求一个简单点的入口规则

w99308702

firefox3 发表于 2012-5-3 13:32
我看看高手的规则

好的，妹子你在看看吧

一、浏览器控制

这个很难给出较为全面而高效的规则控制！   简单说来，仅能够完整控制其可执行文件的【创建】、【写入】、【执行】等行为；以及部分高权限注册表键值控制～


1、可执行文件的【创建】、【写入】、【执行】等行为

版区的现有规则，已基本包含该项保护

主要拦截以下权限：“.exe”（等）全局创建/执行/写入；系统文件夹的修改权限（C:\Windows）

2、部分高权限注册表键值控制

默认规则，已给出：禁止将程序注册为自动运行/禁止将程序注册为服务等


3、未能够给予保护的权限

大量注册表键值的修改权限——该部分中，浏览器需要修改部分区域，故不能够给予简单的保护限制！


#附，以上已拦截浏览器进程的权限为主体控制


---


二、U盘控制


1、执行权限

版区所有规则，已包含

要包含的进程：*
要排除的进程：可执行区域（并不包含U盘）
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：执行

2、还需要什么控制？？？

在“1、执行权限”的控制下，U盘内的所有文件并不能够主动执行，难以感染系统

但，需要注意一点的是，【脚本文件+autorun.inf】——这个组合能够突破“1、执行权限”；需使用墨池提供的那个规则拦截：

规则名称：U盘入口控制2
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：\autorun.inf
要禁止的文件操作：读取 （创建 写入 创建 删除；这部分，可以不控制）

---

完～

青衫依旧

w99308702 发表于 2012-5-3 13:16
规则名称：出站控制
要包含的进程：*.*
要排除的进程：cfp.exe, cfpupdat.exe, chrome.exe, cmdagent.exe ...

入站应该不要那么多程序的，你去毛豆区看看防火墙规则，没几个程序需要入站的
记得QQ的规则是只有外连~~~~~~~~，浏览器也没必要入站
附毛豆的浏览器原始规则
[/attachimg]

墨池

w99308702 发表于 2012-5-3 15:06
可执行文件EXE，创建、写入控制
要包含的进程：*
要排除的进程：C:\Program Files\Hewlett-Packard\**\un ...

不行，因为只是防止病毒进入磁盘1，不能保证磁盘2上的病毒运行。
倒是

规则名称：103 封锁非信任区_文件
要包含的进程：*
要排除的进程：*\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Windows\**, System, C:\Program Files (x86)\**, C:\Program Files\**, D:\Program Files (x86)\**, D:\Program Files\**, E:\Program Files (x86)\**, E:\Program Files\**
要阻止的文件或文件夹名：**
要禁止的文件操作：读取 写入 执行 创建 删除（或者：写入 创建 删除）

这样的规则能起到防御作用。我给的两条规则最彻底。

firefox3

storyhare 发表于 2012-5-3 15:37
一、浏览器控制

这个很难给出较为全面而高效的规则控制！   简单说来，仅能够完整控制其可执行文件的【创 ...

等到版主咧

firefox3

墨池 发表于 2012-5-3 15:53
不行，因为只是防止病毒进入磁盘1，不能保证磁盘2上的病毒运行。
倒是

求墨大出手，编订一个简单到不能再简单规则

墨池

storyhare 发表于 2012-5-3 15:37
一、浏览器控制

这个很难给出较为全面而高效的规则控制！   简单说来，仅能够完整控制其可执行文件的【创 ...

午安！

墨池

青衫依旧 发表于 2012-5-3 15:43
入站应该不要那么多程序的，你去毛豆区看看防火墙规则，没几个程序需要入站的
记得QQ的规则是只 ...

感谢，提示得好！

墨池

firefox3 发表于 2012-5-3 16:03
求墨大出手，编订一个简单到不能再简单规则

这个，我可以试试！有计划把卧龙规则做一些调整，并附一个精简规则。

青衫依旧

墨池 发表于 2012-5-3 16:14
感谢，提示得好！

我没来咖啡区前是用毛豆的，（毛豆不防读）现在二个都在用，相互排除也没感到冲突