前言:
关于我的通用规则,相关内容在这里:
http://bbs.kafan.cn/viewthread.php?tid=169638&extra=page%3D1
本来写通用规则的时候,为了照顾到一些人的“规则数目越少越好,越小越快”的意见,所以规则不敢多写。所以通用加强版的规则也以50条为上限,但也由于数目有限,所以规则无法做到太细致,因此有顾及不到的地方也是难免的。因此有了再添加一个“通用高级规则”的想法,此规则在加强版规则的基础上再添加或者改进一些规则,并不设立规则上限,所以实际做起来可能会有数百条之多,对规则数目有意见的人恐怕就不太适合了,不过当然我也会尽量精简的。
这里先列出一些正在考虑加入的规则,大家如果对这些规则有什么看法的,欢迎指出,也欢迎砖头。或者有其它好的规则,也希望不吝指教。
注:规则就不一一详细写出了,只列出名称及作用,如无特别说明,则规则的包含进程为 * ,且不作任何排除。
管制Documents and Settings文件夹 (禁止对Windows目录进行新建、修改、删除操作)
包含:**\Documents and Settings\**
管制Documents and Settings文件夹 (除Application Data目录下的程序外,禁止任何文件操作)
包含:**\Documents and Settings\**
管制Windows目录 (禁止在Windows目录新建任何文件)
包含:**\Windows\**
排除:
**\Windows\**\spuninst.exe, **\Windows\explorer.exe, **\Windows\Installer\**, **\Windows\pchealth\helpctr\binaries\helpsvc.exe, **\Windows\SoftwareDistribution\Download\**\update\update.exe, **\Windows\system32\cleanmgr.exe, **\Windows\system32\defrag.exe, **\Windows\system32\dllhost.exe, **\Windows\system32\inetsrv\inetinfo.exe, **\Windows\system32\lsass.exe, **\Windows\system32\mmc.exe, **\Windows\system32\MRT.exe, **\Windows\system32\msiexec.exe, **\Windows\system32\rundll32.exe, **\Windows\system32\services.exe, **\Windows\system32\svchost.exe, **\Windows\system32\wbem\wmiprvse.exe, **\Windows\system32\winlogon.exe, **\Windows\system32\wuauclt.exe, **\Windows\Temp\**
管制Windows目录 (禁止在Program Files目录新建任何文件)
包含:**\Windows\**
排除:
**\Windows\**\spuninst.exe, **\Windows\Installer\**, **\Windows\pchealth\helpctr\binaries\helpsvc.exe, **\Windows\SoftwareDistribution\Download\**\update\update.exe, **\Windows\system32\cleanmgr.exe, **\Windows\system32\cmd.exe, **\Windows\system32\defrag.exe, **\Windows\system32\dllhost.exe, **\Windows\system32\inetsrv\inetinfo.exe, **\Windows\system32\lsass.exe, **\Windows\system32\mmc.exe, **\Windows\system32\MRT.exe, **\Windows\system32\msiexec.exe, **\Windows\system32\rundll32.exe, **\Windows\system32\services.exe, **\Windows\system32\svchost.exe, **\Windows\system32\wbem\wmiprvse.exe, **\Windows\system32\winlogon.exe, **\Windows\system32\wuauclt.exe, **\Windows\Temp\**
管制Windows目录 (禁止在运行Windows下的exe文件)
包含:**\Windows\**
排除:
**\Windows\**\spuninst.exe, **\Windows\explorer.exe, **\Windows\Installer\**, **\Windows\notepad.exe, **\Windows\SoftwareDistribution\Download\**\update\update.exe, **\Windows\system32\cleanmgr.exe, **\Windows\system32\cmd.exe, **\Windows\system32\control.exe, **\Windows\system32\defrag.exe, **\Windows\system32\dllhost.exe, **\WINDOWS\system32\imetool.exe, **\Windows\system32\inetsrv\inetinfo.exe, **\Windows\system32\lsass.exe, **\Windows\system32\mmc.exe, **\Windows\system32\MRT.exe, **\WINDOWS\system32\msconfig.exe, **\Windows\system32\msiexec.exe, **\WINDOWS\system32\mspaint.exe, **\Windows\system32\notepad.exe, **\Windows\system32\regsvr32.exe, **\Windows\system32\rundll32.exe, **\Windows\system32\runonce.exe, **\Windows\system32\services.exe, **\Windows\system32\smss.exe, **\Windows\system32\svchost.exe, **\Windows\system32\taskmgr.exe, **\Windows\system32\wbem\wmiprvse.exe, **\Windows\system32\winlogon.exe, **\Windows\system32\wuauclt.exe, **\Windows\Temp\**
特别格式防止创建(.ovl、.hta、.cpl、.ins、.isp、.msc、.shs、.shb、.hiv)
保护的文件格式(.gho、.xls、doc、.ppt、.rar)
禁止调用的系统程序
(user.exe、runas.exe、ntsd.exe、label.exe、telnet.exe、schtasks.exe、doskey.exe、At.exe、regini.exe、subst.exe、Shutdown.exe、net1.exe、Tskill.exe、Taskkill.exe、reg.exe、ntvdm.exe、replace.exe、cacls.exe、sc.exe、wscript.exe、cscript.exe、format.com、tlntadmn.exe、netsh.exe、dosx.exe、*ftp.exe、command.exe、locator.exe、rasautou.exe、chcp.com、ntoskrnl.exe、debug.exe、Regwizc.dll、autoconv.exe、autoconv.exe、shrpubw.exe、mstsc.exe、cmdl32.exe、pathping.exe、mnmsrvc.exe、tlntsvr.exe、sysedit.exe、nwscript.exe)
加入的浏览器规则:
管制浏览器(禁止调用verclsid.exe)
管制浏览器(禁止调用urlmon.dll)
管制浏览器(禁止组册新的CLSID)
准备加入的一些RD:
防止修改本地安全设置:
HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer/CodeIdentifiers/0/Paths/{dda3f824-d8cb-441b-834d-be2efd2c1a33}/**
HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer/CodeIdentifiers/0/Hashes/**
防止破坏安全模式
HKLM/SYSTEM/*controlset*/Control/Safeboot/**
防止修改IFEO
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
防止修改.EXE文件的打开方式(默认规则范围太大,容易杀错良民)
HKCU/Exefile/Shell/Open/Command/**
禁止修改DCOM加载项
HKLM/SOFTWARE/Microsoft/Ole/EnableDCOM
防止修改隐藏文件显示功能(排除explorer.exe)
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/*Hid*/**
防止修改驱动器相关注册表值
HKCU/Drive*/**
防止修改调试器注册表项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\**
防止修改ShellExecuteHooks项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\**
防止建立新帐户
HKLM/SAM/SAM/Domains/Account/Groups/**
其它:
禁止CMD.EXE在Application Data目录新建任何文件
禁止运行任何双后缀exe文件
禁止在MSSoap目录下新建任何文件
禁止在Common Files\System目录下新建任何文件
禁止在MSInfo目录下新建任何文件
禁止在Microsoft Shared根目录下新建任何文件
保护Fonts文件夹 (禁止新建exe、dll文件)
保护System32下的Setup、Com文件夹 (禁止新建任何文件)
保护System32下的CatRoot*、DllCache文件夹 (禁止执行任何文件)
保护Windows下的msagent、Debug、addins、srchasst、Help、ime、msapps、mui、PeerNet、PIF、pss、RegisteredPackages、System、Driver Cache(需排除)、Downloaded Installations文件夹 (禁止新建任何文件)
保护Windows下的Config、Connection Wizard、Cursors、inf、Media、Offline Web Pages、Prefetch、Provisioning、repair、security、Web、twain_32、文件夹(禁止执行任何文件)
保护WINDOWS下的WinSxS文件夹 (禁止新建exe文件)
[ 本帖最后由 rappar 于 2008-2-6 03:32 编辑 ] |
发表于 2008-2-5 22:14:04
楼主
