查看: 3951|回复: 14
收起左侧

[技术原创] MES之访问保护规则制定图文说明及特别注意事项

  [复制链接]
jone_jys
头像被屏蔽
发表于 2018-6-14 12:20:15 | 显示全部楼层 |阅读模式
本帖最后由 jone_jys 于 2018-6-14 15:48 编辑

写在前面:
我是一直追随迈克菲企业版的忠实用户了,从最初接触的vse8.0i一直到最新的MES10.6。期间几乎是从来没有间断过使用。
VSE系列,功能比较单一。但性价比是最高的,稳定、流畅、高效、灵敏;
MES系列,全功能企业版。性能方面不如从前,对于低配置的电脑尤为明显拖机。


如果普通用户只想了解或简单折腾一下规则,那么VSE很适合;如果追求极致安全的高阶用户不妨试试MES,规则方面定制性相当强,是VSE没法比拟的。


下面言归正传:(将会以图文并茂的方式加以说明)

图一:


上图中,“访问保护”开关,默认开启。只有开启后才能进行下一步操作,关闭后下面不可选。
此处说明一下“排除项”:
这里的排除,是全局性的,比如排除:svchost.exe,那么此程序会排除于所有的规则当中。




图二:

点击“添加”开始新增自定义规则。
为规则指定操作。
• “阻止”(仅) — 阻止访问尝试且不记录日志。
• “报告”(仅) — 警告,但不阻止访问尝试。
• “阻止”并“报告” — 阻止并记录访问尝试。
最佳实践: 在不了解某一规则所产生的全面影响时,请选择“报告”而非“阻止”,以只接收警告而不阻止访
问尝试。 要确定是否要阻止访问,请监控日志和报告。

要全部阻止或报告,请选择第一行中的“阻止”或“报告”。
要禁用规则,请取消选择“阻止”和“报告”。

图三:


上图中,是我在已有规则中进行编辑的界面。
新增规则也是同样的界面,只是最左上角的“编辑规则”为“添加规则”

此处按界面说明基本都会操作。重点说明一下“可执行文件”
“可执行文件”
为规则指定可执行文件。
• “添加” — 创建可执行文件并将其添加到列表。
• 双击项目— 更改所选项目。
• “删除”— 删除所选项目。
• “复制”— 创建所选项目的副本。
• “切换包含状态”— 将项目的包含状态在“包含”和“排除”之间切换。

可执行文件
此处留空,则表示新增的此条规则将限制所有的可执行文件;如果要单独限制某个可执行文件,则在此点击“添加” 选择“包括”的程序即可;
同时,此处也用于此条新增规则的排除项,比如排除a.exe,则点击“添加”选择“排除”a.exe即可。

图四:子规则详情




这里着重讲一下。

指定子规则类型。
更改子规则类型会将之前在“目标”表中定义的任何条目删除。
• “文件”— 保护文件或目录。 例如,创建自定义规则来阻止或报告删除包含敏感信息的 Excel 电子表格的尝
试。
• “注册表项” — 保护指定项。 注册表项是注册表值的容器。 例如,HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run。
• “注册表值”— 保护指定值。 注册表值存储在注册表项中并分别从注册表项中引用。 例如,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun。
• “进程”— 保护指定的进程。 例如,创建自定义规则以阻止或报告试图在进程执行的操作。
• “服务”— 保护指定的服务。 例如,创建自定义规则,以防服务被停止或启动。
“操作” 指示子规则类型允许的操作。 您必须至少指定一项要应用到子规则的操作。
最佳实践: 为避免影响性能,请勿选择“读取”操作。
“文件”:
• “更改只读属性或隐藏属性”— 对更改指定文件夹中文件属性的行为进行阻止或报告。
• “创建”— 对在指定文件夹中创建文件的行为进行阻止或报告。
• “删除”— 对删除指定文件夹中的文件的行为进行阻止或报告。
• “执行”— 对执行指定文件夹中的文件的行为进行阻止或报告。
• “更改权限”— 对更改指定文件夹中文件权限设置的行为进行阻止或报告。
• “读取”— 阻止或报告对指定文件的读访问。
• “重命名”— 阻止或报告对指定文件的重命名权限。
如果指定“目标文件”目标,唯一有效的操作为“重命名”。
• “写入”— 阻止或报告对指定文件的写访问。
“注册表项”:
• “写入”— 阻止或报告对指定项的写访问。
• “创建”— 对创建指定项的行为进行阻止或报告。
• “删除”— 对删除指定项的行为进行阻止或报告。
• “读取”— 阻止或报告对指定项的读访问。
• “枚举”— 对枚举指定注册表项的子项的行为进行阻止或报告。
• “加载”— 对从注册表卸载指定注册表项及其子项的行为进行阻止或报告。
• “替换”— 对用其他文件替换指定注册表项及其子项的行为进行阻止或报告。
• “还原”— 对在指定文件中保存注册表信息以及通过指定项复制的行为进行阻止或报告。
• “更改权限”— 对更改指定注册表项及其子项的权限设置的行为进行阻止或报告。
“注册表值”:
• “写入”— 阻止或报告对指定值的写访问。
• “创建”— 对创建指定值的行为进行阻止或报告。
• “删除”— 对删除指定值的行为进行阻止或报告。
• “读取”— 阻止或报告对指定值的读访问。
“进程”:
• “任何访问权限”— 对打开具有任何访问权限的进程的行为进行阻止或报告。
• “创建线程”— 对打开具有创建线程访问权限的进程的行为进行阻止或报告。
• “修改”— 对打开具有修改访问权限的进程的行为进行阻止或报告。
• “终止”— 对打开具有终止访问权限的进程的行为进行阻止或报告。
• “运行”— 阻止或报告指定目标可执行文件的运行。
您必须至少为该规则添加一个目标可执行文件。

这里子规则里面“包括”的内容,则类似VSE里面要保护的对象。
此规则为保护所有的后缀exe的文件。

此条规则“不完整”的用VSE的语法则表示如下:
图五:


对照图四、图五看,不知道有谁能发现不同的地方?即多了几个“排除”,图四里面的排除是局部排除,而图五里面的排除则是全局排除,相当于图三里面“可执行文件”的排除。
此条规则的结果就是,除了可以新建排除的那5个exe程序外,其他所有exe不可创建。VSE是没法实现这个结果的。


图六:


上图重点说明一下包括文件的“语法编写”。对照图五“要阻止的文件或文件夹名”。

MES10.6或者以后的版本的语法规则是否会改变暂时不得而知,官方也没明确说明。至少10.6和上一版是不同了。
10.5这里的“包括”,可以表示为:*.exe 或**.exe;而10.6只能编写为:?:\**.exe ,其他编写语法都是失效的。似乎也仅针对于exe后缀规则,其他规则,如*.dll *.bat 。。。 是可以生效的。


当然,其他后缀你可以编写为:?:\**.dll    ?:\**.bat    ?:\**.com 。。。。


上面蓝色部分,我是尝试了N便才实验出来的,系统都重启无数遍了。真心不容易啊!暂时不确定是10.6的BUG,还是语法有变化?
总之,按照蓝色加粗部分那样编写语法是可以生效的。


我都准备放弃10.6回到上一版了,最后还是给折腾出来了。恭喜一下自己呀!
MES10.6性能提升了不少,按访问扫描的排除也没有问题了,”月神“误报似乎也是可以排除了,之前听谁说过月神误报是不能排除的吗?

写在后面,虽然几乎所有安全软件都在主打所谓的智能,但迈克菲企业版一直保留了“访问保护规则”。不仅保留了而且加强了。
类似”访问保护规则“对于企业网管真是一大利器。国内的新秀企业版安软——火绒,同样有此规则。

至于这种功能的企业版是否有必要?迈克菲 火绒以事实给予了回答。






PS:不知帖子类目是否符合原创?版主或管理员确认下吧!












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4人气 +4 收起 理由
freesoft00 + 1
柯林 + 1 感谢提供分享
聽莧 + 1 感谢解答: )
,就一个. + 1 版区有你更精彩: )

查看全部评分

jone_jys
头像被屏蔽
 楼主| 发表于 2018-6-24 21:36:57 | 显示全部楼层

一条规则保护重要资料



用MES保护重要资料不在话下,以上一条规则就够了。
这条规则调试好后,日常使用中无论何种操作都无需关闭,即使你无意双击了破坏性病毒或者勒索病毒,被保护的资料都会毫发无损。
图中是以文件夹归类的方式保护的,当然你也可以单独以扩展名来保护。

PS:MES可以禁止新建文件夹,记得VSE的某个版本是不能阻止“新建文件夹”的,最新版的不知怎样了。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
guois
发表于 2018-6-14 12:27:28 | 显示全部楼层
本帖最后由 guois 于 2018-6-14 12:29 编辑

难得的学习分享经验贴!~~
清道夫900
头像被屏蔽
发表于 2018-6-14 13:04:10 | 显示全部楼层
支持下;默认规则对安全性评价如何?
jone_jys
头像被屏蔽
 楼主| 发表于 2018-6-14 14:14:53 | 显示全部楼层
清道夫900 发表于 2018-6-14 13:04
支持下;默认规则对安全性评价如何?

默认规则和VSE差不多,但是不支持用户修改。
googlex1
发表于 2018-6-14 15:24:19 | 显示全部楼层
学习下,用的时候有方法挺好的。
ldkvfeng
发表于 2018-6-14 19:56:50 | 显示全部楼层
mes的教程贴啊,顶起
jone_jys
头像被屏蔽
 楼主| 发表于 2018-6-14 20:21:16 | 显示全部楼层


日志里面,新增了这样一类的日志。嘿嘿。。。

威胁类别:信誉
说明:误报缓解


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ksss5566
发表于 2018-6-14 20:37:37 来自手机 | 显示全部楼层
楼主辛苦
freesoft00
发表于 2018-6-14 23:31:42 | 显示全部楼层
vse网上的教程差不多介绍的比较多了。MES确实很少。
谢谢分享
frostriver
发表于 2018-6-15 08:56:58 | 显示全部楼层
支持科普贴。学习一下,10.6好像语法规则改变了,我也是重启无数遍,也是没有用,再后来就频繁出现数据库定位错误,也是醉了,难道是和我的驱动程序有关系?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:55 , Processed in 0.138393 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表