本帖最后由 柯林 于 2018-10-5 21:49 编辑
其实win8以上很方便了,不满意重置windows就可以,随时都能保持纯净。
-----------------------------------------------------------------------
更新下第一图吧,基本防御还是“到位”才行,U盘什么的无所谓:
--------- 文字规则补上---------
1、文件保护【防勒索与盗窃】
保护资料夹【防勒索与盗窃】
包含*
排除C:\Windows\explorer.exe,C:\Windows\system32\notepad.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Windows\system32\dllhost.exe
目标E:\ABS\**
写,删
保护私人文件【防勒索与盗窃】
包含*
排除C:\Windows\explorer.exe,C:\Windows\system32\notepad.exe,C:\Program Files\WinRAR\WinRAR.exe(根据自己所用软件,谨慎添加排除,例如office软件)
目标F:\SRS\**
读,建,写,删
(这两条要保护的目标文件夹,请根据自己实情修改,排除名单自己修订。需要保护更多目录可照葫芦画瓢)
-------------------------------------------
2、禁止产生新的scr文件【防勒索】
包含*
排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标*.scr
建
---------------------------------------------
3、禁止执行用户Temp里的文件【安装拦截】
包含*
排除dism.exe, frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
目标*\AppData\Local\Temp\**
执行
(这一条影响很多程序的安装、卸载,如果要安装卸载软件,请临时禁用该条)
---------------------------------------------------
4、禁止执行我的文档里的文件【防勒索】
包含*
目标?:\Users\*\Documents\**.exe
执行
----------------------------------------------------
8、锁定主页【防流氓】
包含*
排除C:\Windows\regedit.exe,C:\Windows\system32\rundll32.exe
目标HKCU /Software/Microsoft/Internet Explorer/Main/Start Page 值
全部打勾
(新装系统第一次大量补丁更新,建议临时禁用该条,因为系统升级为IE11时会触犯该条)
----------------------------------------------------------------------------------------
9、全局防御:禁止不明程序联网【管住外出,入内有windows防火墙】
禁止不明程序联网【防马】
包含*
排除360se.exe, chrome.exe, iexplore.exe, kwmusic.exe, kwservice.exe, McScript_InUse.exe, QQ.exe, QQprotect.exe, svchost.exe, system, Thunder.exe, ThunderPlatform.exe
目标端口0-65535,出
注意:需要让它上网的程序,需要添加在这里排除,否则上不了网(可以参看日志排除)【需要在线联网安装,临时禁用该条】在线安装,可临时禁用该条
------------------------------------------------------------------
10、全局防御:禁止建写exe文件【总开关】
包含*
排除???setup.exe, ??setup.exe, ?setup.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup*.exe, setup.exe, setupre.exe, SPINSTALL.EXE, spuninst.exe, uninstall.exe, update.exe, updater.exe, \??\C:\Windows\system32\winlogon.exe, _ins*._mp
目标*.exe
建、写
(这一条影响所有软件的更新、安装、卸载;如果要安装、卸载软件,请临时禁用;大多数系统补丁不受影响,如果是第一次更新系统打上百个补丁,建议临时禁用该条,以免更新失败,回滚费时)
===========================================================
11、禁止调用摄像头(可选)
包含*
排除(授权程序
目标(摄像头程序
执行
小结:很简单的重点入口盯防,调整设置全部在自定义规则里,临时禁用两条即可安装、卸载软件,平时开着,一般的流氓软件是安装不上的。配合windows防火墙用(外网用户,windows防火墙里入站规则阻止23,135,137,139,445,3389这些TCP高危端口,效果更好)不错。
=================================
补充下U盘防御,对于学校或打印店之类经常使用U盘,容易中老病毒的,可能还得再补充下,上面的规则拦了scr和exe,没有拦脚本,可以考虑加两条:一是禁止U盘上的程序执行任何操作(可以在包括里面添加多个U盘路径);二是禁止脚本解释器(常见的三大个)执行U盘上的文件;一般加上这两条就OK了(附带问题会不会导致U盘PE系统不能用,没测试过,暂时未知)
需要现成文件的(64位系统)请拿:
更正一下:如果是win8.1或者win10第一次初装系统后更新,可能需要在第9条与第10条里排除TiWorker.exe这个系统更新相关的东东,否则CPU占用居高不下,且很难下载到更新文件。 |
发表于 2018-7-17 08:51:25
,简单省心的才好
楼主