我是来搞事情地，去他么那么一大片第三方杀毒软件。

ELOHIM

首先，请阅读这个帖子：http://bbs.kafan.cn/thread-2105222-1-1.html

>>>>>>>>>>>>>>>
卡饭里面，好像提到在使用 Windows Defender 的时候，都没有什么底气。

在没有 Windows Defender 的时候，
你们引以为豪的杀毒软件，还不是因为高防，高查杀和弹窗安慰吗？
可是后来慢慢换上杀毒软件综合症。
想来，还是因为防不住，杀不了，或者严重影响系统性能罢了。
当然，也有鱼和熊掌想兼而得之者。

有很激进的方式来杀毒。
有很温和的方式来杀毒。
如果一个人对于基本的防御常识没有深入，
单纯依靠杀毒来保障系统安全，难。

好比，他人送一炸弹，告诉你点燃捻子就可以抢红包了。
有的人毫不犹豫就点燃，因为他感觉自己的防爆服够牛逼了。
有的人送你一瓶牛奶，告诉你是最新科研结果，喝了可疑让近视彻底恢复，并可以增高。
那有的人就是一仰脖的事。他说他的免疫系统经历了几千万年的进化，可以解决这点事。

回到杀毒软件，总有人放大 Windows Defender 卡 exe 的问题。
如果认真解释这个情况并不难。
只不过是使用文件监控方式在用户浏览到高危格式文件以前的一种提前防御而已。
在用户可能双击以前，提前发现恶意程序，避免系统和资料遭受损坏。
但是这样一种防御方式不断的被放大，变成了 Windows Defender 口耳相传的“硬伤”。

更可怕的是那种心理：自己不用，还要拦着别人用。
你不喜欢包子，别人吃一口包子就是十恶不赦。
你喜欢羊肉，就必须让你的亲眷家家羊杂碎做口粮。
>>>>>>>>>>>>>>>
病毒可能不会使用 NTFS 权限保护自己，
但是 NTFS 保护的文件就可能避免文件被侵扰的可能。
三方杀毒不能进入 NTFS 文件夹读写（我不知道别的软件是否可以，没有测试，但是 SEP 可以知道里面有几个文件），
Windows Defender 可以做到。

很多安利过 UAC 的文章，都闭口不提最高级别。
都是讲怎么过默认级别。
甚至没有谈硬盘加密，证书加密，防火墙状态。用户是不是管理员。

将你的 Windows Firewall 设置严格一点，
不需要的进出站本地和远程端口和 IP 全部封堵。不需要的协议全部禁用。
做好日志记录和保护。
进出站必须让“活人”手动授权。

把你系统里面的自动化调慢，调慢。。
避免 CCleaner 事件重演。

SEP 阻止的IP地址，tcpview 还是可以看到SYN状态，Windows Firewall 阻止的IP地址，tcpview 里面是看不到的。
我这个渣渣不知为什么会这样。。

个人重要文件夹或文件取消用户的读写修改恣意访问（以安全审查的名义匿名提交也不可以）。
开机启动项的文件夹，开机启动注册表都可以使用 NTFS 避免写入。
历史记录文件夹都可以使用NTFS禁止写入或者读取。

将系统默认安全级别稍微提高那么一点点，
禁用那些自己用不到的功能，
比如 PowerShell，WMI 等非常牛逼的脚本
(smbserverconfiguration，smbclientconfiguration，autoshareserver，autoshareworkstation)
这些自动共享服务端跟个人计算机有什么必要关系吗？？

开启一些系统安全防御措施，
比如单机，允许毛线的用户可以远程访问此计算机(secpol.msc)。

禁止浏览器缓存自动执行。日常浏览时，机动调整浏览器的安全级别（IE有 4 组 4 档）。
Edge打开 Windows Defender Smart Screen。
>>>>>>>>>>>>>>>

然后，你再使用一个强密码保护的标准用户登录计算机。

去特么的那一大片第三方杀毒软件。

这样，受益的是自己。
而不是 狗带Windows，也不是狗带微软。               

wudimeisuowei

WD卡exe绝对是硬伤，在av-test等测试里，WD的防御能力不仅比前几名的差，而且性能测试也是很差，这个是事实，勿需多疑。

HEMM

性能确实该优化一下了，大微牺牲掉的性能却只提供基础防护，相比之下其他安软做的更好。
当然可以把UAC，组策略，文件权限，用户权限都用起来，大幅度的提高安全性，但是这又要引出另一个问题，就是使用门槛，用户必须学习这些权限的使用方法，规则制定的方法，并不会比HIPS轻松多少。且默认的UAC，只是告诉你程序要提权了，别的信息量少，即使最大防护，在用户决定使用某一个程序的时候，无法通过UAC的提示做出有效的判断，还是提示就点允许，即使开最大，也只是让你多点一下罢了。默认自带的防护或许很强，但是和HIPS一样不合时宜，安全和便利性，显然现在的用户都倾向于便利，当安全和易用无法兼顾的时候会直接埋怨安软，不会花时间用在学习权限啊，这那那这的。
我觉得要提高不仅仅是安软能力，还有自己的安全意识。选择自己用的惯的，可靠性较强的就够了，不合适就换掉。
用组策略和权限控制的始终是小众的高级用户，和HIPS一样即使安全性很高又怎么样，在生活节奏异常快的现在，智能便捷依然是主流。还有这些软件和功能在，不被所谓智能淘汰已经是谢天谢地了。
我说该优化的地方不优化一下，却对缓存异常的执着，超过额定的MB就自删重新建立，就不能给个选项要用户自己选择是系统自动优化清理还是手动清理。
WD对体积略大点的.exe确实不大友好，还有其他......不过底气足，免费提供的基础防护。

ELOHIM

HEMM 发表于 2017-10-14 17:48
性能确实该优化一下了，大微牺牲掉的性能却只提供基础防护，相比之下其他安软做的更好。
当然可以把UAC， ...

我同意你说的智能和便捷是主流。

跟第三方杀毒软件做了兄弟，总感觉自己在变坏。
动不动就是：嘿，买个升级版吧……

组策略设置好就行了，规则，注册表都可以导出。以后按照常规方式使用就行了。

智能，往往意味着人不参与。   不参与的地方，都有猫腻。   
比如：startcom 证书，如果没有人曝光，网站不是智能解析过去吗？
谁会想到这个地方有江湖。

我不是跟智能过不去。
我跟图谋不轨过不去。

因为：图谋不轨也是智能。  

c68111c

wudimeisuowei 发表于 2017-10-14 17:08
WD卡exe绝对是硬伤，在av-test等测试里，WD的防御能力不仅比前几名的差，而且性能测试也是很差，这个是事实 ...

這測試看看就好

查殺 誤判 性能  裡面就性能最沒參考價值

因為每個人狀況不一

以我自身而言

有一台I3筆電

性能拖慢程度 趨勢個人版>FSCS>WD

跟 測試恰好相反

HEMM

ELOHIM 发表于 2017-10-14 17:56
我同意你说的智能和便捷是主流。

跟第三方杀毒软件做了兄弟，总感觉自己在变坏。

但是学习这些个功能也确实不比学习HIPS使用能轻松多少，即使我说规则架构一旦完善，后期使用由于变动量较少，可调整的地方也就少，很舒服！但是前期的学习和制定依然是相当繁琐的，光我使用HIPS还是对自己的规则横竖不满意，当然我也没怎么学就是了.......无脑在用
手动有手动的好处，智能有智能的好处，还是那句话爱用啥用啥= =

ELOHIM

自己在叽歪一楼：

想过掉杀毒软件，过机器很容易。
想过一个有安全意识到位的人，相比较而言，难。

有陌生人想插自己U盘，
有人用你电脑借故让你出去一下，
送修不格式化（我靠，陈冠希？），
有人进机房，突然停电&………………
QQ群，微信群抢红包连接，（话说那么多防钓鱼就没有漏的吗？）
可是如果自己知道这是一场华丽丽的骗局，不点击任何一个，
那么就是100%防御成功。
强过点击以后等待查杀补救。

前期权限控制和防御很重要，而不是后续的技术围剿：查杀。  

ELOHIM

HEMM 发表于 2017-10-14 18:11
但是学习这些个功能也确实不比学习HIPS使用能轻松多少，即使我说规则架构一旦完善，后期使用由于变动量较 ...

嗯，所以，我也有一点任性发这个帖子。
总是有人对用 WD 的用户指指点点。
那么我来一个全盘否定好了。

安全很简单，安全也很难做到万无一失。

wudimeisuowei

ELOHIM 发表于 2017-10-14 18:19
嗯，所以，我也有一点任性发这个帖子。
总是有人对用 WD 的用户指指点点。
那么我来一个全盘否 ...

你有装最新刚出的赛门铁克sep14.0.1 RU1吗？

HEMM

ELOHIM 发表于 2017-10-14 18:16
自己在叽歪一楼：

想过掉杀毒软件，过机器很容易。

想过一个有安全意识到位的人，相比较而言，难。

其实也没那么难的，只要你不是这个专业的.......疏忽一次就足够了。
社工也超级强大，比漏洞可强大多了。面对花样的威胁只能是尽量不要到高危环境内晃，成了目标保佑不是针对= =