本帖最后由 柯林 于 2014-6-18 19:39 编辑
偏好不同,那个30条,是以禁运秒杀为主打,对非信任区拦得较严厉,对不信任的程序一律秒杀;而对信任区,可能又有点宽泛
这个是以入口防御为主打,以追求易用性为目标,原理上所有程序都可以运行(根目录之类有限制的除外),但对于创建exe、dll、sys之类的敏感文件则全局限制,即使跑到信任区如system32下也不可以
二者的安全性如何判定和比较,这个看个人喜好与偏向了。如以安全又易用为标准衡量,我个人还是喜欢现在这个(那个30条秒秒秒的弹出程序无法运行的窗口,可能让某些人反感和抓狂)。至于漏洞,现在这个,主要是安装缺口上,如何评价安全性和要不要补强,我观察一阵,再和大家讨论。
====================================================
为了系统更新正常无碍,建议对“通用最大保护-禁止在windows目录里创建新的可执行文件”排除列表换用以下这个:
???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, C:\windows\servicing\TrustedInstaller.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, TBMon.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp,mscorsvw.exe,C:\Windows\SoftwareDistribution\Download\**\*.exe
由于全局禁止创建exe及dll的第一级过滤里已经用相对路径阻止掉了绝大多数假冒文件名的可能,这个二级过滤采用文件名而不再是路径限制,是可以保证安全的
===================================
安全总是相对的,特别是与易用性的平衡结果,安全性难免损失一些。作为一个一般的计算机用户,对此无须在意,这套规则对于日常应用已经很强很多限制了,你想,人家用默认规则几乎无拦截的都不中毒,你用这个限制多多的,安全性应该是高了一些嘛
规则还不完美,还在打磨完善中,给我时间出fine版哈(但愿能完成)
ps:既然你用了专业防火墙,作为与系统墙配套以补强系统墙的“通用最大保护-禁止HTTP通信”这一条,可以禁用了(日志也少了很多哈) |