麦咖啡简单防护规则

柯林

做好入口防御，不让坏人随便进来！不是自己主动下载使用的程序，一律封堵。
自找的自己担责！系统更新，自己从可信站点下载的干净安装包，关闭访问保护进行安装与更新。
FD与RD规则，防贼与防黑即可，AD方面的事情就不要费心了。

***************VSE简单防御入口规则（win7/8/10，32/64通用）*****************

假设系统安装在C盘，假设主要程序安装在C盘，首先，全局大过滤：

1、禁止非法程序的所有行为【放行C盘上的合法文件】
包含：*.*
排除：C:\Windows\**,\??\C:\Windows\system32\winlogon.exe,C:\Program Files**,*\AppData\Local\Google\Chrome\** 【如果其它磁盘上的程序想要运行，添加排除，比如D:\Program Files\comon tools\**之类】【为免蓝屏、崩溃、进不了系统，这一条，先开报告，多试几次开机、关机，仔细看看，真没什么需要排除的，再勾选阻止】
目标：**
操作：全部打勾

然后，对放行者做进一步的限制与过滤，比如哪些程序可以创建exe文件、dll文件、scr文件、bat文件、vbs文件，哪些宿主程序禁止执行指定目标，哪些高危程序禁止启动等。

2、禁止创建修改exe文件 【放行高度可信程序】
包含：*
排除：C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe
目标：**.exe
操作：勾选创建，写入

3、禁止创写sys文件
包含：*
排除：C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe【该条为免意外，先勾选报告，多开关机几次，看看你的显卡之类的硬件是否需要添加排除】
目标：C:\**.sys
操作：勾选创建、写入

4、禁止在C盘创建dll文件
包含：*
排除：C:\Windows\servicing\Trustedinstaller.exe, C:\Windows\system32\poqexec.exe, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE 【个别程序有需要的可加排除，或者关闭访问保护后运行一下，一般不排除】
目标：C:\**.dll
操作：勾选创建


5、禁止创建scr文件【防勒索诈骗】
包含：*
排除：无【如果运行屏保受阻，根据日志排除】
目标：**.scr
操作：勾选创建

6、禁止创建bat文件【防恶意程序】
包含：*
排除：无
目标：**.bat
操作：勾选创建

7、禁止创建vbs文件
包含：*
排除：无
目标：**.vbs
操作：勾选创建

禁止脚本解释器执行非法位置的程序，比如user目录，U盘

8、禁止执行user下的脚本  【powershell脚本防御，没做过实测，功效存疑】
包含：cmd.exe,cscript.exe,wscript.exe,powershell.exe
排除：无
目标：C:\Users\**
操作：勾选读取，执行

9、禁止执行U盘1上的脚本 【如果同时插两块以上U盘，求把稳可以再写几条】
包含：cmd.exe,cscript.exe,wscript.exe,powershell.exe
排除：无
目标：G:\**  【把路径换成你的U盘所占的磁盘路径】
操作：勾选读取，执行

10、防止敲竹杠
包含：net.exe, net1.exe
排除：无
目标：\\.\pipe\samr
操作：勾选写入

11、防止恶意格盘
包含：*
排除：无
目标：format.???
操作：勾选执行

12、禁止使用分区命令
包含：*
排除：无
目标：diskpart.exe
操作：勾选执行

13、防止病毒卷影操作
包含：*
排除：poqexec.exe, svchost.exe, Trustedinstaller.exe, winlogon.exe
目标：vssadmin.exe
操作：勾选执行

为了防止黑客控制系统，添加账户，加上两条：

14、禁止更改用户权限 【注册表规则】（注意实验，看休眠唤醒或重启是否有影响）
包含：*
排除：无
目标：HKLM    /SAM/SAM/*/*
类型：项
操作：全部勾选

15、防止添加用户 （注意实验，看休眠唤醒或重启是否有影响）【这两条抄的，新系统有用与否，自己实验】
包含：*
排除：
目标：C:\Windows\System32\config\TxR\SAM
操作：勾选创建、写入、删除

日常防护，自定义设置以上规则，配合咖啡的月神，对于普通人够了。作为增强，开启系统自带的2条规则：
1）防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件，勾选阻止与报告
2）通用最大保护---禁止将程序注册为自动运行，勾选阻止与报告，排除名单更换为：Trustedinstaller.exe, winlogon.exe

=======================================================================
为了掌握系统运行情况，监测是否有程序作怪，开启以下规则的报告：
3）防间谍程序最大保护---禁止安装新的 CLSID、APPID 和 TYPELIB，勾选报告
4）防病毒标准保护---禁止更改用户权限策略，勾选报告
5）防病毒标准保护---禁止拦截 .EXE 和其他可执行文件扩展名，勾选报告
6）通用标准保护---禁止安装 Browser Helper Objects 和 Shell Extensions，勾选报告
7）通用标准保护---保护网络设置，勾选报告
8）通用最大保护---禁止将程序注册为服务，勾选报告
9）通用最大保护---禁止在 Windows 文件夹中创建新的可执行文件，勾选报告
10）通用最大保护---禁止在 Program Files 文件夹中创建新的可执行文件，勾选报告

=======================================================
这样简单设置一下，对于日常防毒来说，能够满足入口型的防御需要。由于VSE的AD功能较弱，对于安装钩子、注入内存等入侵手段来说，防御力为零，所以VSE及入口防御规则，只适合习惯良好，系统干净，没有乱七八糟软件，平常只是上网、做事的办公用户，系统安全程度取决于补丁、所装软件的规矩程度及个人的安全意识与操作习惯。（其实大部分人不用担心，只要病毒木马进入不了本机，没什么好担心的，至于作死与自己招鬼，自作自受）

======================================================
在这个病毒横飞，勒索成灾的时代，如果你有重要资料，可以补订几条规则，进行保护。例如：

最重要的文件集中到一个目录（譬如E盘上的SMFS)，加规则保护：
16、禁止访问绝密文件
包含：*
排除：C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe【根据自己所用的软件，添加适当的排除】
目标：E:\SMFS**
操作：勾选读取、创建、写入、删除

一些重要的图片、资料、文档、网页之类，归结到一个目录里(比如D盘上的ABSPDS文件夹里），加规则保护：
17、保护重要的文件
包含：*
排除：C:\Program Files**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标：D:\ABSPDS\**
操作：勾选写入、删除

如果喜欢把文件摆在桌面、我的文档里，也可以仿照例子，自己写上保护规则。

=====================================================
有全局大过滤及exe等可执行文件的写入限制，其实有些规则都属于重复及多余，仅仅起到个预防万一的作用。如果你追求极简，保留1、2、3、4、5及勾选自带规则---防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件，加上文件保护的16、17两条，就够了，配合VSE的杀毒功能，已经是很好的增强。其他那些，自己看吧。

rlx

入口规则其实是最实用的

wfl5201314

咖啡就是强大

jone_jys

如果单纯自己用的系统，只需做几条全局限制可执行文件的规则，再配合默认的规则就很强大了。真正的极简。。。

柯林

jone_jys 发表于 2017-7-30 23:02
如果单纯自己用的系统，只需做几条全局限制可执行文件的规则，再配合默认的规则就很强大了。真正的极简。。 ...

相对全面一点，而又精干的规则，好像19条左右：

************VSE精简御用规则*************

1、全局大过滤---【禁止非法程序的活动】 （包含*.*   排除*\AppData\Local\Google\Chrome\**, C:\Program Files**,C:\Windows\**, D:\Program Files\SafeTools\**, \??\C:\Windows\system32\winlogon.exe  目标**  读、建、写、删、执）

2、【禁止创写exe】   （包含*   排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe   目标**.exe  建、写）

3、【禁止创写dll】   （包含*  排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe,C:\Windows\system32\wininit.exe, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE,FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe   目标**.dll  建、写）

4、【禁止创写sys】   （包含*.*  排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe  目标**.sys  建、写【该条为免意外，先勾选报告，多开关机几次，看看你的显卡之类的硬件是否需要添加排除】

5、【禁止创建scr】  （包含*  目标**.scr   创建）

6、【禁止创建bat】  （包含*  目标**.bat   创建）

7、【禁止创建vbs】  （包含*  目标**.vbs   创建）

8、【禁止执行user里的脚本】  (包含cmd.exe,cscript.exe,wscript.exe,powershell.exe  目标C:\Users\**   执行）

9、【防止恶意格盘】  （包含*  目标format.???   执行）

10、【禁止访问私密文件】（包含*  排除（必用而可信程序）目标（存放最重要的文档、报表、资料的目录） 读、建、写、删）

11、【禁止改写图文资料】（包含*  排除（常用而合法的程序）目标（存放图片、文档、资料的目录）   写、删）

-------------------------------
启用自带规则 （勾选阻止+报告）
1）防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件，勾选阻止与报告
2）通用最大保护---禁止将程序注册为自动运行，勾选阻止与报告，排除名单更换为：Trustedinstaller.exe, winlogon.exe
------------------------------
开启监控（勾选报告）
3）防病毒最大保护---禁止 Svchost 执行非 Windows 可执行文件，勾选报告
4）防间谍程序最大保护---禁止安装新的 CLSID、APPID 和 TYPELIB，勾选报告
5）通用标准保护---禁止安装 Browser Helper Objects 和 Shell Extensions，勾选报告
6）通用最大保护---禁止将程序注册为服务，勾选报告
7）通用最大保护---禁止在 Windows 文件夹中创建新的可执行文件，勾选报告
8）通用最大保护---禁止在 Program Files 文件夹中创建新的可执行文件，勾选报告
------------------------------------------------------------------------------------
补充：全局大过滤---【禁止非法程序的活动】排除项参考名单
*\APPDATA\LOCAL\FLUXSOFTWARE\FLUX\FLUX.EXE, *\AppData\Local\Google\Chrome\**, *\AppData\Local\Microsoft\**, C:\Program Files**, C:\ProgramData\McAfee\**, C:\ProgramData\Package Cache\**, C:\Windows\**, D:\Program Files\SafeTools\**, \??\C:\Windows\system32\winlogon.exe      
（AppData\Roaming里面安装的程序，根据自己的实情与需要加以排除取舍吧）

夜无殇

看着好麻烦，有简单点的方法吗，本人小白一个

hagcse

柯大出品，必属精品，规则收藏谢谢分享。

callert

柯大出品，必属精品，规则收藏谢谢分享。

资深裸奔菜鸟

简单而粗暴的规则

lucifersm

楼主，我根据你5楼的规则配置了5、6、7还有自带规则的那部分，然后昨晚和今天就收到这些阻止记录，这些记录是有问题吗，为什么在做创建IE收藏夹？这台是服务器，晚上的时候是没登录的，只是在开着。另外w3wp.exe我看了下网上说是IIS的程序，这是不是和网站发布有联系的，我有个BS架构的ERP软件打不开好像是这里影响

[mw_shl_code=xml,true]2017/8/31        17:44:47        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\LSASS.EXE        HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\MFEHIDK\        通用标准保护:禁止修改 McAfee 文件和设置        已阻止的操作: 写入
2017/8/31        21:49:48        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/8/31        21:50:02        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        1:49:54        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        1:50:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        2:00:02        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        D:\PROGRAM FILES (X86)\MICROSOFT SQL SERVER\100\TOOLS\BINN\SQLPS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        5:49:47        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        5:49:58        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        9:41:58        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSWOW64\RUNONCE.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:42:02        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSTEM32\SERVERMANAGERLAUNCHER.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:42:08        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSTEM32\RDPCLIP.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:43:27        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\PROGRAM FILES (X86)\SOGOUINPUT\SOGOUEXE\SOGOUEXE.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:43:28        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\58EF608C\00B93D26_3208CF01\ANTLR3.RUNTIME.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:46:58        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\PROGRAM FILES (X86)\SOGOUINPUT\8.6.0.1423\SGTOOL.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:48:07        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\2077C588\00CDBFB7_CBA9D001\KINGDEE.BOS.VERIFICATIONHELPER.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:48:09        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\APP_GLOBAL.ASAX.O9RYCBDY.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:48:09        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\58EF608C\00B93D26_3208CF01\ANTLR3.RUNTIME.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取[/mw_shl_code]