毛豆终于慢慢上手了 - 从实战为 Comodo 建立规则 （补充）

firefox3

adair 发表于 2013-2-7 18:28
多谢了，还有2个 http://camas.comodo.com/ ， http://valkyrie.comodo.com/

不用

adair

补充我的注册表防护和对全局规则（All Applications *）的一些思路。

=================〉

注册表防护是非常重要的，我参考了windows普通用户权限的设置，并根据实际中碰到的情况，添加了3个RD项。



第一项 Administrative Privileges，windows给普通用户的权限只允许编辑和用户有关3个注册表项，HKCU\*、HKUS下的2个分别是 S-1-5-21-*、S-1-5-21-*_Classes\*，大多数的应用类软件都能在普通用户下运行，因此也应该只需要这3项就 可以了。在我测试的几个应用类软件中，还没碰到有需要 HKCU\* 和 HKUS\S-1-5-21-*_Classes\* 的，因此可以只开放HKUS\S-1-5-21-* 给应用类软件，另外为了方便DIY，把HKLM\SOFTWARE\* 分了出来，因此如下图，除了2个红圈中项，注册表中其余项我都添加到右边。



添加后如下


第二项 HKLM\SOFTWARE\*，上图的第一个红圈，有些windows的程序会用到，基本上只开放给windows的程序。

第三项 HKUS\S-1-5-21-*\Software\Microsoft\*，这个是从第二个红圈中分出来的，这个我认为是windows的资源，可以收回来不让非系统的软件访问。

于是在整个注册表中，应用类软件只能访问 HKUS\S-1-5-21-*（第二个红圈）中排除了windows的独占项再加上毛豆默认的保护项之后剩下来的，虽然日志中会有很多阻止记录，但不影响使用。

工具类软件像 XueTr、虚拟光驱之类的应该会用到 HKLM 下的项，在我的测试中，XueTr、SREng2、ProcMon这些需要加驱的都需要用到HKLM\SYSTEM\ControlSet002\Services\*，这些可以单独排除。

注册表作这样的防护后应该比较全面了吧。

我的对于全局规则（All Applications *）的思路，全局规则主要的是为应用类软件设置，如果对这类软件做一下前面所说的最小规则的测试，就会发现，除了必要的几个windows资源外，这类软件正常来说是不需要绝大多数的windows资源的，我测的几个软件必须的是只需要 挂钩（hook） windows的msctf.dll 和几个用户界面的 dll文件，而且hook 貌似是相互的，阻止软件hook 它要挂钩的 dll文件，结果这些dll文件会反过来hook 这个软件，至于谁hook谁这两者在安全风险上是否一样我就不清楚了。

也即大多数的应用类软件应该可以只依靠自身的资源来实现自己的功能，除了用户界面和输入法之外它 不需要依赖windows的资源。那么全局规则（All Applications *）的思路就是除了必要的那几个，全面地阻止对windows\*的访问，然后包括阻止对其它重要资源的访问。

如果是需要加驱的工具类软件，以及系统类软件如杀软，这些是需要单独设置规则。如果是安装应用类软件，我估计是需要开放注册表项 HKUS\S-1-5-21-*_Classes\*，HKLM\SOFTWARE\*，可能还有HKCR\* 和HKCU\* , 然后我觉得应该也不需要windows的资源，当然对这个我目前还未试。

ctr54188

好麻烦的说！！！

adair

ctr54188 发表于 2013-2-22 17:35
好麻烦的说！！！

好吧，适合自己的方法就是最好的方法