“默认规则不安全”

柯林

个人观点：
以程序规则限制为例，重点管制浏览器：先建一个浏览器组，把各个浏览器添加进去，然后引用该分组，套用的自定义规则——钩子阻止（例外允许那4个，如有特例再添加），阻止驱动、内存、磁盘、com（添加常用项例外）、注册表（文件关联排除网页文件），FD操作至少添加“重要的文件目录，开始目录，可执行文件（例外添加浏览器下载目录允许exe文件以便下载安装程序）
下载程序如迅雷之类，参照上面酌情减少（注意迅雷需要修改添加注册表的CLSID，PPS需要在windows目录里创建ini文件）

全盘防御的话，首先要记住特例两点：安装文件夹和下载目录——需要专门设定一个文件夹用来存放干净的安装程序，平时把它添加进拦截区，下载到新的安装程序时，才临时解禁，由自己手动移动新下的程序进去，安装程序时直接到里面双击安装即可；另外一个就是划出下载目录，允许浏览器和下载工具在里面创建exe文件

之后，就可以进行路径限制——
?:\Program Files\*  自定义限制规则
?:\Documents and Settings\* 自定义限制规则 （注意这一条包含temp文件夹，影响程序安装，最好排除，或者不要这一条）
C:\Users\*  自定义限制规则
D:\*  自定义限制规则
E:\*  自定义限制规则
F:\*  自定义限制规则
（你有几个磁盘分区，就设置几条磁盘路径规则；U盘路径，建议匹配预定义的”被隔离的程序“）
这些规则是放在全局之上好，还是之下好，以及如何与全局规则互相配合排除（某些内容放全局里），各人自己敲定。
总体指导思想，以降权限制为主，不是搞什么秒杀

至于自定义限制规则做到哪个程度，松紧方面各人自己把握，个人建议以不影响正常应用而又消灭可能的风险为宜。以
?:\Program Files\*  自定义限制规则   为例：
程序运行：禁运系统危险程序；禁运*\Temp\* （这一条是否必要，是否影响正常应用，各人实证）
驱动安装：阻止 （杀软、卫士、优化工具、需要加驱的游戏等，请给予例外规则）
com接口：阻止 （例外放行常用项目）
注册表：阻止 （例外允许*\SOFTWARE\Classes\CLSID*和*\SOFTWARE\Classes\AppID*及文件关联【此项见末尾注释】,不要忘记例外允许“临时注册表项”。一些程序的例外放行，请根据日志）
文件：允许（例外阻止”开始目录“，”重要的文件目录“，”可执行文件“【下载方便的例外允许exe，可以在该条里例外允许”下载目录“，也可以在浏览器和下载工具的规则里例外排除】，例外允许访问windows目录里的log文件、ini文件——为免万一，请定时检查windows目录下的system.ini等重要文件)
内存：阻止
磁盘：阻止
其他的允许

注释：注册表保护内容全阻止，对于常用软件，可能涉及到的方面有：某些软件对服务的更改；某些软件的com组件添加；某些软件（主要是影音播放程序）的文件关联更改，可以专门对程序加例外，也可以在全局规则里拦截掉危险的文件关联：.bat  .cmd  .com  .exe  .scr  .txt  .ini   .pif  .reg  .inf  .hlp  .chm  .vbs  .js  .lnk  batfile  cmdfile  comfile  exefile   scrfile        txtfile   inifile   piffile   regfile  inffile   hlpfile         chm.file  vbsfile   jsfile  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithProgids
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ini\OpenWithProgids
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids

Savoor

柯大,规则已经做了相应排除,可office仍然无法正常使用,日志中只有一条记录,应该怎样修改规则?

柯林

Savoor 发表于 2012-6-3 11:08
柯大,规则已经做了相应排除,可office仍然无法正常使用,日志中只有一条记录,应该怎样修改规则?

你自己打磨的规则？感觉严厉了。
一般根据日志排除即可，试试重启系统。

a256886572008

Savoor 发表于 2012-6-3 11:08
柯大,规则已经做了相应排除,可office仍然无法正常使用,日志中只有一条记录,应该怎样修改规则?

你有开 部份限制吗？

Savoor

柯林 发表于 2012-6-3 11:16
你自己打磨的规则？感觉严厉了。
一般根据日志排除即可，试试重启系统。

与office有关的所有日志记录都已在相应规则中排除,office修改\Device\C:也已在受保护的文件目录中排除,可是启动office依然有这条记录,office启动错误,这是怎么回事?

Savoor

a256886572008 发表于 2012-6-3 11:17
你有开 部份限制吗？

没有啊...并且只有这一条记录,关闭D+,office即可正常运行

chncwk

Savoor 发表于 2012-6-3 11:08
柯大,规则已经做了相应排除,可office仍然无法正常使用,日志中只有一条记录,应该怎样修改规则?

激活检测的程序要安装某项服务吧。

柯林

柯林 发表于 2012-6-3 10:20
个人观点：
以程序规则限制为例，重点管制浏览器：先建一个浏览器组，把各个浏览器添加进去，然后引用该分 ...

comodo自动添加的安全程序的一些例外行为参考：
chorme  注册表允许*\SOFTWARE\Policies\* 和*\Software\Microsoft\SystemCertificates\*
        文件允许 \Device\Nsi 和\Device\Afd\Endpoint

ppstream  注册表允许*\SOFTWARE\Classes\*\DefaultIcon*
                    *\SOFTWARE\Classes\*\shell* （改影音文件关联）
                    *\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections*
                    *\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Proxy*
                    *\Software\Microsoft\Windows\CurrentVersion\Run*（添加启动项，通常应该阻止）
          文件允许 \Device\Nsi 和\Device\Afd\Endpoint

ppsap  注册表允许*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections*
                 *\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Proxy*
        文件允许 \Device\Nsi 和\Device\Afd\Endpoint
winrar 文件允许 *.exe（这个也太宽了，至少拦掉windows目录和Program Files目录

自定义规则出问题的，不妨借鉴默认规则自动添加的白名单程序的配置

Savoor

chncwk 发表于 2012-6-3 11:28
激活检测的程序要安装某项服务吧。

那应该如何通过日志进行排除呢?现在日志中只有这一条相关记录,其它的都已排除,并且office修改\Device\C:也已在受保护的文件目录中排除,但是一运行office依然错误,日志中仍然有此记录,还望大神帮忙解答

chncwk

Savoor 发表于 2012-6-3 11:32
那应该如何通过日志进行排除呢?现在日志中只有这一条相关记录,其它的都已排除,并且office修改\Device\C:也 ...

你开疯狂模式再试试，日志应该会详细些。还有那13条规则一条条的设为“询问”。