
第三部分：设置沙盘
添加沙盘规则，把不想实机运行的小程序，入沙处理（如下图所示）：

沙盘不需要太大动作，尽量默认，便于关闭HIPS后使用沙盘防御达到智能安静的效果。

第四部分，HIPS设置，在2楼

柯林

HIPS部分
================================
1、准备工作--建组


引入保护


2、按五级权限设置（把默认自带的规则，除“windows系统应用程序”这个权限外，其它全部删除，新建四个权限组，如下图所示）【将“windows系统应用程序“改名为”最高权限"】




具体设置，参考这个压缩包内的资料：【更新】参考2月26日win7规则

3、套用权限（按下图所示顺序进行排列）：


最后，启用HIPS为安全模式，就收工了


64位win7系统可以直接套用这个规则：【3月1日更新】
更新事宜：2月26日的规则包，有些微调整，本想重新整理下资料，没精力了，参考这规则吧【如果毛豆不认%USERPROFILE%\Desktop\*这类变量路径，还是写成?:\users\*\desktop\*这种形式吧】

用法：配置，导入规则，修改分组“移动磁盘”与“数据资料盘”；防火墙，重置隐身模式。
相关用法：压缩包里有。规则的相关设置，以系统盘在C盘进行设定，请注意此点。

注意事项：QQ的文件保存目录，请选在我的文档下，不要选在安装目录下（因为?:\program files路径为标准权限，而我的文档所在路径为极低权限）；尽量用正规软件。防火墙规则禁止了*\AppData\Local\Temp\*的联网，如果某些在线安装或更新程序，需要使用%Temp%里的程序来下载文件，请添加临时性的相应规则（完事后删除）。

规则思路与原理：在自动沙盘的基础上，添加适当的HIPS限制进行强化。凡是进入本机的程序，按照HIPS权限划分，获准能够使用什么权限，可以使用什么权限，但是，事情没完，该入沙的依然入沙，入了沙，HIPS允许的权限可能也就没了。加上防火墙的限制，一般闹腾不起来，除非突破毛豆或利用了系统漏洞。

规则添加了非系统盘（所有文件）的保护；系统盘（C盘）上，毛豆默认自带规则保护了系统目录及开机引导程序，其它，由沙盘机制提供保护（未知病毒或恶意程序入沙），至于安全程序对系统盘（C盘）上未在保护之列的文件操作，按规则会被允许，例如，U盘上有个正常程序，删除桌面文件，可以（介乎这个的，修订后的规则会提供桌面、我的文档、图片这三处的补充保护）。

电脑发烧友

话说看看毛豆9.0了，不然觉得玩不下去。

KK院长

过来支持一下。。。

柯林

电脑发烧友 发表于 2016-2-20 15:24
话说看看毛豆9.0了，不然觉得玩不下去。

不知道啥时候出

电脑发烧友

柯林 发表于 2016-2-20 12:32
第四部分：设置HIPS
大体上按七级权限划分处理（如下图示意）

赶脚三级权限之后包括三级权限加驱应该阻止。
另外想问问，为啥很多人喜欢用将军一类的词呢 ，是因为比较形象么？

柯林

电脑发烧友 发表于 2016-2-20 17:41
赶脚三级权限之后包括三级权限加驱应该阻止。
另外想问问，为啥很多人喜欢用将军一类的词呢 ， ...

在七级分级里，关系不大，高级权限可以套用给系统路径（system32），某些游戏，难免涉及到加驱
常用路径program files之类的，套用中级权限就可以 （信任程序标准权限）

一个国家，一个王，一个柱国大将军，基本就这样的

YSJ

进来学习之

马云波波波

柯林 发表于 2016-2-20 12:32
第四部分：设置HIPS
大体上按七级权限划分处理（如下图示意）

     刚才遇到了一位计算机专业的研究生，研究方向是信息安全。
     他说现在的HIPS，防火墙，杀毒软件等。即使规则设置的再严密，遇上高手的人工入侵也一样防不住。
     柯大，您认为是否真的如他所说？

电脑发烧友

马云波波波 发表于 2016-2-20 21:27
刚才遇到了一位计算机专业的研究生，研究方向是信息安全。
     他说现在的HIPS，防火墙，杀毒软件 ...

感觉这个可变性很大
1.高手也分很多种，一个人数学成绩一直很好，可以称为数学高手，但是不一定可以做出一些具有里程碑的事情，比如发现新的定律什么的，所以在规则足够严密的情况下，还是可以挡住部分高手的，当然如果是X国花费大量人力物力雇佣的顶尖高手用来达到某种目的了还是省省吧，完全挡不住。
2.漏洞是操作系统永远的痛，在高危漏洞（例如提权漏洞）的威胁下，HIPS通常都要倒下。
3.任何安全都是相对的，不要迷信和迷恋HIPS。另外个人用户一般不会招来高手“光临”

柯林

马云波波波 发表于 2016-2-20 21:27
刚才遇到了一位计算机专业的研究生，研究方向是信息安全。
     他说现在的HIPS，防火墙，杀毒软件 ...

这个不清楚，也许真有NB高手，无所不能，只是不知道世界上存数多少
一般人，也就过过嘴瘾与满足幻想，很多东西都是传说---老师吹给学生，爱好者之间相互传
一般已知经验，就是传个木马，网络直接入侵基本上没戏，再一个就是设置陷阱网页（有点瞎猫等死鼠的味道），除了0day，一般没什么戏

KK院长

马云波波波 发表于 2016-2-20 21:27
刚才遇到了一位计算机专业的研究生，研究方向是信息安全。
     他说现在的HIPS，防火墙，杀毒软件 ...

防的世界永远落后于攻击，的确有高手可以过防火墙，杀毒软件。
一个ODAY就可以远程溢出，就好比一个人生病了是癌症，你就告诉他反正你就要不行了，家里有钱也不要去看医生，看也让费钱？

电脑发烧友

“安全”播报
今日下午18点左右，一款名为COMODO FireWall的软件通配符失效，导致某个用户电脑不停的死机，据可靠消息，该用户已经愤怒的卸载了该软件。并扬言——如果9.0不修复坑爹的BUG他就不玩了。
                                                                                               2016年2月21日 22:23:32

柯林

电脑发烧友 发表于 2016-2-21 22:21
“安全”播报
今日下午18点左右，一款名为COMODO FireWall的软件通配符失效，导致某个用户电脑不停的死机 ...

呵呵

电脑发烧友

柯林 发表于 2016-2-21 22:26
呵呵

翻了半天日志，例外规则做了一大堆还是死机。。。。9.0在哪里

红牛

感谢分享好经验~

电脑发烧友

柯大帮我看看这个规则呗 ，大致思路就是本帖的内容，FD和程序的例外规则正在完善。最重要的是涉及不少优先级方面的内容，感觉有点问题，看看有没有什么不好的地方。
首次双击测试。


建议不要实机使用，还不够稳定，如果非要使用，请做好进入安全模式的准备，弹窗大部分都安全，允许并记住就行了。

柯林

电脑发烧友 发表于 2016-2-22 20:11
柯大帮我看看这个规则呗 ，大致思路就是本帖的内容，FD和程序的例外规则正在完善。最重要的是涉及不 ...

这帖子HIPS部分没有设置好，过严了，影响正常应用，我在修改完善ing

电脑发烧友

柯林 发表于 2016-2-22 20:26
这帖子HIPS部分没有设置好，过严了，影响正常应用，我在修改完善ing

我已经改过了，这两个目录下的都是完整权限，其余的windows下的程序权限也不算过分，win7*64开关机正常。就是弹窗有点多。

柯林

电脑发烧友 发表于 2016-2-22 20:29
我已经改过了，这两个目录下的都是完整权限，其余的windows下的程序权限也不算过分，win7*64开关机正常。 ...

我初步试下，感觉很不好，不符合预定要求，误杀很多，没必要的日志太多了，重新考虑下