本帖最后由 柯林 于 2019-4-18 09:46 编辑
【简介】默认基础上的重点拦截规则(为便于管理,集中在自定义规则里加以完成)
【环境】64位win8.1上的规则(7/8/10系统通用);vse11/12版本;系统盘C,数据盘D\E\F
【使用说明】凡是规则名称前面有【A】标志的,在安装、卸载软件、更新系统时,需要临时禁用
================ 自定义规则 ===================
1、保护D盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe, D:\Program Files\**.exe
目标:D:\**
操作:创建、写入、删除
2、保护E盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:E:\**
操作:创建、写入、删除
3、保护F盘文件
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:F:\**
操作:创建、写入、删除
以上三条,会阻挡windows更新时释放更新包到非系统盘上,后果可能会是在这些盘上留下空文件夹(咖啡是否防止文件夹创建,请测试一下,如果防止就不用管了,如果不防,可能需要这样,在排除名单里添加:C:\Windows\system32\msiexec.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe 增加以后,请在系统更新打补丁时,仔细观察日志,看是否还需要做进一步的调整)
--------------------------------------------------------------------------------
4、保护我的文档
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:C:\Users\*\Documents\**
操作:创建、写入、删除
5、保护图片库
包含:*
排除:C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe
目标:C:\Users\*\Pictures\**
操作:创建、写入、删除
6、禁止创建pif文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.pif
操作:创建
7、禁止创建bat文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.bat
操作:创建
8、禁止创建cmd文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.cmd
操作:创建
9、禁止创建scr文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.scr
操作:创建
10、禁止创建vbs文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe,C:\Windows\WinSxS\*microsoft*\TiWorker.exe
目标:**.vbs
操作:创建
11、禁止创建ps1文件
包含:*
排除:C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标:**.ps1
操作:创建
12、禁止执行回收站里的文件
包含:*
排除:
目标:?:\$RECYCLE.BIN\** (请检查win7系统与win10系统,回收站路径是否有异,这个是win8.1上的)
操作:执行
13、宏病毒防护-保护word模板
包含:*
排除:
目标:*\STARTUP\**
操作:创建、写入、执行
14、宏病毒防护-保护Excel模板
包含:*
排除:
目标:*\XLSTART\**
操作:创建、写入、执行
15、宏病毒防护-禁止修改dot模板
包含:*
排除:
目标:*\AppData\Roaming\Microsoft\Templates\*.dot*
操作:写入
16、禁止调用摄像头
包含:*
排除:explorer.exe,QQ.exe (如有日志显示须排除摄像头程序自身请添加)
目标:amcap.exe (你所用的摄像头程序路径)
操作:执行
17、禁止调用电邮程序
包含:*
排除:explorer.exe(如有日志显示须排除电邮程序自身请添加)
目标:(你所用的电邮程序,若没有特别安装,则是系统自带)
操作:执行
18、禁止执行格式化命令
包含:*
排除:
目标:format.com
操作:执行
19、防止添加用户(注意实验,看休眠唤醒或重启是否有影响)
包含:*
排除:
目标:C:\Windows\System32\config\TxR\SAM
操作:创建、写入、删除
20、14、禁止更改用户权限 (注意实验,看休眠唤醒或重启是否有影响)
包含:*
排除:
注册表,项:HKLM /SAM/SAM/*/*
操作:全部勾选
21、锁定IE主页
包含:*
排除:C:\Windows\regedit.exe,C:\Windows\system32\rundll32.exe,C:\Windows\system32\poqexec.exe
注册表,值:HKALL /Software/Microsoft/Internet Explorer/Main/Start Page
操作:创建、写入
(注意,系统更新升级IE(譬如IE9升级为IE11)时会触犯该条,需要临时禁用---第一次更新系统大量补丁时最好禁用)
22、禁止修改hosts
包含:*
排除:C:\Windows\system32\notepad.exe
目标:C:\Windows\system32\drivers\etc\hosts
操作:写入
-------------以下自定义规则涉及安装,用【A】加以标志--------------
23、【A】保护桌面文件
包含:*
排除:C:\Program Files\WinRAR\*.exe, C:\Windows\explorer.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe(要在桌面使用word等程序制作文档的,自行添加排除)
目标:C:\Users\*\Desktop\**
操作:创建、写入、删除
24、【A】禁止创建修改exe文件
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\System32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe,\??\C:\Windows\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\**.exe,C:\Program Files (x86)\Common Files\McAfee\**.exe,C:\Program Files (x86)\McAfee\**.exe
目标:**.exe
操作:创建、写入
25、【A】禁止创建修改dll文件
包含:*
排除:C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\System32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe,\??\C:\Windows\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\**.exe,C:\Program Files (x86)\Common Files\McAfee\**.exe,C:\Program Files (x86)\McAfee\**.exe
目标:**.dll
操作:创建、写入
(注意)这一条可能影响一些软件的正常应用,请根据日志调整
26、【A】禁止创建执行autoInf文件
包含:*
排除:
目标:autorun.inf
操作:创建、执行
(注意)请实际测试,看有无必要添加“禁止读取”的选项
27、【A】禁运Temp文件夹
包含:*
排除:dism.exe, frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
目标:*\Temp\**
操作:执行
28、【A】禁用脚本
包含:cmd.exe, cscript.exe, powershell.exe, wscript.exe
排除:
目标:**
操作:读取、执行
29、【A】防U盘病毒
包含:?:\*
排除:
目标:**
操作:读取、创建、写入、删除、执行
30、【A】禁止添加计划任务
包含:*
排除:svchost.exe
目标:**\Tasks\**
操作:创建
31、【A】禁止远程读写本机文件
包含:system:remote
排除:
目标:**
操作:读取、写入
32、【A】驱动与服务防护
包含:*
排除:\??\C:\Program Files**.exe, C:\Program Files (x86)\**.exe, C:\Program Files\**.exe,C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, \??\C:\Windows\system32\winlogon.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\wuauclt.exe
注册表,项:HKLM **/Services/**
操作:全选
(注意)注册表拦截服务项这一条,请先不要忙着勾选拦截,请重启机器后看看,是否有重要程序(比如某些显卡)或系统程序被拦截,看日志调整下排除名单,以免开机后死机蓝屏进不了系统。
33、【A】自动运行防护
包含:*
排除:C:\Program Files*\**.exe, C:\Windows\SoftwareDistribution\Download\install\*.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
注册表,项:HKALL /Software/Microsoft/Windows/CurrentVersion/Run**
操作:全选
(说明)注册表里,开机自动运行的项目一大堆,根本顾不过来,病毒最常用的是这一项,一般对这个监控下即可
34、【A】拦截病毒映像劫持
包含:*
排除:C:\Windows\regedit.exe, C:\Windows\system32\poqexec.exe
注册表,项: HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
操作:全选
35、【A】禁止危险程序联网
包含:cmd.exe, cscript.exe, powershell.exe, wscript.exe
排除:
端口:0-65535
方向:出站
36、【A】禁止非授权程序联网
包含:*
排除:cfservice.exe, cfworker.exe, chrome.exe, iexplore.exe, mcscript_inuse.exe, msfeedssYnc.exe, QQ.exe, QQprotect.exe, svchost.exe, system, thunder.exe, thunderplatform.exe (需要放行外连的程序名单,自己定制)
端口:0-65535
方向:出站
======= 自带规则--开启日志(建议) =======
合法授权的程序,自己安装的软件,究竟在机子上做了什么,有没有可疑或不法的举动?开启麦咖啡自带的相关规则,可以对一些敏感的动作进行监控,万一有问题,追查源头也有个依据:
1)防间谍最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB,勾取报告
2)防病毒标准保护:禁止禁用注册表编辑器和任务管理器,勾取报告
3)防病毒标准保护:禁止更改用户权限策略,勾取报告
4)防病毒最大保护:禁止更改所有文件扩展名的注册 【勾选报告】(排除名单置换为explorer.exe, poqexec.exe
5)防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件,勾取报告
5)通用标准保护:禁止安装 Browser Helper Objects 和 Shell Extensions,勾取报告
6)通用最大保护:禁止将程序注册为自动运行,勾取报告(排除名单LogonUI.exe, mmc.exe, msiexec.exe, winlogon.exe, wintdist.exe, wuauclt.exe
7)通用最大保护:禁止将程序注册为服务,勾取报告(排除名单LogonUI.exe, mmc.exe, msiexec.exe, TrustedInstaller.exe, vssvc.exe, winlogon.exe, wintdist.exe, wuauclt.exe
8)通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件,勾取报告(排除名单C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, c:\windows\system32\dism.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe
9)通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件(排除名单C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\Trustedinstaller.exe, C:\Windows\system32\poqexec.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe
======= 自带规则--强化设置(可能影响安装与更新,自己测试,嫌麻烦请保持默认)=======
1、防病毒标准保护:禁止远程创建/修改可执行文件和配置文件,勾选阻止与报告。
2、防病毒标准保护:禁止拦截 .EXE 和其他可执行文件扩展名,清空排除名单,勾选阻止与报告。
3、防病毒最大保护:保护电话簿文件免受密码和电子邮件地址窃贼的攻击,勾选阻止与报告,按日志适当调整。(嫌麻烦可以添加*\Program Files\**.exe,*\Program Files (x86)\**.exe)
4、防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击,勾选阻止与报告,按日志适当调整。(嫌麻烦可以添加*\Program Files\**.exe,*\Program Files (x86)\**.exe)
|
[复制链接]
发表于 2019-3-30 09:28:33
楼主
