本帖最后由 柯林 于 2016-1-8 19:20 编辑
坐等qpzmggg999的通用规则,现在玩FSCS耍起,给关心通用规则的麦粉开个话题,RT
简单好用,大概的标准就是:设置尽可能简单,很少的排除,有基本的防御效果,最好装上后花个几分钟设置完毕,一劳永逸,至多以后偶尔调整下(比如上网规则),能够带点“智能”就最好了——规则不用关闭与切换
具体有哪些实现方案,有兴趣的都来讨论下。
个人觉得可以尝试的方案比如(设定D盘上的spfs文件夹为可信安装源,所有干净可靠的程序安装包,丢到该文件夹里加以执行):
开启以下控制规则:
1、防病毒标准保护--禁止远程创建/修改可执行文件和配置文件 (包含进程* 排除system,C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**,C:\Users\**\AppData\Local\Temp\*.tmp\**,D:\spfs\**,setup.exe,update.exe,kb*.exe)
2、防病毒爆发控制--阻止对所有共享资源的读写访问 (包含进程* 排除system,C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**,C:\Users\**\AppData\Local\Temp\*.tmp\**,D:\spfs\**,setup.exe,update.exe,kb*.exe)
3、exe文件控制 自定义规则--禁止创建修改exe (包含进程*.* 排除系统更新相关程序,以及安装源D:\spfs\**和临时目录C:\Users\**\AppData\Local\Temp\*.tmp\**,D:\spfs\**,setup.exe,update.exe,kb*.exe)
4、防病毒标准保护-禁止拦截.EXE和其他可执行文件扩展名,勾选阻止和报告
5、通用最大保护-禁止将程序注册为自动运行,勾选阻止和报告(排除必要的东东,比如C:\Windows\SoftwareDistribution\Download\install\*.exe, dotnetfx.exe, IEsetup.exe, ieupdate.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, poqexec.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, uninstall.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp)
6、保护安装源 自定义规则-禁止修改安装源 (包含进程* 排除C:\WINDOWS\explorer.exe,D:\spfs\** 阻止文件目标D:\spfs\** 阻止的操作:创建、写入、删除)【如果是解压包,排除列表还需要加上压缩软件】
7、上网端口控制规则 (搭配系统墙使用的可以考虑增加这一条)
是不是还要再加一个temp文件夹的执行控制来防御流氓后台安装,这个不知道了,不知道上面这些能否满足?
增开两条监控规则:
8、通用最大保护-禁止在windows文件夹中创建新的可执行文件 (勾选报告)
9、通用最大保护-禁止在program files文件夹中创建新的可执行文件 (勾选报告)
注:总的还是9条,基本防御力大概可以;按以上设置,所用软件必须安装在C:\Program Files\**,C:\Program Files (x86)\**,里,否则用不了,如在其他路径,需排除;其它问题见附加措施)
附加措施:把*.bat,*.cmd,*.vbs,*.vbe,*.scr在组策略里禁运,参看:http://bbs.kafan.cn/thread-1875217-1-1.html
把系统自动播放在组策略里禁运,参看:http://bbs.kafan.cn/thread-1875217-1-1.html
--------------------------------
这个方案弄一下,是不是能实现简单好用的“智能化普适规则”呢?用vse的自己验证下(我现在装的FSCS,不方便验证)
|
发表于 2016-1-8 18:45:08
楼主
