把原系统加强规则两条合并更改成一条，求解

jxfaiu

把原系统加强规则两条合并一条：
原规则：
规则名称：FD 禁止windows下可疑的DLL文件操作
要包含的进程：*
要排除的进程：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名：**\WINDOWS\**\*.dll
要禁止的文件操作：写 创建
阻挡

规则名称：FD 禁止Program Files下可疑的DLL文件操作
要包含的进程：*
要排除的进程：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名：**\Program Files\**\*.dll
要禁止的文件操作：写 创建
阻挡

增加：
规则名称：禁止可疑的DLL文件操作
要包含的进程：*
要排除的进程：c:\Program Files\**\*.*, c:\WINDOWS\**\*.*
要阻止的文件或文件夹名：**.dll
要禁止的文件操作： 执行  
阻挡

触红日志：2012-5-30        7:20:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32\winlogon.exe        C:\WINDOWS\SYSTEM32\Msctf.dll        用户定义的规则:禁止创建、执行DLL        已阻止的操作: 执行
2012-5-30        7:24:40        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32\winlogon.exe        C:\WINDOWS\SYSTEM32\Msctf.dll        用户定义的规则:禁止创建、执行DLL        已阻止的操作: 执行
2012-5-30        7:24:51        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32\winlogon.exe        C:\WINDOWS\SYSTEM32\Msctf.dll        用户定义的规则:禁止创建、执行DLL        已阻止的操作: 执行
2012-5-30        7:27:54        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32\winlogon.exe        C:\WINDOWS\SYSTEM32\Msctf.dll        用户定义的规则:禁止创建、执行DLL        已阻止的操作: 执行

我不想排除，原因是只要运行正常尽量不要排除安全，我也就以上触红日志尝试过排除，排除无效，我把报告关啦，增加一条后频繁读盘有改善。
我想这样更改会增加排除工作量（下载、解压免安装文件）请求大侠们确认这样合并更改安全吗？假如安全可行的话，急盼，谢谢！

原规则：
规则名称：FD 禁止windows下可疑的PIF文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.pif
要禁止的文件操作：写 创建
阻挡

规则名称：FD 禁止Program Files下可疑的PIF文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\Program Files\**\*.pif
要禁止的文件操作：写 创建
阻挡
合并改写为：
规则名称：禁止可疑的PIF文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.PIF
要禁止的文件操作：写入 执行 创建
阻挡

原规则：
规则名称：FD 禁止windows下可疑的SCR文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.scr
要禁止的文件操作：写 创建
阻挡

规则名称：FD 禁止Program Files下可疑的SCR文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\Program Files\**\*.scr
要禁止的文件操作：写 创建
阻挡

合并改写为：
规则名称：禁止可疑的SCR文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.SCR
要禁止的文件操作：写入 执行 创建
阻挡 

原规则：
规则名称：FD 禁止windows下可疑的COM文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.com
要禁止的文件操作：写 创建
阻挡

规则名称：FD 禁止Program Files下可疑的COM文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\Program Files\**\*.com
要禁止的文件操作：写 创建
阻挡

合并改写为：
规则名称：禁止可疑的COM文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.COM
要禁止的文件操作：写入 执行 创建
阻挡 这样行吗

462588842

可疑的EXE文件操作
要包含的进程：*
要排除的进程：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名：**.exe
这一条顶你那两条！没多少排除量

462588842

其余的也建议这样写！

jxfaiu

462588842 发表于 2012-5-30 09:25
可疑的EXE文件操作
要包含的进程：*
要排除的进程：?:\Program Files\**\McAfee\**\*.*

要排除的进程：c:\Program Files\**\*.*, c:\WINDOWS\**\*.*

楼主大可不必全盘禁运dll文件，该文件可以在你不可预知的地方运行，例如在内存中运行。如果实施全盘禁运该文件，带来的副作用是较大的，有时甚至是不能排除的。要追求安全，规则也应在可控的前提下进行设计，哪怕是不厌其烦的排除。

以上规则，并非“合并”！ 其修改后的规则效力也完全改变——因增加控制因素【执行】

执行，与创建等操作，有着根本上的区别；不存在你现在所谓的“简单合并”！

jxfaiu

storyhare 发表于 2012-5-30 14:44
以上规则，并非“合并”！ 其修改后的规则效力也完全改变——因增加控制因素【执行】

执行，与创建等操作 ...

版主，那这样修改后安全吗，会不会象楼上说的有负面影响呢

jxfaiu 发表于 2012-5-30 15:41
版主，那这样修改后安全吗，会不会象楼上说的有负面影响呢

安全上的话，需要具体分析（特别是这么一两条规则的改变，对规则整体而言，其影响很难确定）

如修改后的规则：

规则名称：禁止可疑的DLL文件操作
要包含的进程：*
要排除的进程：c:\Program Files\**\*.*, c:\WINDOWS\**\*.*
要阻止的文件或文件夹名：**.dll
要禁止的文件操作： 写入 执行 创建

这条规则这样修改后，其原来的“写入 创建”，几近消失——因“执行”这一操作，需要排除相当多的进程，会完全覆盖原始“写入 创建”，使得“写入 创建”因排除过多，而消失

--

而

规则名称：禁止可疑的PIF文件操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**.PIF
要禁止的文件操作：写入 执行 创建

这条“合并”后，“写入 创建”并不会被覆盖；因“执行”涉及的进程很少，不会产生大量排除

---

综上，“合并”与否，需要每个规则单独考察；决不能这样直接修改！！

jxfaiu 发表于 2012-5-30 15:41
版主，那这样修改后安全吗，会不会象楼上说的有负面影响呢

另：使用文件夹通配排除，是一种不负责的表现！

可以负责地说：一旦使用类似“c:\Program Files\**\*.*, c:\WINDOWS\**\*.*”的大面积文件夹通配排除，其规则的防御能力，至少会减少50%，甚至消失！

jxfaiu

storyhare 发表于 2012-5-30 16:03
另：使用文件夹通配排除，是一种不负责的表现！

可以负责地说：一旦使用类似“c:\Program Files\**\*. ...

那就变不动，还是用原的