定义了HIPS规则还是反复询问，我这个规则错在哪？

千宫纱

HEMM 发表于 2017-7-21 22:38
被拦截是BUG豆的禁止创建功能还可用于禁止读取。
不！全局应该这样，直接*.url。这是硬盘内的所有这个后 ...

我是发现开启了HIPS之后，并不能依靠手动确认来建立日常的规则库，因为确认后的规则太过具体，经常一点点变动就又得再确认一遍，比如这个CE的情况。
于是就想自己依靠规则收集和一点点COMODO的知识把规则库整理的很整齐全面，日常再不需要一个个确认。

最近每次遇到问题就尽量想办法把新的规则规范化整理到库里。

当然，现在很大一部分应用程序还处在收集规则的阶段，毕竟我几乎不知道机上每个应用程序运行的时候需要申请什么资源，需要禁止什么操作，还要靠一个个确认后积累经验。

HEMM

千宫纱 发表于 2017-7-22 11:16
我是发现开启了HIPS之后，并不能依靠手动确认来建立日常的规则库，因为确认后的规则太过具体，经常一点点 ...

是！这还是建立在BUG豆不是很细致的情况下，否则越细致的规则和行为管制，任何修改都会询问你。因为HIPS的特性就是如此，无法兼顾安全和易用。你只能在一方内倾斜。我就是一直搞不清楚我是想闹哪样，不过我个人是稍微偏那么点严格走向，只是时间不能太长，好吧！易用了我也担心有空子可钻.....所以来回的捣腾.......

你如果要保证最大安全又要稍微兼顾点易用，那么规则的建立很累，你至少要知道你使用的程序的运作范围，然后有那些程序是使用相同行为的，最后建立一个组，把相同行为的丢进去允许该行为的所有程序来减少规则量和弹窗数量，并固定死这些行为，不让组内运行其他的行为，不让组以外的程序运行这些行为。
所以建立规则的时候是最麻烦的，但规则建立完毕后，可改动的较少，由于你前期的努力，把大部分行为都分类并且固定死了，把相同行为的程序往那个组里面一扔就不用再动脑子了....大概。

如果无法建立组规则，那个才是恶梦.....比如我以前的规则，每个程序都要定定定，安全性也高不了多少，还累！
总之越细致的规则越累......稍微改变一点儿就需要你重新对该程序的行为再一步的确认。

或者是这样.........专门建立一个组全询问，用于测试软件的行为，测试完毕后丢入各自的组或因该程序有新的但是安全的行为，就给组规则添加这个行为，完善组规则？不过也是麻烦。

看怎么用适合你啦，HIPS在调试安全和易用方面必须看个人。想想我以前用MD的时候略神经，为了提高或者都不知道能不能提高的安全性，大搞步步询问，如某个网络游戏具体只访问那些服务器地址，就只允许那个。每个程序细致到那个程序需要那些端口访问那些地址我都想掌控，其余行为也一样。全部按询问，其实是阻止，询问我就阻止了，看看会不会出错，出错！那么允许，最原始低效率神经质的安全方案。建立规则花的时间超长，直到我转换在COMODO前还在大搞特搞，当然越搞越累越疲....安全性还未知，还只是我个人理想中的安全目标......真要我实战，胆子小不敢弄，就在那里YY满足.........
现在用COMODO，使用前期由于还抱有使用MD的观念，在那里搞啊弄啊疯啊，要严格要严格啊.......
后来嘛.....就是现在这样，想玩了或者进入自己不知道安全性未知的网站我才临时打开，大部分时间都关闭着的，想写想删就直接在里面操作，不影响我使用，毕竟防护都关闭着.......等我确实觉得规则成熟了，满足日常使用了再长期打开防护。就目前我这几个填填删删改改的规则，日常使用起来蛋疼.......
我这个环境......木马估计都需要不通畅一会儿......大概。