查看: 6479|回复: 13
收起左侧

[讨论] 麦咖啡简单防护规则

  [复制链接]
柯林
发表于 2017-7-30 17:46:13 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2017-7-30 17:50 编辑

做好入口防御,不让坏人随便进来!不是自己主动下载使用的程序,一律封堵。
自找的自己担责!系统更新,自己从可信站点下载的干净安装包,关闭访问保护进行安装与更新。
FD与RD规则,防贼与防黑即可,AD方面的事情就不要费心了。

***************VSE简单防御入口规则(win7/8/10,32/64通用)*****************

假设系统安装在C盘,假设主要程序安装在C盘,首先,全局大过滤:

1、禁止非法程序的所有行为【放行C盘上的合法文件】
包含:*.*
排除:C:\Windows\**,\??\C:\Windows\system32\winlogon.exe,C:\Program Files**,*\AppData\Local\Google\Chrome\** 【如果其它磁盘上的程序想要运行,添加排除,比如D:\Program Files\comon tools\**之类】【为免蓝屏、崩溃、进不了系统,这一条,先开报告,多试几次开机、关机,仔细看看,真没什么需要排除的,再勾选阻止】
目标:**
操作:全部打勾

然后,对放行者做进一步的限制与过滤,比如哪些程序可以创建exe文件、dll文件、scr文件、bat文件、vbs文件,哪些宿主程序禁止执行指定目标,哪些高危程序禁止启动等。

2、禁止创建修改exe文件 【放行高度可信程序】
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe
目标:**.exe
操作:勾选创建,写入

3、禁止创写sys文件
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe【该条为免意外,先勾选报告,多开关机几次,看看你的显卡之类的硬件是否需要添加排除】
目标:C:\**.sys
操作:勾选创建、写入

4、禁止在C盘创建dll文件
包含:*
排除:C:\Windows\servicing\Trustedinstaller.exe, C:\Windows\system32\poqexec.exe, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE 【个别程序有需要的可加排除,或者关闭访问保护后运行一下,一般不排除】
目标:C:\**.dll
操作:勾选创建


5、禁止创建scr文件【防勒索诈骗】
包含:*
排除:无【如果运行屏保受阻,根据日志排除】
目标:**.scr
操作:勾选创建

6、禁止创建bat文件【防恶意程序】
包含:*
排除:无
目标:**.bat
操作:勾选创建

7、禁止创建vbs文件
包含:*
排除:无
目标:**.vbs
操作:勾选创建

禁止脚本解释器执行非法位置的程序,比如user目录,U盘

8、禁止执行user下的脚本  【powershell脚本防御,没做过实测,功效存疑】
包含:cmd.exe,cscript.exe,wscript.exe,powershell.exe
排除:无
目标:C:\Users\**
操作:勾选读取,执行

9、禁止执行U盘1上的脚本 【如果同时插两块以上U盘,求把稳可以再写几条】
包含:cmd.exe,cscript.exe,wscript.exe,powershell.exe
排除:无
目标:G:\**  【把路径换成你的U盘所占的磁盘路径】
操作:勾选读取,执行

10、防止敲竹杠
包含:net.exe, net1.exe
排除:无
目标:\\.\pipe\samr
操作:勾选写入

11、防止恶意格盘
包含:*
排除:无
目标:format.???
操作:勾选执行

12、禁止使用分区命令
包含:*
排除:无
目标:diskpart.exe
操作:勾选执行

13、防止病毒卷影操作
包含:*
排除:poqexec.exe, svchost.exe, Trustedinstaller.exe, winlogon.exe
目标:vssadmin.exe
操作:勾选执行

为了防止黑客控制系统,添加账户,加上两条:

14、禁止更改用户权限 【注册表规则】(注意实验,看休眠唤醒或重启是否有影响)
包含:*
排除:无
目标:HKLM    /SAM/SAM/*/*
类型:项
操作:全部勾选

15、防止添加用户 (注意实验,看休眠唤醒或重启是否有影响)【这两条抄的,新系统有用与否,自己实验】
包含:*
排除:
目标:C:\Windows\System32\config\TxR\SAM
操作:勾选创建、写入、删除

日常防护,自定义设置以上规则,配合咖啡的月神,对于普通人够了。作为增强,开启系统自带的2条规则:
1)防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件,勾选阻止与报告
2)通用最大保护---禁止将程序注册为自动运行,勾选阻止与报告,排除名单更换为:Trustedinstaller.exe, winlogon.exe

=======================================================================
为了掌握系统运行情况,监测是否有程序作怪,开启以下规则的报告:
3)防间谍程序最大保护---禁止安装新的 CLSID、APPID 和 TYPELIB,勾选报告
4)防病毒标准保护---禁止更改用户权限策略,勾选报告
5)防病毒标准保护---禁止拦截 .EXE 和其他可执行文件扩展名,勾选报告
6)通用标准保护---禁止安装 Browser Helper Objects 和 Shell Extensions,勾选报告
7)通用标准保护---保护网络设置,勾选报告
8)通用最大保护---禁止将程序注册为服务,勾选报告
9)通用最大保护---禁止在 Windows 文件夹中创建新的可执行文件,勾选报告
10)通用最大保护---禁止在 Program Files 文件夹中创建新的可执行文件,勾选报告

=======================================================
这样简单设置一下,对于日常防毒来说,能够满足入口型的防御需要。由于VSE的AD功能较弱,对于安装钩子、注入内存等入侵手段来说,防御力为零,所以VSE及入口防御规则,只适合习惯良好,系统干净,没有乱七八糟软件,平常只是上网、做事的办公用户,系统安全程度取决于补丁、所装软件的规矩程度及个人的安全意识与操作习惯。(其实大部分人不用担心,只要病毒木马进入不了本机,没什么好担心的,至于作死与自己招鬼,自作自受)

======================================================
在这个病毒横飞,勒索成灾的时代,如果你有重要资料,可以补订几条规则,进行保护。例如:

最重要的文件集中到一个目录(譬如E盘上的SMFS),加规则保护:
16、禁止访问绝密文件
包含:*
排除:C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe【根据自己所用的软件,添加适当的排除】
目标:E:\SMFS**
操作:勾选读取、创建、写入、删除

一些重要的图片、资料、文档、网页之类,归结到一个目录里(比如D盘上的ABSPDS文件夹里),加规则保护:
17、保护重要的文件
包含:*
排除:C:\Program Files**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:D:\ABSPDS\**
操作:勾选写入、删除

如果喜欢把文件摆在桌面、我的文档里,也可以仿照例子,自己写上保护规则。

=====================================================
有全局大过滤及exe等可执行文件的写入限制,其实有些规则都属于重复及多余,仅仅起到个预防万一的作用。如果你追求极简,保留1、2、3、4、5及勾选自带规则---防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件,加上文件保护的16、17两条,就够了,配合VSE的杀毒功能,已经是很好的增强。其他那些,自己看吧。


评分

参与人数 2分享 +2 人气 +1 收起 理由
屁颠屁颠 + 2 版区有你更精彩: )
jone_jys + 1 版区有你更精彩: )

查看全部评分

rlx
发表于 2017-7-30 18:35:05 | 显示全部楼层
入口规则其实是最实用的
wfl5201314
发表于 2017-7-30 19:14:54 | 显示全部楼层
咖啡就是强大
jone_jys
头像被屏蔽
发表于 2017-7-30 23:02:25 | 显示全部楼层
如果单纯自己用的系统,只需做几条全局限制可执行文件的规则,再配合默认的规则就很强大了。真正的极简。。。
柯林
 楼主| 发表于 2017-7-31 09:26:13 | 显示全部楼层
本帖最后由 柯林 于 2017-8-1 12:02 编辑
jone_jys 发表于 2017-7-30 23:02
如果单纯自己用的系统,只需做几条全局限制可执行文件的规则,再配合默认的规则就很强大了。真正的极简。。 ...

相对全面一点,而又精干的规则,好像19条左右:

************VSE精简御用规则*************

1、全局大过滤---【禁止非法程序的活动】 (包含*.*   排除*\AppData\Local\Google\Chrome\**, C:\Program Files**,C:\Windows\**, D:\Program Files\SafeTools\**, \??\C:\Windows\system32\winlogon.exe  目标**  读、建、写、删、执)

2、【禁止创写exe】   (包含*   排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe   目标**.exe  建、写)

3、【禁止创写dll】   (包含*  排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe,C:\Windows\system32\wininit.exe, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE,FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, \??\C:\Windows\system32\winlogon.exe   目标**.dll  建、写)

4、【禁止创写sys】   (包含*.*  排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\poqexec.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wuauclt.exe  目标**.sys  建、写【该条为免意外,先勾选报告,多开关机几次,看看你的显卡之类的硬件是否需要添加排除】

5、【禁止创建scr】  (包含*  目标**.scr   创建)

6、【禁止创建bat】  (包含*  目标**.bat   创建)

7、【禁止创建vbs】  (包含*  目标**.vbs   创建)

8、【禁止执行user里的脚本】  (包含cmd.exe,cscript.exe,wscript.exe,powershell.exe  目标C:\Users\**   执行)

9、【防止恶意格盘】  (包含*  目标format.???   执行)

10、【禁止访问私密文件】(包含*  排除(必用而可信程序)目标(存放最重要的文档、报表、资料的目录) 读、建、写、删)

11、【禁止改写图文资料】(包含*  排除(常用而合法的程序)目标(存放图片、文档、资料的目录)   写、删)

-------------------------------
启用自带规则 (勾选阻止+报告)
1)防间谍程序最大保护---禁止所有程序从 Temp 文件夹运行文件,勾选阻止与报告
2)通用最大保护---禁止将程序注册为自动运行,勾选阻止与报告,排除名单更换为:Trustedinstaller.exe, winlogon.exe
------------------------------
开启监控(勾选报告)
3)防病毒最大保护---禁止 Svchost 执行非 Windows 可执行文件,勾选报告
4)防间谍程序最大保护---禁止安装新的 CLSID、APPID 和 TYPELIB,勾选报告
5)通用标准保护---禁止安装 Browser Helper Objects 和 Shell Extensions,勾选报告
6)通用最大保护---禁止将程序注册为服务,勾选报告
7)通用最大保护---禁止在 Windows 文件夹中创建新的可执行文件,勾选报告
8)通用最大保护---禁止在 Program Files 文件夹中创建新的可执行文件,勾选报告
------------------------------------------------------------------------------------
补充:全局大过滤---【禁止非法程序的活动】排除项参考名单
*\APPDATA\LOCAL\FLUXSOFTWARE\FLUX\FLUX.EXE, *\AppData\Local\Google\Chrome\**, *\AppData\Local\Microsoft\**, C:\Program Files**, C:\ProgramData\McAfee\**, C:\ProgramData\Package Cache\**, C:\Windows\**, D:\Program Files\SafeTools\**, \??\C:\Windows\system32\winlogon.exe      
(AppData\Roaming里面安装的程序,根据自己的实情与需要加以排除取舍吧)



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
夜无殇
发表于 2017-8-15 22:37:59 | 显示全部楼层
看着好麻烦,有简单点的方法吗,本人小白一个
hagcse
发表于 2017-8-16 12:54:16 | 显示全部楼层
柯大出品,必属精品,规则收藏谢谢分享。
callert
发表于 2017-8-16 14:07:48 | 显示全部楼层
柯大出品,必属精品,规则收藏谢谢分享。
资深裸奔菜鸟
发表于 2017-8-16 15:20:37 | 显示全部楼层
简单而粗暴的规则
lucifersm
发表于 2017-9-1 10:11:40 | 显示全部楼层
楼主,我根据你5楼的规则配置了5、6、7还有自带规则的那部分,然后昨晚和今天就收到这些阻止记录,这些记录是有问题吗,为什么在做创建IE收藏夹?这台是服务器,晚上的时候是没登录的,只是在开着。另外w3wp.exe我看了下网上说是IIS的程序,这是不是和网站发布有联系的,我有个BS架构的ERP软件打不开好像是这里影响

[mw_shl_code=xml,true]2017/8/31        17:44:47        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\LSASS.EXE        HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\MFEHIDK\        通用标准保护:禁止修改 McAfee 文件和设置        已阻止的操作: 写入
2017/8/31        21:49:48        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/8/31        21:50:02        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        1:49:54        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        1:50:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        2:00:02        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        D:\PROGRAM FILES (X86)\MICROSOFT SQL SERVER\100\TOOLS\BINN\SQLPS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        5:49:47        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        5:49:58        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE        C:\WINDOWS\SYSTEM\CABS.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2017/9/1        9:41:58        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSWOW64\RUNONCE.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:42:02        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSTEM32\SERVERMANAGERLAUNCHER.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:42:08        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\WINDOWS\SYSTEM32\RDPCLIP.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:43:27        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\PROGRAM FILES (X86)\SOGOUINPUT\SOGOUEXE\SOGOUEXE.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:43:28        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\58EF608C\00B93D26_3208CF01\ANTLR3.RUNTIME.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:46:58        已由访问保护规则禁止         WIN-A2DNF28RD0D\Administrator        C:\PROGRAM FILES (X86)\SOGOUINPUT\8.6.0.1423\SGTOOL.EXE        HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2017/9/1        9:48:07        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\2077C588\00CDBFB7_CBA9D001\KINGDEE.BOS.VERIFICATIONHELPER.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:48:09        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\APP_GLOBAL.ASAX.O9RYCBDY.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取
2017/9/1        9:48:09        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ROOT\8462786F\BA36B4B9\ASSEMBLY\DL3\58EF608C\00B93D26_3208CF01\ANTLR3.RUNTIME.DLL        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 读取[/mw_shl_code]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 19:24 , Processed in 0.154012 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表