楼主: 柯林
收起左侧

[其他相关] (安全与易用之间的平衡)麦咖啡柯式简易规则【可以安装软件的规则】

[复制链接]
xu121918
发表于 2014-6-25 13:26:37 | 显示全部楼层
等楼主的最终版
柯林
 楼主| 发表于 2014-6-25 19:47:37 | 显示全部楼层

最终版的话,应该就是这个《麦咖啡柯式简易规则初级版》!

因为我忽然醒悟了:既然搞的是易用版,为什么要搞那么复杂,往“严格”的路上去靠?为什么不放开手脚,“胆子放大点,步子迈大点”,完成初衷呢?

ps:不要怀疑《麦咖啡柯式简易规则初级版》的防御力,只要不把clt放到信任区里,测试可拿270分,应该够了吧(对一个能够安装卸载更新程序的以易用性为考虑的规则,还要多严格呢?)。
柯林
 楼主| 发表于 2014-6-26 22:44:06 | 显示全部楼层
文字版已经整理上贴(50楼和51楼),规则已更新上传。

基本上就这样,折腾几天,累了,看球去了,以后有时间,再优化下。
柯林
 楼主| 发表于 2014-6-28 09:56:59 | 显示全部楼层
本帖最后由 柯林 于 2014-6-28 10:06 编辑

默认规则-防病毒爆发控制,关于共享资源的规则,实际使用中,发现第二条过于严厉,用个系统自带的画图工具都出问题,出于通用考虑,弃用。
这里关于共享资源,究竟指的哪些东东?个人没有看到详细的解释。从系统自身方面查阅,找得到的大约是这个:


将共享项目(windows目录,IPC【你自己提供共享的文件夹】设为只读,防止远程越权操作,其实也够了。默认设置的禁止System:Remote,从上图来说,就是禁止第一项(windows目录)和第三项(IPC),如果改System:Remote为*.*,那就是包括本地操作,就应该是连带上第二项(整个C盘),这样子对共享资源的读写控制,也太生猛了,排除不好,容易出问题。

这样设置(丢弃第二条“阻止对所有共享资源的读写访问”),并不影响测试结果(CLT测试依然是270分):


而系统使用的体验方面,跑得更轻巧了,对于追求大众型的通用为主的本规则来讲,是值得采用的优化措施。【对于局域网共享,远程打印之类,这样应该才有好的支持,不容易出问题】
---------------------------------------------------------------------------------------------------------------------------

这一条(阻止对所有共享资源的读写访问),应该不包括阻止一个进程对另一个进程内部的共享资源的读写访问(这是高级别的AD控制技术)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ldkvfeng
发表于 2014-6-28 11:19:34 | 显示全部楼层
柯大,规则能不能增加版本号,否则更新规则了看不出来
zpf94
发表于 2014-6-28 12:21:19 | 显示全部楼层
请教柯大:包含项通配符中*与*.*有何不同
柯林
 楼主| 发表于 2014-6-28 12:45:42 | 显示全部楼层
本帖最后由 柯林 于 2014-6-28 13:03 编辑
ldkvfeng 发表于 2014-6-28 11:19
柯大,规则能不能增加版本号,否则更新规则了看不出来


其实现在基本上已经定型了,只是小的修改(系统更新和一般的小软件安装已经没有问题)。

由于个人精力有限,测试有限,暂不需要做大的调整。如果你们使用过程中,有软件安装不上,请根据日志修改下,或者反馈给我参考下。

安全限制方面,有需要的请进一步打磨,譬如添加禁止桌面lnk文件修改的规则,添加保护gho以及图片、音乐文件之类的规则,开启默认的禁止创建新的CLSID....以及再添加全局监控dll、sys之类的。我这个是提供给广大新人参考的,只能适度为止。

ps:规则中为求简便写作排除*\**\Program Files*\**的,要精确一点,可以写作*\**\Program Files (86)\**, *\**\Program Files\**,或者, *\Program Files (86)\**, *\Program Files\**,乃至于, *\**\Program Files (86)\**\*.*, *\**\Program Files\**\*.*,甚至于是, C:\Program Files (86)\**\*.exe, C:\Program Files\**\*.exe
柯林
 楼主| 发表于 2014-6-28 13:00:53 | 显示全部楼层
zpf94 发表于 2014-6-28 12:21
请教柯大:包含项通配符中*与*.*有何不同

*.*是指带后缀名的进程,譬如svchost.exe
*包含不带后缀名的进程,譬如System

包含的进程写*,一般是默认自带部分(沿至于XP时代的规则),据说8.8有bug,写*有时候会排除不了System。一般建议,大多数时候写*.*(某些时候,必须用*,具体比如“禁止将程序注册为自动运行”这一条,为了防止恶意程序注入系统进程,借用system的名义混淆视听去写注册表,用*要好一些,这样的场合较少,一般你自定义规则尽量写成*.*,以免增加不必要的排除问题)
你试试看吧,哪种好用用哪种
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:00 , Processed in 0.078975 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表