本帖最后由 柯林 于 2016-1-2 20:30 编辑
防毒防流氓,日常应用下的常规防御,其实不需要太多规则,简单设置几条就可以。
-------------------------------------------------------------------------
首先,安装选择“标准保护”就可以。其次,软件搭配上,选择VSE+系统自带防火墙就可以(在乎优化神马的参看附录)。安装好咖啡,请重启计算机,打开网络进行病毒库更新。
然后,官网下载的常用正规软件,比如office、qq、迅雷、音乐播放神马的都装了,开始规则设置:
1、防间谍最大保护-禁止所有程序从Temp文件夹运行文件,打勾。
2、防病毒标准保护-禁止拦截.EXE和其他可执行文件扩展名,打勾。
3、防病毒爆发控制-将所有共享项设为只读,打勾。
4、通用最大保护-禁止将程序注册为自动运行,打勾,排除列表使用:C:\Windows\SoftwareDistribution\Download\install\*.exe, dotnetfx.exe, IEsetup.exe, ieupdate.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, poqexec.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, uninstall.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
5、通用最大保护-禁止在windows文件夹中创建新的可执行文件,打勾,排除列表使用:C:\Windows\SoftwareDistribution\Download\Install\*.exe, dism.exe, drvinst.exe, HOTFIXINSTALLER.EXE, McAfeeHIP_Clie*, mcscript*, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe, setup.exe, spuninst.exe, svchost.exe, TrustedInstaller.exe, update.exe, wininit.exe, winlogon.exe, wuauclt.exe 【追求强化,排除名单可用C:\Windows\SoftwareDistribution\Download\**\*.exe, dism.exe, drvinst.exe,McAfeeHIP_Clie*, mcscript*, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe,svchost.exe, TrustedInstaller.exe,wininit.exe, winlogon.exe, wuauclt.exe】
6、用户定义的规则-全局禁止创建写入exe (包含进程* 排除进程C:\Windows\bfsvc.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\WINDOWS\OEM8\OEM8.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, HOTFIXINSTALLER.EXE, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup.exe, spuninst.exe, update.exe, \??\C:\Windows\system32\winlogon.exe 阻止文件对象*.exe 禁止的操作:创建 写)【如果追求强化,排除名单里删掉 C:\WINDOWS\OEM8\OEM8.EXE,HOTFIXINSTALLER.EXE, MRTSTUB.EXE, setup.exe, spuninst.exe, update.exe】
7、用户定义的规则-禁止添加计划任务 (包含进程* 排除进程C:\Windows\system32\svchost.exe 阻止文件对象**\Windows\System32\Tasks\** 禁止的操作:创建 写)
8、用户定义的规则-黑名单禁运 (包含进程*.com, *.pif, *.scr, ?:\*.*, format.???, wscript.exe 排除进程C:\Windows\systwm32\*.scr 阻止文件对象** 禁止的操作:读、创建、写入) 【这一条,建议只保留?:\*.*, format.???的限制,其它的,com、scr、pif以及脚本文件,建议用组策略限制,这样系统会更轻快和流畅】
9、用户定义的规则-禁止创建bat文件 (包含进程* 排除进程C:\Windows\explorer.exe 阻止文件对象*.bat 禁止的操作:创建)
(所谓的9条规则,是在默认规则基础上新增的9条设置,并不是说只有这9条,其它都不要。)
有这9条,一般来说,已经够了,无论是防毒防流氓,基本都能胜任(首先,禁止创建写入exe文件,禁止创建bat文件,基本上9成的有毒东东废了;然后禁止temp文件夹执行文件,很多东西都跑不起来;禁止创建自动运行和计划任务项目,很多烦恼也免了;加上防U盘病毒、脚本的规则,再加咖啡自身的杀毒与监控,基本算是全面了)。
对于系统更新和安装卸载软件,懒人化处理:临时禁用访问保护即可,完事后开启(如果要精确控制,把1、5、6、8、9这几条去除阻挡即可)
需要下载exe格式的安装程序,无论是用浏览器或迅雷下载,请关闭第6条规则。
如果要控制程序上网,可以追加一条端口访问控制规则(主要是出站规则)。
重视文件安全的,添加重要文件目录的访问控制规则。
【关于脚本防御,一般最常见的脚本病毒有vbs、vbe以及批处理的bat和cmd格式。系统自带是没有vbe与bat两种格式的文件的,只有vbs与cmd两种,都是位于windows目录下的winsxs,system32,SysWOW64这三个子目录里,可以考虑使用系统功能进行防御。bat格式,已经做了规则限制,这个就不管了;cmd格式,组策略或者Applocker里禁运吧(记得放行系统自带);vbs与vbe,放行系统自带的后,组策略或者Applocker里禁运。这样处理,第8条里的禁运名单里删掉wscript.exe,可能才是最好选择(防御未知威胁的同时,不要影响系统本身功能)】
组策略禁运可以参考:http://bbs.kafan.cn/thread-1828714-1-1.html
====================================================================
附录:喜欢优化系统的,自己动手优化下即可,一般常见优化有:
快速关闭失去响应的程序:HKEY_CURRENT_USER\Control Panel\Desktop,然后在右侧窗口空白处单击右键,新建一个“DWORD 32位值”。
然后双击这个新建的值,并将其重命名为WaitToKillAppTimeout。同时把该键值的数值修改为0,这样就可以保存并关闭注册表编辑器了。
加快显示 任务栏缩略图显示速度优化:HKEY_CURRENT_USER\Control Panel\Mouse”,在右边找到“MouseHoverTime”并双击打开,在“数值数据”里填入“100”,确定后关闭注册表编辑器再重新启动电脑。这样延迟就基本消失了,当鼠标移动到任务栏某项目上时就能立即看到缩略图。
结束任务 减少关闭服务时的等待时间 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control”,在右边找到“WaitToKillServiceTimeOut”,将数值修改为“5000”,确定后关闭注册表编辑器,然后重新启动电脑。设置完成后,Win 7在关机时就不会花很多时间去等待关闭那些没有响应的服务了。
关闭win7默认共享:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters]
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
日常的系统维护,清理垃圾文件,使用CCleane或Advanced SystemCare 即可。
善用windows徽标键+R,输入services.msc,禁止不必要的后台服务程序,比如XLServicePlatform;输入msconfig,启动项去掉不需要开机运行的程序(谨慎处理,不要动系统相关的东西)
------------------------------------------------------------------
彻底解决win 7狂读硬盘的问题:
1. 关闭Volume Shadow Copy服务 (这一项,坛友反映,机械硬盘不能关,可参考)
2、关闭win Search服务
3、关闭Superfetch服务(这一项,坛友反映,机械硬盘不能关,可参考)
4、关闭所有分区的系统还原:在我的电脑 属性 高级里关闭所有分区的系统还原
5、关闭所有分区的 磁盘清理 计划任务,在盘符上点属性,找到磁盘整理,把“计划磁盘整理”的钩去掉
6、如果taskeng.exe长时间100%的cpu利用率,任务计划程序-任务计划程序库”--MicROSoft--win,并在其下找到“MObilePC”项,把TMM这一个,“触发器”-登录时-启用,去勾即可。
为了降低cpu的占用率及节省网络资源,可以禁用不必要的服务,譬如:
Windows Media Player Network Sharing Service
XLServicePlatform
依据个人使用情况及安装的软件加以选择
-----------------------------------------------------------------
如果不用远程登录功能,组策略,用户权利分配里,设为“拒绝从网络访问这台计算机,用户组Everyone”
--------------------------------------------------------------
正规常用软件,官网版本,一般是没有捆绑的,如果安装正规软件,也中捆绑,有害程序策略里,自定义流氓文件加以防御吧。开启以上9条规则的情况下,流氓或病毒文件,一般是无法下载与安装的(以上规则,主要是针对exe格式,如果dll之类的插件被某些流氓软件下载安装,可以尝试开启默认自带规则的“禁止在programfiles里创建新的可执行文件”,以及浏览器保护规则,本贴的设置,是秉持“防御主要威胁+少打扰费神”的理念而做的,一般习惯好的人是没有问题的,兼顾安全与易用,通常不需要做任何排除;只有某些特殊情况,例如某些电子书需要释放一个dll文件到windows目录,需要临时禁用下第5条。本帖思路是,入口防御上保护好系统就行了,其它的,程序都运行不起来,安装不了,也就不存在恶意下载与后台安装的问题,除非你故意下载咖啡病毒库里没有被定义的流氓软件来关闭访问保护进行安装)
-----------------------------------------------------------
如果win7用vse8.8p6资源占用大的话,建议用p5,好像p6是针对win10推出的。
-----------------------------------------------------------
补充一条:病毒库更新时间,夜猫子建议改成2:30,正常上班族建议改成9:30,宅族建议使用11:00 (论坛有帖说过)
----------------------------------------------------------
友情提示:除了规则与更新,其它的最好默认,无论你在扫描属性里添加什么排除或是改动,往往会影响系统流畅性。
警示:敲诈勒索类木马当下很流行,请养成即时备份重要资料的习惯,对于陌生链接或邮件里的附件,请谨慎打开
-------------------------------------------------------------------
新人需要“如何看日志及排除”的,参考下图:
-----------------------------
|
[复制链接]
发表于 2015-12-16 10:34:30
楼主
