请问咖啡企业版如何建立规则禁止浏览器调用任何系统程序

墨家小子

最近有点时间想试试企业版，求大神指点一下

Iesous

1 禁止读取执行exe对象 两个都要勾 卡的函数不同（system svchost绝对不能不能排除） 2程序文件夹权限直留sytem 管理员组（别把system去了，虽然它有管理员的令牌） 3本地计算机管理wmi 去掉Authenticated Users network LOCAL SERVICE 的动态写入，动态可以转静态的 不用重启（我直接删了Authenticated Users 直留system 管理员组network LOCAL SERVICE ） 4Secondary Logon服务要关闭，如果有需不关，请禁止访问127.0.0.1-127.0.0.1    5 com口严格管理（你只堵住1-2没用 1可以去访问3 3在去访问2 就成了。。） 光mcafee做不到完全 不过就1和2就可以堵住一般启动 不过如果对方电脑上装有Visual Studio*或来自你的网关 就要注意com  cmd（mcafee默认过掉cmd的一些函数 隐秘启动貌似不太可能） shell      文件重定向（这是一个坑，没能力别进） comodo的cmdinstall.exe其实也是个坑 谁都可以用 连时没看清地址 多半要倒霉 我以前不小心连过 之后除了卡就是各种奇疤现象 Workstation(当你下了个php后 有时system会很奇怪的外连445，回环部分也有些小问题）和WinHttpAutoProxySvc服务（关了照样在htttp内部合成）最好关了  最好用沙盘 沙盘对sessions是虚拟化的 comodo的设置太简单 用sandboxie(一定要看好内核，不然多半废了） 像我写的sandboxie规则一加载 直接被火融当毒给干了 蓝屏 蓝屏 启动后 我擦 规则就剩1个了

墨家小子

Iesous 发表于 2016-11-10 08:16
1 禁止读取执行exe对象 两个都要勾 卡的函数不同（system svchost绝对不能不能排除） 2程序文件夹权限直留s ...

没看懂……

羽扇纶巾

刚刚试了试，不知要得不。

墨家小子

羽扇纶巾 发表于 2016-11-10 23:54
刚刚试了试，不知要得不。

蟹蟹老司机指点
挂梯子测试一下挂马网页呗，看看这个挂马网页是不是ie执行了C:\Windows\System32或者C:\Windows\System64里面的系统程序？
w ww.aulaestudio.com

墨家小子

羽扇纶巾 发表于 2016-11-10 23:54
刚刚试了试，不知要得不。

C:\Windows\SysWOW64\*.exe 也应该加进去吧？用不用？

羽扇纶巾

墨家小子 发表于 2016-11-11 13:59
C:\Windows\SysWOW64\*.exe 也应该加进去吧？用不用？

你试试吧。应该行。

墨家小子

羽扇纶巾 发表于 2016-11-11 14:41
你试试吧。应该行。

以此，是不是可以建立禁用陌生程序调用系统程序（排除windows、program*文件夹里的程序），在此之前陌生程序禁止创建可执行程序，就很稳妥了？

羽扇纶巾

墨家小子 发表于 2016-11-12 13:45
以此，是不是可以建立禁用陌生程序调用系统程序（排除windows、program*文件夹里的程序），在此之前陌生 ...

对。完全可以这么做。windows、program*文件夹里的程序尽量不用通配，最好逐一排除（排除到.exe就行了。量也不是很大）。

qftest

规则名称：禁止浏览器调用系统程序
要包含的进程： C:\Program Files**\Internet Explorer\iexplore.exe
要排除的进程：
要阻止的文件或文件夹名：C:\Windows\**.exe
要禁止的文件操作：读、执行
阻挡、报告

试试？