咖啡防入口通用型规则包【7月19更新】

显示全部楼层 · 发表于 2008-11-9 11:46:37

下面是管制浏览器的，可能8.0不支持包含进程含多个进程，所以只能写一个ie了，完全是按照气流的规则移植到了8.0里

管制浏览器（禁止从Documents and Settings文件夹中运行.EXE文件）"
Include iexplore.exe
"**\\Documents and Settings\\**\\*.exe"
管制浏览器（禁止加载urlmon.dll）"
Include iexplore.exe
**\\system32\\urlmon.dll
管制浏览器（禁止调用cmd.exe）"
Include iexplore.exe
cmd.exe
管制浏览器（禁止新建exe文件）
Include iexplore.exe
*.exe
禁止执行IE缓存文件夹下文件"
Include *
**\\Content.IE5\\**
管制浏览器（禁止调用脚本宿主工具）"
Include iexplore.exe
**\\WINDOWS\\system32\\*script.exe
管制浏览器（禁止在Application Data目录下新建、运行exe文件）"
Include iexplore.exe
"**\\Application Data\\**\\*.exe"
管制浏览器（禁止私自调用注册表编辑器）"
Include iexplore.exe
**\\WINDOWS\\**\\reg*.exe
管制浏览器（禁止在Common Files目录新建修改文件）"
Include iexplore.exe
"**\\Program Files\\Common Files\\**"
管制浏览器（禁止调用Adodb.stream控件）"
Include iexplore.exe
msado15.dll
管制浏览器（禁止调用Adodb.stream控件）"
Include ?script.exe
msado15.dll
管制浏览器（禁止新建cab文件）"
Includeiexplore.exe
*.cab
管制浏览器（禁止新建.OCX控件）"
Include iexplore.exe
*.ocx
管制浏览器（禁止创建Wscript.Shell对象）"
Include iexplore.exe
**\\WINDOWS\\system32\\wshom.ocx
管制浏览器（禁止从桌面执行程序）"
Include iexplore.exe
**\\桌面\\**
管制浏览器（禁止修改ProgramFiles下的程序）"
Include iexplore.exe
"**\\Program Files\\**\\*.exe
管制浏览器（禁止调用MDAC组件）"
Include iexplore.exe
msadco.dll
管制浏览器（禁止在磁盘根目录下新建/修改/运行文件）"
Include iexplore.exe
?:\\*
管制浏览器（禁止调用FileSystemObject控件）"
Include iexplore.exe
scrrun.dll

下面的是气流的另一个加强规则中的关于ie的限制的，你看看有没有必要加入8.0的规则中或者那几条可以加

管制浏览器（禁止在Temp目录创建TMP文件）"
Include iexplore.exe
**\\Temp\\**\\*.tmp

管制浏览器（禁止调用svchost.exe）"
Include iexplore.exe
**\\WINDOWS\\system32\\svchost.exe
管制浏览器（禁止调用verclsid.exe）"
Include iexplore.exe
**\\WINDOWS\\system32\\verclsid.exe
管制浏览器（禁止启动realplay.exe）"
Include iexplore.exe
realplay.exe
管制浏览器（禁止在Windows目录下新建tmp文件）"
Include iexplore.exe
**\\windows\\**\\*.tmp
管制浏览器（禁止改写Windows目录下的exe文件）"
Include iexplore.exe
**\\Windows\\**\\*.exe
管制浏览器（禁止新建修改任何.DLL文件）"
管制浏览器（禁止新建任何.CMD文件）"
管制浏览器（禁止新建任何.BAT文件）"
管制浏览器（禁止新建任何.PIF文件）"
管制浏览器（禁止新建任何.SCR文件）"
管制浏览器（禁止新建任何.VBS文件）"
管制浏览器（禁止新建任何.SYS文件）"

[ 本帖最后由 freesoft00 于 2008-11-19 17:41 编辑 ]

显示全部楼层 · 发表于 2008-11-9 14:17:44

如果是打算临时禁用访问保护的话，那么干脆弄一个A86那样的超级规则好了，仅仅排除已知的进程，其它一律禁止

显示全部楼层 · 发表于 2008-11-9 14:37:47

关键是8.0的没有排除项,
禁止在ProgramFiles文件夹下创建新文件
禁止在Internet Explorer文件夹中进行创建写入活动
禁止在Windows和子目录中创建任何文件

这样有没有问题

显示全部楼层 · 发表于 2008-11-9 15:47:11

没有排除项的话处理起来很麻烦

禁止在ProgramFiles文件夹下创建新文件
禁止在Windows和子目录中创建任何文件

这两条估计见红率会很高，例如软件的正常运行会产生日志、配置文件等等
还是仅禁止exe等后缀吧，虽然安全性会下降

显示全部楼层 · 发表于 2008-11-9 16:55:15

所以我才想让你帮忙看看如何好。

显示全部楼层 · 发表于 2008-11-10 10:51:37

学习，谢谢楼主。

显示全部楼层 · 发表于 2008-11-18 10:26:03

学习了

显示全部楼层 · 发表于 2008-11-18 10:48:39

没有排除项不好用，眉毛胡子一把抓，好坏不分，一视同仁，受限制就太多了。没必要再回去用8.0ｉ。

显示全部楼层 · 发表于 2008-11-22 14:06:43

问一下，这个规则在8.7下还能用吗？

显示全部楼层 · 发表于 2008-11-22 18:56:25

谢谢了！正好需要

[技术原创] 咖啡防入口通用型规则包【7月19更新】

回复 782楼 freesoft00 的帖子