如何写一些简单实用的规则

柯林

规则的写法，不同的人有不同的风格，大体上来说，有两种：精细与简明。
精细规则，把每一个程序的具体行为，规划到最细之处，从细节的深度上进行最强的把握，很犀利，很强悍，也很耗费时间与精力，适合神经精密族，具体的例子，从U版的打磨贴，到论坛的3Q、温馨规则之类，可供参考。
对于神经大条的人，以及不需要管得太细，只希望抓住重点，做出简明性管理的人，可以从一些简单实用的方面进行简化处理。具体可行的方法，当然很多，有兴趣的人都来说说。以下所言只是其中的一些方面，仅供参考。
-----------------------------------------------------------------------------

对一些重点行为进行限制，对关键位置进行阻断，采用（行为）分组的方法进行规划。比如说：
FD方面，最需要重点关注的，是exe与dll，限制住这两个东西，绝大多数的常见威胁都可以挡在门外。限制方法，可以分区化治：
对于系统目录（windows）与应用程序目录（Program Files）列为禁区，一般不轻易允许写入，可以例外的严格限制（比如windows更新程序等）。
对于程序下载位置（exe）格式的安装包，给出规定，指定哪些程序（比如浏览器、下载工具迅雷等）可以使用这些位置。
一些特殊位置，比如光驱，刻写启动盘或程序文件，应该加上允许刻录程序写入exe及dll之类可执行文件到光驱的规则。
其他位置，统统枪毙，在全局规则上禁止任何程序写入exe与dll，这样规定下来，temp之类涉及安装的地方对于绝大多数程序而言，无法写入exe与dll，想要进行的安装操作无法进行。如果想要进行安装，只有禁用相关规则（删除限制或禁用HIPS）。

RD方面，一般重点关照服务项目与自启动项目就可以了，必要时加上重点文件关联与系统设置（比如IE设置、explorer的设置）。服务项目涉及驱动与后台，对陌生程序特别是病毒会有很好的拦截作用，当然如果误拦系统服务相关的进程以及显卡程序对这方面的操作，死机蓝屏进不了系统也就会发生。对于自启动项目，除了少数会被用到的可以列为过滤项目，那些常被病毒利用的东东可以列为阻止。

AD方面，重点关注驱动加载、访问其它进程内存、安装钩子、键盘记录、直接磁盘操作，一般就可以了。至于物理内存之类都可以暂时不用管，因为CIS套装包含自动沙盘，威胁程序的操作会被入沙虚拟化。

----------------------------------------------------------------------------------
如上所言，一般对特别突出的问题，进行规定与限制就可以了。其它的，交由自动沙盘体系进行裁决。对于勒索马之类，由于其天然克星——自动沙盘的存在，都不用费神，而且FD上禁止了非法exe与dll的写入，母体都没有，后续问题无需考虑。
常见威胁除了可执行文件（exe为主）与库文件（dll为主），还有脚本（js、vbs、bat等）。对于脚本文件，可以从AD上进行限制——禁止脚本宿主程序执行非法位置（Users路径下的js之类的文件），当然你也可以规定禁止脚本文件写入windows目录与Program Files来进行强化，不过一般没别要，因为现实中可能遇到的病毒（包括脚本病毒）大多是上网工具下载到Temp目录之类的地方。

现实中的病毒两大来源：网络与移动磁盘。管好这两方面，基本上啥都没有。移动磁盘防御很简单，自动沙盘就搞定了，无须费神。
对于网络病毒，重点管住上网程序，须要重点关注的是两个，漏洞大王Adobe Flash与浏览器。Flash播放器，可以选用其它的，就弃用Adobe的；浏览器用谷歌、火狐之类的安全浏览器代替筛子眼IE，如果说在自动沙盘参与防御的CIS中，还有什么程序需要重点关注一下的，做个规则限制下的话，以目前来说，大概就两个，一个浏览器，一个电子邮件收发工具，必要时再加个聊天工具。

总的来说，在类似CIS这样主打自动沙盘防御的产品中，须要强化补充的HIPS规则并不多，重点关照一下，针对主要威胁，做一些简明德规则就可以了，其它那些带HIPS的杀软，也可借鉴这种思路，进行关键点的掐断。

至于其它方面，是否需要关注，例如个人文件（文字、照片、视频、图纸）是否需要列为监控项目并做规则进行严格的访问授权，这个可以依据自己口味选择，因为有自动沙盘的保护，是不用害怕勒索破坏之类的行为的，至于防止读取盗窃，建议还是加密存放比较稳妥（加密工具一般使用winrar就可以了，其它加密工具慎重选择，比如windows自带的，如果忘记导出密匙备份，很可能就悲剧，而一些第三方加密工具，一旦人家需要注册付费或突然倒闭，文件能不能再打开，可能都是问题，稳定性与可靠性很关键，而对于专业收费软件，银子很关键。总之一句话，数据很珍贵，操作须谨慎）
--------------------------------------------------------------------------------
把你斟酌取舍后，须要列为考虑的控制项目，找张纸写下来。
另外找张纸，把需要重点关注的程序，例如浏览器，允许操作的项目，比照第一张纸，逐个注明，这就是浏览器的规则。文件分组里面建立浏览器组，把所用浏览器添加进去，HIPS规则列表里进行规则套用就可以了。
---------------------------------------------------------------------------------

于上所见，做一些简单实在的限制与守护，对于初学者或者懒得花时间进行折腾的人来说，并不难。

KK院长

其实 控制好 AD方面基本上也就够了，对于一般人。

Ｍy↘じ★ve

KK院长 发表于 2016-7-4 10:40
其实 控制好 AD方面基本上也就够了，对于一般人。

默认本来就够了，该保护的都有

秘书

没人加魅力？好贴啊

电脑发烧友

秘书 发表于 2016-7-26 20:39
没人加魅力？好贴啊

似乎来了卡饭除了看见规则帖子就没见过秘书出现了，合影

另外问问，关于UAC重定向方面，您是否有涉猎？

秘书

电脑发烧友 发表于 2016-7-26 21:01
似乎来了卡饭除了看见规则帖子就没见过秘书出现了，合影

另外问问，关于UAC重定向方面，您是 ...

木有 那个类似当初组策略的衍生吧？我很早就换mac os了。。。

电脑发烧友

秘书 发表于 2016-7-26 21:43
木有 那个类似当初组策略的衍生吧？我很早就换mac os了。。。

最近了解了UAC的重定向问题，某些重要键值被重定向到了另一个位置。那个位置的路径总会有路径标识符，更坑的是读注册表也会被重定向。
用命令可以获取标识符。然后反映到路径上

不知道这种保护方式在规则中该如何处理，因为不清楚被重定向之后可能造成多大的危害