楼主: 柯林
收起左侧

[其他相关] (安全与易用之间的平衡)麦咖啡柯式简易规则【可以安装软件的规则】

[复制链接]
cocabean
发表于 2014-6-16 19:01:00 | 显示全部楼层
柯林 发表于 2014-6-16 18:48
其实默认规则的禁止HTTP通信这一条很实用很强大啊,正好弥补了系统墙默认不防外联的缺,对于神马下载病毒 ...

这个倒是没试过,有空再折腾吧。。。
柯林
 楼主| 发表于 2014-6-17 19:19:50 | 显示全部楼层
本帖最后由 柯林 于 2014-6-17 19:24 编辑
462588842 发表于 2014-6-16 11:42
防恶意程序-禁止执行格式化命令  ——————我禁读全勾了
防异类病毒-禁止执行com文件———————— ...


“防逗比-禁止不明程序调用系统程序————————这条我个人建议用文件名排除,其实我觉得的这条就是心理作用,原因:阻止对所有共享资源的读写访问同理”

文件名比起路径,安全性低了一个等级。要突破文件名太简单了,随便改个排除列表里的文件名,规则就形同虚设了(在月神没有杀掉的情形下,就是悲剧)

并非纯粹心理作用,如果你到样本区下载样本测试,你会发现阻止调用net.exe之类的程序所带来的效果,如果写成连dll文件都静止加载,那就是一定程度上的全局禁运了

默认规则:阻止对所有共享资源的读写访问,这一条,我没找到详细的说明,不知道它究竟禁止了些什么(仅仅是文件上的FD操作?哪些FD呢?还是连注册表重要项目一并禁止?),在不了解情况的前提下,我不作任何评论。共享资源一说,通常在网络方面比较常见,默认规则设置的禁止远程,从网络防御的角度比较容易理解;至于改远程为*的必要性及支持理由,以及是否会误杀系统程序,我不了解,不作评论。

=======================================================
我追求的目标明确又简单:尽可能的轻快流畅,有一定的防御能力,还要尽可能的易用。这才是我心目中理想的人玩电脑,而不是反过来被电脑玩。所以我对安全的追求是中等偏上,而不是极致。
sdtzsf
发表于 2014-6-17 21:31:31 | 显示全部楼层
2014/6/17        21:30:52        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\services.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\ALSysIO        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建


这个咋办?
柯林
 楼主| 发表于 2014-6-17 21:59:31 | 显示全部楼层
sdtzsf 发表于 2014-6-17 21:31
2014/6/17        21:30:52        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\services.exe        \REGIS ...

在确认机子干净的情况下,为消灭触红考虑,可以添加例外
在保障最大防护力的要求下,不添加排除
这个日志,一般是某个运行中的程序,调用了服务管理程序,要求注册某个服务项
默认规则不把它加在排除列表里,显然是有考虑的
喜欢测试的,不加排除是最佳选择;反之,一般应用者,排除不排除都无所谓,反正默认不启用是放行的

由于没有添加全局禁止加驱的防御规则,这一条作为防御加驱和后台服务程序的另一种规则,还是有用的
sdtzsf
发表于 2014-6-17 22:25:17 | 显示全部楼层
柯林 发表于 2014-6-17 21:59
在确认机子干净的情况下,为消灭触红考虑,可以添加例外
在保障最大防护力的要求下,不添加排除
这个日 ...

谢谢!!!
chen.yuan
发表于 2014-6-18 08:49:25 来自手机 | 显示全部楼层
柯大最近高产规则是我这个小白之福啊!

计算机的安全越来越令人担忧,用着筛子一样的Win系统,病毒层出不穷防不胜防。我选择以后使用VSE+OSS了,查杀病毒禁运交给VSE防火墙交给OSS。

另外:这个和那个30条规则那个易用又不失安全性?
柯林
 楼主| 发表于 2014-6-18 19:35:10 | 显示全部楼层
本帖最后由 柯林 于 2014-6-18 19:39 编辑
chen.yuan 发表于 2014-6-18 08:49
柯大最近高产规则是我这个小白之福啊!

计算机的安全越来越令人担忧,用着筛子一样的Win系统,病毒层出 ...


偏好不同,那个30条,是以禁运秒杀为主打,对非信任区拦得较严厉,对不信任的程序一律秒杀;而对信任区,可能又有点宽泛

这个是以入口防御为主打,以追求易用性为目标,原理上所有程序都可以运行(根目录之类有限制的除外),但对于创建exe、dll、sys之类的敏感文件则全局限制,即使跑到信任区如system32下也不可以

二者的安全性如何判定和比较,这个看个人喜好与偏向了。如以安全又易用为标准衡量,我个人还是喜欢现在这个(那个30条秒秒秒的弹出程序无法运行的窗口,可能让某些人反感和抓狂)。至于漏洞,现在这个,主要是安装缺口上,如何评价安全性和要不要补强,我观察一阵,再和大家讨论。

====================================================
为了系统更新正常无碍,建议对“通用最大保护-禁止在windows目录里创建新的可执行文件”排除列表换用以下这个:
???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, C:\windows\servicing\TrustedInstaller.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, TBMon.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp,mscorsvw.exe,C:\Windows\SoftwareDistribution\Download\**\*.exe

由于全局禁止创建exe及dll的第一级过滤里已经用相对路径阻止掉了绝大多数假冒文件名的可能,这个二级过滤采用文件名而不再是路径限制,是可以保证安全的

===================================
安全总是相对的,特别是与易用性的平衡结果,安全性难免损失一些。作为一个一般的计算机用户,对此无须在意,这套规则对于日常应用已经很强很多限制了,你想,人家用默认规则几乎无拦截的都不中毒,你用这个限制多多的,安全性应该是高了一些嘛

规则还不完美,还在打磨完善中,给我时间出fine版哈(但愿能完成)

ps:既然你用了专业防火墙,作为与系统墙配套以补强系统墙的“通用最大保护-禁止HTTP通信”这一条,可以禁用了(日志也少了很多哈)
ldkvfeng
发表于 2014-6-18 19:41:13 | 显示全部楼层
柯林 发表于 2014-6-18 19:35
偏好不同,那个30条,是以禁运秒杀为主打,对非信任区拦得较严厉,对不信任的程序一律秒杀;而对信任区 ...

期待柯大的最终版
462588842
发表于 2014-6-18 19:55:43 | 显示全部楼层
柯林现在你主要用哪个规则?
柯林
 楼主| 发表于 2014-6-18 20:19:11 | 显示全部楼层
462588842 发表于 2014-6-18 19:55
柯林现在你主要用哪个规则?

我在打磨这个,肯定是用这个
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:10 , Processed in 0.101102 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表