查看: 5744|回复: 10
收起左侧

[分享] 【转帖】Win8以上x64系统用火绒补强系统墙讨论

[复制链接]
1094947421
发表于 2014-12-2 16:47:34 | 显示全部楼层 |阅读模式
本帖最后由 1094947421 于 2014-12-2 16:50 编辑

所有非红字内容皆为转帖,原帖作者:Rosa真紅  原帖:http://bbs.huorong.cn/thread-3355-1-51.html

首先我为何说系统墙安全性差 因为系统墙就是个公交车
在假定不设置阻止所有传入连接不用WFC或换第三方墙的情况下 用HIPS禁止篡改设置在注册表中搜出10条与防火墙有关的项
于是就弄出了这个
  
其中

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System\Microsoft-Windows-Firewall\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System\Microsoft-Windows-Firewall\*
这两条是日志所以没加
选定的有八条
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{????????-????-????-????-???????????}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_USERS\S-1-5-21-??????????-??????????-??????????-????\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{????????-????-????-????-????????????}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Defaults\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\*
分别是 GPO 组策略 用户策略 供还原的默认配置各两项
GPO 组策略 默认配置是一般软件不会去动的项 放在“系统墙配置基本”
用户策略需要对c:\windows\system32\svchost.exe信任 放在“系统墙配置信任” 谁有兴趣可以把svchost.exe一般不会写的项继续分割
由于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\中的FirewallRules
是一般软件要写的项 会弹窗 所以把这一项分割出去了
分割出去的放到一个“系统墙配置静默” 不询问直接阻止
这名字是乱起的
注意这是讨论帖不是规则发布
邀请懂系统墙的人对这个规则吐槽例如 只阻止FirewallRules中数据带有|Dir=In|的键 不阻止数据带有|Dir=Out|的键
通过键名称匹配我会 通过键的数值匹配就不会了 连出的规则虽然默认不生效但是可以做参照
我是安全感匮乏综合症患者 即使设置了组织所有传入连接还装OPF开了双墙的情况下还是缺乏安全感 这规则也是我自己用的
为什么我等火绒2.5才把这个拿出来? 早整理出来了 因为2.0自定注册表规则在我电脑里不生效
我参照的规则库(不是成品规则)http://bbs.kafan.cn/thread-1443664-1-1.html
-------------------------
我就是想问问,这个规则咋样,有用吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
幽冥の龙
发表于 2014-12-2 19:33:07 | 显示全部楼层
人家说自己有被害妄想症你也有啊?

防火墙防黑客攻击的…… 一般个人电脑黑客吃饱了撑的来攻击你…… 黑客也很忙的啊,有个联网监控就够了
1094947421
 楼主| 发表于 2014-12-2 19:41:04 | 显示全部楼层
幽冥の龙 发表于 2014-12-2 19:33
人家说自己有被害妄想症你也有啊?

防火墙防黑客攻击的…… 一般个人电脑黑客吃饱了撑的来攻击你…… 黑 ...

折腾呗。
HEMM
发表于 2014-12-2 19:48:23 | 显示全部楼层
真红姐姐的防患于未然规则?
嗯.......布吉岛!没用过火绒,你就先用着吧。外网的话,找个防火墙测试网站测试一下看看。
薄荷大神曾经给过我测试网址,被记忆力8好的我忘记了.......
1094947421
 楼主| 发表于 2014-12-2 20:10:17 | 显示全部楼层
HEMM 发表于 2014-12-2 19:48
真红姐姐的防患于未然规则?
嗯.......布吉岛!没用过火绒,你就先用着吧。外网的话,找个防火墙测试网站 ...

那好吧,先用着,我现在是规则收集控了。
HEMM
发表于 2014-12-2 21:36:49 | 显示全部楼层
1094947421 发表于 2014-12-2 20:10
那好吧,先用着,我现在是规则收集控了。

火绒有安静模式吗?我是指没有弹窗,自动阻止,日志记录。没用过火绒,好奇!
1094947421
 楼主| 发表于 2014-12-2 21:50:03 | 显示全部楼层
HEMM 发表于 2014-12-2 21:36
火绒有安静模式吗?我是指没有弹窗,自动阻止,日志记录。没用过火绒,好奇!

有免打扰模式,没有弹窗,自动阻止。
这规则除了静默规则,其他我删了,都是询问规则,我根本看不懂,不知道选允许还是阻止,还是删掉清静。

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 多谢满足好奇心

查看全部评分

realraul
发表于 2014-12-3 08:51:56 | 显示全部楼层
本帖最后由 realraul 于 2014-12-3 08:53 编辑

开双墙难道不和装两个杀软一样,有ofp就可以了,我是scep+ofp+emet+uac最高,禁用所有不需要的服务,windows server 2012 r2开机后就40个进程。
大不了
发表于 2014-12-3 12:32:50 | 显示全部楼层
我想问一下楼主,火绒和W8的兼容性能如何?
1094947421
 楼主| 发表于 2014-12-3 12:55:54 | 显示全部楼层
大不了 发表于 2014-12-3 12:32
我想问一下楼主,火绒和W8的兼容性能如何?

因为火绒没在微软注册,而win8以上的权限管理比较严格,所以在win8.1x64上,火绒的通讯防护和arp防护是不可用的(已经默认隐藏,如果火绒到微软注册了那就能用了)。之前火绒在我电脑上存在在一定条件下导致监控失效的情况,昨天更新了版本,对此做了修复,目前还未实验是否真正解决。目前已发现,流量监控对应用程序限速(上传和下载),是不起效的。暂未发现别的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:13 , Processed in 0.121351 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表