简单防御

柯林

新版用不了，太耗，还是用回VSE——像我这样的“办公型”用户，存点资料，写点东西，有个QQ、迅雷，解压缩，浏览器和office，播放器，其它没了（不玩游戏，不乱下东西来双击和尝试——至多有点常用的绿色小工具），防御真的不需要太花哨或变态——适用就好（选VSE就喜欢它细致的FD）。大致来说，就三部分：

第一部分：网络防御。1、系统防火墙入站规则，添加一条高危端口拦截（像我这样的外网用户，当然是禁止连入23,135,137,139,445,3389这些TCP端口）；把那些花哨的连入全部禁止（除了迅雷与Microsoft Office Outlook（如果你用这个收发信件），什么搜狗拼音、QQ等）。2、VSE添加一条拦截出站访问的规则，只允许必要的程序联网。
就这么简单一弄，整个网络防御就已完成，VSE+系统墙，轻快滑利自不待言。

第二部分：数据保护。对于有点资料的人来说，什么最宝贵？当然是资料，是数据。当前危害最大的也无过于破坏资料与数据的勒索病毒（据反病毒厂商统计，每天有十五万台左右的电脑感染勒索病毒）。对抗勒索，第一有效当然是备份；第二就是防止非法程序改写资料。所以没得说，写上几条规则，把重要资料所在的目录保护起来就好了。

第三部分：额外的病毒防护措施。VSE本身是个有力的杀软，病毒检测率并不低，大多数病毒能够识别，对于一个习惯还算好的用户，你一年到头遇到的病毒，可能基本上都被麦咖啡的特征识别干掉了——“毒都没有一个，一切都是废话！”，规则加不加的都无所谓。但是，出于谨慎或较真，从逻辑上来说，总有“漏”的，适当地针对性写几条，就够了。1、病毒来自U盘（禁止执行U盘上的程序就ok）2、病毒来自网络（随电邮附件或聊天附件而来的病毒，如果你采用默认设置，把文件保存在“我的文档”里，禁运我的文档就可以把解压出来的病毒避免激活，如果是直接点击压缩包里面的东东，加一条禁止用户目录下的Temp文件夹也就ok），最后加一条禁止整机创建、改写exe的规则，基本上入口都封住了，病毒真的很难进来。其它辅助性的东西再随便写点，然后把系统自带的一些关键点的规则打开监控（选报告即可），一切尽在掌握中。

搞定这三部分，一个轻巧而有力的重点防御方案也就完成，对于一个办公型或准办公型的习惯良好的用户而言，已经够用了。这样的设置，能够做到基本的防毒，而又不影响系统更新，基本上装上就不用管，流氓推广、后台安装什么的也搞不了事。一般的日常用用可以啦。

补充一句：流氓软件防御，数字证书拉黑最方便最彻底，一般不用浪费规则去做这事。


ps：默认自带“防病毒爆发控制”，应该是针对蠕虫病毒。局域网用户，在蠕虫病毒爆发期，可以考虑开启。另外，“防病毒最大保护”里“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”和“保护缓存文件免受密码和电子邮件地址窃贼的攻击”也是为了防蠕虫吧，用系统自带Outlook收发邮件的，可以考虑开启报告乃至勾选阻挡，用其它电邮程序比如Foxmail的，这个貌似没用，需要另外设置。懒人可以不管它——自定义规则已经全局禁止exe的创建、修改，一般可以抵御常见威胁了。
========== 补充--影响系统更新的规则调整 ==============
为减少无谓的日志，通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件，排除TrustedInstaller.exe（谨慎可写C:\Windows\servicing\TrustedInstaller.exe）

设为开机启动，需要排除：C:\Windows\system32\MRT*.exe（排除项包括c:\windows\system32\consent.exe, C:\Windows\system32\MRT*.exe, MCSHIELD.EXE）

禁止创建vbs，需要排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe

反安装拦截点，需要排除：C:\Windows\system32\dism.exe,C:\Windows\SoftwareDistribution\Download\install\*.exe

有个别规则更新时，释放的安装程序setup.exe会访问网络，这个根据需要取舍，求安全则临时禁用firewall-black out，想偷懒可添加排除：chrome.exe, iexplore.exe, KwMusic.exe, KwService.exe, lsass.exe, masvc.exe, mcdatrep.exe, mcscript_inuse.exe, QQ.exe, QQProtect.exe, setup.exe, sppsvc.exe, svchost.exe, Thunder.exe, ThunderPlatform.exe, wmpnetwk.exe

-------------------------------------------------------
【防勒索】禁止执行卷影命令，按观察，通常是通过cmd.exe执行vssadmin.exe，这是一个命令行程序，排除写C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe，貌似没有意义，可观察日志取舍

【G】禁止远程对本机的读写操作，这一条不确定是否对系统更新造成影响，介意可删除，其实意义不大；有防火墙就够了。

歌德塔大蜘蛛

很不错的教程，简单实用

chensg

这个规则win 10 64位系统管用吗

柯林

chensg 发表于 2018-6-23 15:07
这个规则win 10 64位系统管用吗

不知道了，这是win7上做的。

给你规则截图，自己设置下吧，很简单的：
     

l10x

轻快滑利自不待言

hagcse

感谢柯大分享规则，简单实用.

柯林

一般用户就这么简单防御下，可以啦，如果经不住诱惑，非要下来双击，或许加点额外措施好点？
比如说，病毒加驱就完了！一般人默认下载位置，也就是桌面、下载、我的文档几处，如果加一条规则：
禁止C:\Users\**禁止访问注册表项 HKLM  /SYSTEM/CurrentControlSet/services/**
这样，或许能够防止下载来的恶意程序或病毒就地运行时加驱
【/SYSTEM/CurrentControlSet/services/**是不是写成/SYSTEM/**/services/**或**/services/**好点，有兴趣的自己测试，看路径写法是否有效】

如果实在介意加驱防御，可以考虑补上一条禁止*.*访问注册表项 HKLM  /SYSTEM/CurrentControlSet/services/**，然后先勾选报告，反复地重启，看看日志，把该排除的排除掉，以免开机蓝屏
出于防御未知考虑，或可大胆排除*\Windows\System32\**,\??\Windows\System32\**,*\Program Files\**,\??\Program Files\**,*\Program Files (x86)\**,\??\Program Files (x86)\**，这样设置就是防御未知程序加驱；对于放行目录的监控，建议开启咖啡自带的“禁止将程序注册为服务”报告功能进行日志监控，以发现问题【也就是，一条放行，一条记录，双轨并行的方法】。这样设置，虽能在一定程度上防御未知程序加驱，但也会影响个别补丁的安装，所以这个简便规则没有列入。
对于下载带驱文件的防御，或许最简单的直接一条：禁止?:\Users\**创建、执行**.sys更省事（牵连就是：安装带驱动的程序无法创建驱动文件，需要临时禁用该条；好处是，下载到用户路径（包括图片、我的文档、下载、Appdata）里的程序，无法释放sys文件或读取执行sys文件）【换言之：不确定所下东东是否包含驱动，就地运行于User路径下看日志】（这一条影响软件安装以及某些安全程序比如绿色大蜘蛛的使用吧）

对于脚本小子，恶搞玩意，常见的比如改账户、敲竹杠等，觉得有必要也可以加上相应规则（实际上并不难处理，规则属于多余）
再不放心，禁止cmd.exe,cscript.exe,wscript.exe,powershell.exe执行C:\Users\**就好啦
诸如此类的问题，“神经过敏”的可以继续
一般人真没必要，本帖所列的规则基本上够了：开启规则的情况下，常见病毒（exe与scr格式）都下载不下来，后续的情况就没有了，有漏大概是批处理与脚本文件（如果是压缩包直接点进去会被拦截，解压出来确实可以运行），如有担忧，补上禁止创建**.bat与**.vbs吧，一般人只要提高警觉，看见是bat文件与vbs文件，先别忙着运行，改后缀名为txt，看看内容再说（对于压缩包内的东西，直接点进去点一下，看看弹窗信息），一般也不容易中招——都不知道是什么东西，就点击运行，这个，上当的几率当然就大了，管住手闲的毛病或许好点。

柯林

柯林 发表于 2018-6-24 09:45
一般用户就这么简单防御下，可以啦，如果经不住诱惑，非要下来双击，或许加点额外措施好点？
比如说，病毒 ...

自顶一贴，需要增强一点的，可以考虑再加几条：
1、反黑---防止远程侵入本机（system:remote）

是否对系统更新与安装软件有影响，待观察，按常理应该不会（办公用户注意该条，如果要使用远程求助，可能需要禁用该条，请观察日志）


2、拦截一点恶意脚本（两条）（net.exe, net1.exe）（\\.\pipe\samr）

防御一点敲竹杠的恶意脚本，这是一种；另一种是不是要拦截相关注册表，请有兴趣的找样本测试。

（cmd.exe, cscript.exe, wscript.exe）（shutdown.exe）

防止运行恶意关机脚本，突然关机而丢失尚未来得及保存的文件。新系统或许要补加一个powershell.exe

为了补漏，尽可能地不给病毒可乘之机，建议再加一条：禁止创建vbs文件

禁止创建vbs文件，一般不影响日常操作（包括软件的安装--很少有软件自带vbs脚本）（系统更新有无影响需要观察），可能的影响是刻录带vbs文件的光盘时，少了vbs可能影响运行，届时请临时关闭该条。
bat文件就不好拦截创建了，可能某些软件安装与卸载会释放bat文件，到时候又得把该条禁用。保持规则拦截安装只是两条★规则，这个就不加了。

ldkvfeng

柯大你到底在用哪个软件，咖啡和毛豆都更新了，支持下

柯林

ldkvfeng 发表于 2018-6-24 14:26
柯大你到底在用哪个软件，咖啡和毛豆都更新了，支持下

在用VSE+系统墙
毛豆有点拖，FD读写不分，虽然AD方面很强，综合环境，还是喜欢FD细致控制比较方便。
环境单纯，一年也遇不到几个毒，VSE足够了