浅谈访问保护的构架（引发众怒）

依班娜

不是我要当咖啡的敌人……
咖啡不是很完美，我相信能熟练玩转咖啡的人也不会护短。
咖啡的第一短板是AD，但实际上，咖啡引以为傲的FD和RD部分(ND基本可以不谈，这是防火墙的事情，由咖啡负责并不合理)也并非大家所想象的那么好用，虽然大家都觉得好用。
先来比较下这样的两个构架

要包含的进程：                                                                        要包含的进程：
要排除的进程：                                                                        要排除的进程：
要阻止的文件或文件夹名：                                                要阻止的文件或文件夹：
要禁止的文件操作：                                                                要排除的文件或文件夹：
                                                                                                要禁止的文件操作：
两个规则一看便知，是右边的规则更强大于左边的规则，左边的规则即是咖啡现有的规则。
这也是叶知大人曾经所遗憾的。
  这样并不完美的构架，却被咖啡区的大神们玩出如此多的花样，这也让我万分佩服。先辈们所对访问规则作出的卓越贡献也是让我们普通用户所感激不尽的。

再来简要谈谈两个构架的使用上的区别
假如我们要实现这个目的，禁止所有进程在某个文件夹（暂定位置为d:\文本资料\，且在这文件夹内没有子目录）内创建除了txt以外的文件。
按照咖啡现有的构架是无法完美实现的，也许你要写很多条：

要包含的进程：*.*
要排除的进程：
要阻止的文件或文件夹名：d:\文本资料\*.exe(还有*.dll,*.bat,*.vbs等等，不可能写完，即使写完也没有意义，可执行文件可以通过注册表添加，比如可以让后缀为*.abc的文件变为可执行)
要禁止的文件操作：创建


假如使用右边的写法，那么很简单：

要包含的进程：*.*
要排除的进程：
要阻止的文件或文件夹名：d:\文本资料\*.*
要排除的文件或文件夹名：d:\文本资料\*.txt
要阻止的文件操作：创建

这样就完成了（也许要配合一定的注册表规则）

当然，注册表规则的目标项或键也需要排除，这里就不再举例说明。
虽然有人觉得这并没有什么卵用，都用默认规则就够了。话虽如此但是我觉得用处也不算没有，这样的自定义规则才是真正精细的，才能对默认规则起到一定的强化作用

默认规则有些是无法模仿的，就像右边的规则一样，我找到了一条比较明显的，还有一些默认规则应该在原理上也是隐含这右边的规则的构架。我从墨大的帖子中找到了这条规则。
规则名称：禁止将程序注册为服务
要包含的进程：*
要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值：HKCCS/Services/**
------------------------------------
注册表排除：
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**

既然默认规则都知道了更好的构架，为啥自定义却不弄成这样，拍砖！

欧阳宣

或许就是因为害怕自定义搞出什么乱子才只让默认这样。

依班娜

欧阳宣 发表于 2015-6-26 19:01
或许就是因为害怕自定义搞出什么乱子才只让默认这样。

看那帖子据官人说，大部分用户都用默认规则，自定义都不用干脆删了吧

ly910326

vse更多的时候是出现在局域网，上面有EPO策动，多数管理员在EPO控制台上面根据自身局域网安全的需求来设置统一的规则。这些设置的规则，会在一定时间周期内向本管理域内所有VSE推送一样的规则，即使客户的VSE自己设置了独立的规则，也会随着epo的推送而被清理掉。

除非用户通知EPO管理员，从控制台上对特定IP的计算机设置专门的排除策略。以保住该用户的独立策略不被清理掉。

VSE首先服务的是企业，而不是单机使用的个人。

462588842

现在P5读 的问题不能排除

羽扇纶巾

窃以为，左右两边的规则同等强大。
只是右边的规则看似增强了易用性，但是被排除的具体文件格式又需逐一为其添加具体所对应的父进程，平添几许繁琐，同时，多这一道工序，也会增加咖啡的占用。得不偿失。

bbzwj

大部分用户都用默认规则，使用自定义的基本是少数“高级用户”

1007

intel会做大的。

依班娜

羽扇纶巾 发表于 2015-6-27 23:44
窃以为，左右两边的规则同等强大。
只是右边的规则看似增强了易用性，但是被排除的具体文件格式又需逐一为 ...

借用柴子说的例子再说一下

假设二级目录下都有1.txt，我只允许D:\test\1.txt被读取，其余全部阻止
D:\test\1.txt 读取允许
?:\*\1.txt 读取禁止

也许这样的例子并不是经常碰到，可以说遇到的概率很小，但是哪一天如果真的遇到了，那么就触到咖啡的短板了。由此可以印证右边的比左边的强大

另外，增加占用云云，这不是客户所要考虑的，而是工程师所要考虑的。

bocs

这让我想起了，咖啡的原主人的性格，上次看了他的短片，或许，楼主可以去找来看看，这么一个有性格的人，会让那些干扰因素影响自身的判断吗？即使另一家公司收购，但从一开始就这样走的一个轨迹，后面很难再跳出如此简洁，干净利落的执行手段。