VSE Windows NT6+ 规则 Final

Savoor

做规则很辛苦,支持支持~~~

rlx

排除个人感觉太宽泛   不过习惯不同    我都懒的动了  天天有气无力   期末忙考试  

qpzmggg999

rlx 发表于 2013-1-15 23:48
排除个人感觉太宽泛   不过习惯不同    我都懒的动了  天天有气无力   期末忙考试

考完试在折腾吧 学习是主要的

qpzmggg999

wyj915752168 发表于 2013-1-15 21:35
呃，还真不知内核有大改动，学习了

还会有9啊，希望界面能跟上时代（虽然不是重点）。

个人版的咖啡一直很好喝吧？加牛奶的  --- 苦的只有企业版而已

qpzmggg999

尘梦幽然 发表于 2013-1-15 21:42
不错，学妹时间挺丰富嘛
手机就不详细看了
学长有点佩服你来了~

放假了时间必须丰富 整天除了补习就剩下发呆了--

jxfaiu

qpzmggg999 发表于 2013-1-15 19:33
规则文字版：
--------------------------------------------------官方默认规则------------------------ ...

qpzmggg999小妹制作规则辛苦，本人在这提点小建议：
通配符用得太广泛，对内安全性有待改进；

《防病毒爆发控制》

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：
阻挡、报告

《用户定义的规则》

规则名称：全局入侵控制
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：*
要禁止的文件操作： 写入 创建 删除
阻挡 报告

规则名称：全局注册表控制(项)(值)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项或值
要阻止的注册表操作：写入 创建 删除
阻挡 报告

1，以上规则全局文件控制：读取、写入、执行、创建、删除，全局注册表控制：写入 创建 删除，排除尽量绝对途径，才能有效控制具体进程的操作。

《通用最大保护》

规则名称：禁止 FTP 通信
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止 HTTP 通信
要包含的进程：*
要排除的进程：
阻挡

规则名称：全局端口控制
要包含的进程：*
要排除的进程：
要阻止的端口：0-65535
方向：出站 入站
阻挡

2，以上端口规则目前仅文件名排除有效。

3，一条自定义规则可以反复复制修正，这样制做文字规则快捷；正规格式文字版方便查看理解：

官方规则：

《防间谍程序标准保护》

规则名称：保护Internet Explorer收藏夹和设置
要包含的进程：*
要排除的进程：
阻挡

《防间谍程序最大保护》

规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止所有程序从 Temp 文件夹运行文件
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止从 Temp 文件夹执行脚本
要包含的进程：?script.exe
要排除的进程：无
阻挡

《防病毒标准保护》

规则名称：禁止禁用注册表编辑器和任务管理器
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止更改用户权限策略
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：
规则名称：禁止远程创建自动运行文件
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止伪装 Windows 进程
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止群发邮件蠕虫发送邮件
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止 IRC 通信
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止使用 tftp.exe
要包含的进程：*
要排除的进程：无
阻挡

《防病毒最大保护》

规则名称：禁止 Svchost 执行非 Windows 可执行文件
要包含的进程：Svchost.exe
要排除的进程：
阻挡

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：
阻挡、报告

规则名称：禁止更改所有文件扩展名的注册
要包含的进程：*
要排除的进程：无
阻挡

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：
阻挡

《防病毒爆发控制》

阻止对所有共享资源的读写访问

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：
阻挡

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：
阻挡、报告

《通用标准保护》

规则名称：禁止修改 McAfee 文件和设置
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止修改 McAfee 扫描引擎文件和设置
要包含的进程：*
要排除的进程：
阻挡

规则名称：保护 Mozilla 及 FireFox 文件和设置
要包含的进程：*
要排除的进程：无
阻挡

规则名称：保护 Internet Explorer 设置
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程：*
要排除的进程：无
阻挡

规则名称：保护网络设置
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止公用程序从 Temp 文件夹运行文件
要包含的进程：cmd.*, conime.*, ntvdm.*
要排除的进程：无
阻挡、报告

规则名称：防止终止 McAfee 进程
要包含的进程：*
要排除的进程：
阻挡

《通用最大保护》

规则名称：禁止将程序注册为自动运行
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止将程序注册为服务
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程：*
要排除的进程：无
阻挡

规则名称：禁止 FTP 通信
要包含的进程：*
要排除的进程：
阻挡

规则名称：禁止 HTTP 通信
要包含的进程：*
要排除的进程：
阻挡

《用户定义的规则》

文件控制规则：

规则名称：全局入侵控制
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：*
要禁止的文件操作： 写入 创建 删除
阻挡 报告

注册表控制规则：

规则名称：全局注册表控制(项)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除
阻挡 报告

规则名称：全局注册表控制(值)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：值
要阻止的注册表操作：写入 创建 删除
阻挡 报告

端口控制规则：

规则名称：全局端口控制
要包含的进程：*
要排除的进程：
要阻止的端口：0-65535
方向：出站 入站
阻挡

4，U盘访问注册表、安全模式注册表、映像劫持注册表是无排除项的；

纯属本人建议，不妥之处请指正，勿喷。

qpzmggg999

jxfaiu 发表于 2013-1-16 11:29
qpzmggg999小妹制作规则辛苦，本人在这提点小建议：
通配符用得太广泛，对内安全性有待改进；

你终于回我贴了   你的建议我会采用的 非常感谢您的建议    但是我觉得比如：

规则名称：全局注册表控制(值)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：值
要阻止的注册表操作：写入 创建 删除
阻挡 报告

对于此条规则来讲 如果都使用 绝对路径/进程排除 那么还哪来的简单可言
本规则相对于你们各位大神规则来讲 个人认为你们各位大神都是追求安全性
这无疑是对的  用个杀软就图安全嘛
不过排除来排除去你会不会觉得一个问题呢？
病毒没有光临你的PC  自己的规则让自己排除的手忙脚乱
所以此规则是在保证安全性的同时（肯定会降低安全性） 来把排除做到最小化

此规则还有一个致命弱点  墨池提过  防外不防内  所以用此规则的电脑必须是干净的

最后 非常感谢您的意见 20多号的更新会加入您的意见的

jxfaiu

qpzmggg999 发表于 2013-1-16 12:12
你终于回我贴了   你的建议我会采用的 非常感谢您的建议    但是我觉得比如：

规则名称：全局注册表控 ...

你们各位大神本人不敢当，喜欢折腾而已。
《防病毒爆发控制》

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：
阻挡、报告

《用户定义的规则》

规则名称：全局注册表控制(项)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除
阻挡 报告

规则名称：全局注册表控制(值)
要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除
阻挡 报告
其实以上3条规则排除是一样的，打磨规则阻止对所有共享资源的读写访问先启用报告进行排除，如勾选阻挡，未排除干净系统进程会造成启动失败；注册表控制项或值规则先停用，等阻止对所有共享资源的读写访问排除打磨完成后，把阻止对所有共享资源的读写访问排除项复制到注册表控制排除项内，如此既不快捷；

规则名称：全局入侵控制
要包含的进程：*
要排除的进程：此排除与上面3条规则略有少许不同
要阻止的文件或文件夹名：*
要禁止的文件操作： 写入 创建 删除
阻挡 报告

用此规则的电脑必须是干净的，要是关闭访问保护，安装的程序带捆绑呢；所以用绝对途径排除最起码知道捆绑的东东在哪，要干什么。

尘梦幽然

qpzmggg999 发表于 2013-1-16 08:16
放假了时间必须丰富 整天除了补习就剩下发呆了--

看点名著吧
否则初三和高中会很累的

a__gu

轻轻顶下。