搜索
查看: 2119|回复: 20
收起左侧

[其他相关] 入口增强型防御规则(文字版)(初稿)

  [复制链接]
柯林
发表于 2019-3-30 09:28:33 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2019-4-18 09:46 编辑

【简介】默认基础上的重点拦截规则(为便于管理,集中在自定义规则里加以完成)

【环境】64位win8.1上的规则(7/8/10系统通用);vse11/12版本;系统盘C,数据盘D\E\F

【使用说明】凡是规则名称前面有【A】标志的,在安装、卸载软件、更新系统时,需要临时禁用

================ 自定义规则 ===================

1、保护D盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe, D:\Program Files\**.exe
目标:D:\**
操作:创建、写入、删除

2、保护E盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:E:\**
操作:创建、写入、删除

3、保护F盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:F:\**
操作:创建、写入、删除

以上三条,会阻挡windows更新时释放更新包到非系统盘上,后果可能会是在这些盘上留下空文件夹(咖啡是否防止文件夹创建,请测试一下,如果防止就不用管了,如果不防,可能需要这样,在排除名单里添加:C:\Windows\system32\msiexec.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe   增加以后,请在系统更新打补丁时,仔细观察日志,看是否还需要做进一步的调整)
--------------------------------------------------------------------------------
4、保护我的文档
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:C:\Users\*\Documents\**
操作:创建、写入、删除

5、保护图片库
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:C:\Users\*\Pictures\**
操作:创建、写入、删除

6、禁止创建pif文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.pif
操作:创建

7、禁止创建bat文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.bat
操作:创建

8、禁止创建cmd文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.cmd
操作:创建

9、禁止创建scr文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.scr
操作:创建

10、禁止创建vbs文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe,C:\Windows\WinSxS\*microsoft*\TiWorker.exe
目标:**.vbs
操作:创建

11、禁止创建ps1文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.ps1
操作:创建

12、禁止执行回收站里的文件
包含:*
排除:
目标:?:\$RECYCLE.BIN\**  (请检查win7系统与win10系统,回收站路径是否有异,这个是win8.1上的)
操作:执行

13、宏病毒防护-保护word模板
包含:*
排除:
目标:*\STARTUP\**
操作:创建、写入、执行

14、宏病毒防护-保护Excel模板
包含:*
排除:
目标:*\XLSTART\**
操作:创建、写入、执行

15、宏病毒防护-禁止修改dot模板
包含:*
排除:
目标:*\AppData\Roaming\Microsoft\Templates\*.dot*
操作:写入

16、禁止调用摄像头
包含:*
排除:explorer.exe,QQ.exe (如有日志显示须排除摄像头程序自身请添加)
目标:amcap.exe (你所用的摄像头程序路径)
操作:执行

17、禁止调用电邮程序
包含:*
排除:explorer.exe(如有日志显示须排除电邮程序自身请添加)
目标:(你所用的电邮程序,若没有特别安装,则是系统自带)
操作:执行

18、禁止执行格式化命令
包含:*
排除:
目标:format.com
操作:执行

19、防止添加用户(注意实验,看休眠唤醒或重启是否有影响)
包含:*
排除:
目标:C:\Windows\System32\config\TxR\SAM
操作:创建、写入、删除

20、14、禁止更改用户权限 (注意实验,看休眠唤醒或重启是否有影响)
包含:*
排除:
注册表,项:HKLM    /SAM/SAM/*/*
操作:全部勾选

21、锁定IE主页
包含:*
排除:C:\Windows\regedit.exe,C:\Windows\system32\rundll32.exe,C:\Windows\system32\poqexec.exe
注册表,值:HKALL  /Software/Microsoft/Internet Explorer/Main/Start Page
操作:创建、写入
(注意,系统更新升级IE(譬如IE9升级为IE11)时会触犯该条,需要临时禁用---第一次更新系统大量补丁时最好禁用)

22、禁止修改hosts
包含:*
排除:C:\Windows\system32\notepad.exe
目标:C:\Windows\system32\drivers\etc\hosts
操作:写入

-------------以下自定义规则涉及安装,用【A】加以标志--------------

23、【A】保护桌面文件
包含:*
排除:C:\Program Files\WinRAR\*.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe(要在桌面使用word等程序制作文档的,自行添加排除)
目标:C:\Users\*\Desktop\**
操作:创建、写入、删除

24、【A】禁止创建修改exe文件
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\System32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe,\??\C:\Windows\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\**.exe,C:\Program Files (x86)\Common Files\McAfee\**.exe,C:\Program Files (x86)\McAfee\**.exe
目标:**.exe
操作:创建、写入

25、【A】禁止创建修改dll文件
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\System32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe,\??\C:\Windows\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\**.exe,C:\Program Files (x86)\Common Files\McAfee\**.exe,C:\Program Files (x86)\McAfee\**.exe
目标:**.dll
操作:创建、写入
(注意)这一条可能影响一些软件的正常应用,请根据日志调整

26、【A】禁止创建执行autoInf文件
包含:*
排除:
目标:autorun.inf
操作:创建、执行
(注意)请实际测试,看有无必要添加“禁止读取”的选项

27、【A】禁运Temp文件夹
包含:*
排除:dism.exe, frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
目标:*\Temp\**
操作:执行

28、【A】禁用脚本
包含:cmd.exe, cscript.exe, powershell.exe, wscript.exe
排除:
目标:**
操作:读取、执行

29、【A】防U盘病毒
包含:?:\*
排除:
目标:**
操作:读取、创建、写入、删除、执行

30、【A】禁止添加计划任务
包含:*
排除:svchost.exe
目标:**\Tasks\**
操作:创建

31、【A】禁止远程读写本机文件
包含:system:remote
排除:
目标:**
操作:读取、写入

32、【A】驱动与服务防护
包含:*
排除:\??\C:\Program Files**.exe, C:\Program Files (x86)\**.exe, C:\Program Files\**.exe,C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, \??\C:\Windows\system32\winlogon.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\wuauclt.exe
注册表,项:HKLM  **/Services/**
操作:全选
(注意)注册表拦截服务项这一条,请先不要忙着勾选拦截,请重启机器后看看,是否有重要程序(比如某些显卡)或系统程序被拦截,看日志调整下排除名单,以免开机后死机蓝屏进不了系统。

33、【A】自动运行防护
包含:*
排除:C:\Program Files*\**.exe, C:\Windows\SoftwareDistribution\Download\install\*.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
注册表,项:HKALL  /Software/Microsoft/Windows/CurrentVersion/Run**
操作:全选
(说明)注册表里,开机自动运行的项目一大堆,根本顾不过来,病毒最常用的是这一项,一般对这个监控下即可

34、【A】拦截病毒映像劫持
包含:*
排除:C:\Windows\regedit.exe, C:\Windows\system32\poqexec.exe
注册表,项:  HKLM    /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
操作:全选

35、【A】禁止危险程序联网
包含:cmd.exe, cscript.exe, powershell.exe, wscript.exe
排除:
端口:0-65535
方向:出站

36、【A】禁止非授权程序联网
包含:*
排除:cfservice.exe, cfworker.exe, chrome.exe, iexplore.exe, mcscript_inuse.exe, msfeedssYnc.exe, QQ.exe, QQprotect.exe, svchost.exe, system, thunder.exe, thunderplatform.exe (需要放行外连的程序名单,自己定制)
端口:0-65535
方向:出站


======= 自带规则--开启日志(建议) =======
合法授权的程序,自己安装的软件,究竟在机子上做了什么,有没有可疑或不法的举动?开启麦咖啡自带的相关规则,可以对一些敏感的动作进行监控,万一有问题,追查源头也有个依据:

1)防间谍最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB,勾取报告
2)防病毒标准保护:禁止禁用注册表编辑器和任务管理器,勾取报告
3)防病毒标准保护:禁止更改用户权限策略,勾取报告
4)防病毒最大保护:禁止更改所有文件扩展名的注册 【勾选报告】(排除名单置换为explorer.exe, poqexec.exe
5)防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件,勾取报告
5)通用标准保护:禁止安装 Browser Helper Objects 和 Shell Extensions,勾取报告
6)通用最大保护:禁止将程序注册为自动运行,勾取报告(排除名单LogonUI.exe, mmc.exe, msiexec.exe, winlogon.exe, wintdist.exe, wuauclt.exe
7)通用最大保护:禁止将程序注册为服务,勾取报告(排除名单LogonUI.exe, mmc.exe, msiexec.exe, TrustedInstaller.exe, vssvc.exe, winlogon.exe, wintdist.exe, wuauclt.exe
8)通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件,勾取报告(排除名单C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe
9)通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件(排除名单C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\Trustedinstaller.exe, C:\Windows\system32\poqexec.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe

======= 自带规则--强化设置(可能影响安装与更新,自己测试,嫌麻烦请保持默认)=======

1、防病毒标准保护:禁止远程创建/修改可执行文件和配置文件,勾选阻止与报告。
2、防病毒标准保护:禁止拦截 .EXE 和其他可执行文件扩展名,清空排除名单,勾选阻止与报告。
3、防病毒最大保护:保护电话簿文件免受密码和电子邮件地址窃贼的攻击,勾选阻止与报告,按日志适当调整。(嫌麻烦可以添加*\Program Files\**.exe,*\Program Files (x86)\**.exe)
4、防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击,勾选阻止与报告,按日志适当调整。(嫌麻烦可以添加*\Program Files\**.exe,*\Program Files (x86)\**.exe)






评分

参与人数 3人气 +11 收起 理由
猫大叔 + 8 版区有你更精彩: )
HEMM + 1 看不懂请重写一遍~
l10x + 2

查看全部评分

yylzzx
发表于 2019-3-30 11:27:30 | 显示全部楼层
感谢,这么好的教程
hui24681031
发表于 2019-4-1 16:58:27 | 显示全部楼层
MES 基本通用吧
柯林
 楼主| 发表于 2019-4-1 17:25:57 | 显示全部楼层

vse与mes都可以用的,根据喜好,选择性的使用吧---能够方便而又有效最好,太复杂了,用着不方便。
holywinking
发表于 2019-4-2 10:47:17 | 显示全部楼层
看起来很强大
ldkvfeng
发表于 2019-4-2 20:23:15 | 显示全部楼层
柯大上个帖子还是终版,还是有颗折腾的心a
柯林
 楼主| 发表于 2019-4-2 20:51:52 | 显示全部楼层
本帖最后由 柯林 于 2019-4-3 08:25 编辑
ldkvfeng 发表于 2019-4-2 20:23
柯大上个帖子还是终版,还是有颗折腾的心a

先立个文字版,等哪下有时间整理下(估计暂时没时间弄,很快又潜水忙得一阵了)

算是一个总结贴吧(这贴虽然全面,但是比较麻烦了。喜欢的可以根据需要选择一些来用)

daerer
发表于 2019-4-3 17:01:47 | 显示全部楼层
继续学习 累死
xfct
发表于 2019-4-3 18:11:44 | 显示全部楼层
哇,好久没有版块里这样的营养贴了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-15 14:10 , Processed in 0.057419 second(s), 10 queries , MemCache On.

快速回复 返回顶部 返回列表