MES10.1.1访问保护之自定义规则编写方法及其他（图文并茂）

jone_jys

a1121611810 发表于 2016-5-22 20:01
辛苦啦，不过估计我依然玩不转，对规则一类的一直都是懵懵懂懂的

哦哈！ 也可以不用规则的呀。。  
默认就开启了一条规则，且还只是报告没阻止呢。。。

T.Yoshiyuki

lhsum 发表于 2016-5-22 15:28
非常感谢，占用资源如何?目前还在用老的企业版

模块多、进程多
可视进程加起来200多m
相比之下VSE为50-70m

T.Yoshiyuki

lhsum 发表于 2016-5-22 15:34
目前VSE少了防火墙，比较郁闷的，那个MSE的防火墙好用吗？

不好用 没有交互 毕竟是企业办公用 不声不响 不是给一般用户用的
这个模块基本照抄大企业套装中的HIP，然而人家HIP有交互啊，MES的墙只有个非常死板的学习模式

T.Yoshiyuki

建议GTI开到“非常高”，其实月神云的误报非常之少，个人经验：官方软件大可放心，中国自制小软件一定几率会被报
大家都知道咖啡个人版都调不高信誉敏感度 为了体现企业版优越性当然要调高啦（个人想法
而且咖啡本来检出率就是软肋 可以说非常需要云的补强 这也算一个理由吧

web控制中对于信誉未知的网页不一定要允许 不放心的话可以选择提示
防火墙建议开启GTI信誉并把阈值设置为“危险度中”（防火墙为数不多的存在价值之一

T.Yoshiyuki

扫描方面 一个相对于VSE的改进就是多了“磁盘缓存”一项
即对于扫描过的文件进行性能优化之类的功能

lhsum

T.Yoshiyuki 发表于 2016-5-23 00:29
不好用 没有交互 毕竟是企业办公用 不声不响 不是给一般用户用的
这个模块基本照抄大企业套装中的HIP， ...

感谢分享。还是暂时用vse

liuyipinga

占用资源如何?

wjstcmeteor

试用了两天，两点不爽。一个是内存占用比其他安全软件可视的要大的多，还有进程实在太多了。另一点就是防火墙没有交互模式实在不方便。另外那啥web控制把三大妈的网站拉黑了，找了半天没找到放行。。。

1007

截图不错

马云波波波

个人感觉，MES的规则体系较VSE完善了许多，自定义规则中只需添加以下4条即可。

1  全局禁止创、删、改*.bat、*.exe、*.ocx、*.cmd、*.dll以及其他可执行文件

2  全局注册表保护
    要包含的进程：*
    要排除的进程：*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**
    要保护的注册表项或注册表值：HKALL /**
    要保护的注册表项或注册表值：值
    要阻止的注册表操作：写 创 删

3  全局网络端口连接规则
    要包含的进程：*.*
    要排除的进程：dwwin.exe, explorer.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, mcshield.exe, sppsvc.exe, svchost.exe
    要阻止的端口：1 -  65535
    方向：入站 出站

4  可执行控制（全局禁运）
    要包含的进程：*
    要排除的进程：无排除
    要保护的文件或文件夹名：*
    要排除的文件或文件夹名(这项，VSE规则是没有的)：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**（和其他可执行区域）
    要禁止的文件操作：执行

不过，第二条规则VSE能实现，MES不知能不能。

    第四条规则，VSE实现不了，MES不知道能否实现。