搜索
楼主: 柯林
收起左侧

[其他相关] 入口增强型防御规则(文字版)(初稿)

  [复制链接]
ldkvfeng
发表于 2019-4-3 20:14:10 | 显示全部楼层
柯林 发表于 2019-4-2 20:51
先立个文字版,等哪下有时间整理下(估计暂时没时间弄,很快又潜水忙得一阵了)

算是一个总结贴吧(这 ...

再用你的终结版了,比较适合我,家用服务器,安装软件简单,一般没人动,省心方便
柯林
 楼主| 发表于 2019-4-3 21:44:38 | 显示全部楼层
ldkvfeng 发表于 2019-4-3 20:14
再用你的终结版了,比较适合我,家用服务器,安装软件简单,一般没人动,省心方便

服务器的话,有些目录和文件需要专门保护吧,找找看相关帖子,有服务器设置规则可以参考的,我的只是个人家用机的设置。

这个东西不知道效果如何:http://www.jisuxz.com/down/32159.html
猫大叔
发表于 2019-4-4 00:26:43 | 显示全部楼层
深夜支持下~
柯林
 楼主| 发表于 2019-4-4 16:35:08 | 显示全部楼层
本帖最后由 柯林 于 2019-4-4 16:39 编辑

补一个断网规则21条吧---为局域网或家用不联网的计算机特制
==================断网计算机最佳防毒规则==============

VSE默认-标准防护,增加以下设置:

1、防间谍最大保护:禁止所有程序从 Temp 文件夹运行文件,勾选阻止与报告

2、防病毒标准保护:禁止远程创建/修改可执行文件和配置文件,勾选阻止与报告

3、防病毒标准保护:禁止拦截 .EXE 和其他可执行文件扩展名,勾选阻止与报告,清空排除名单

4、防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件,勾选阻止与报告

5、防病毒爆发控制:将所有共享项设为只读,勾选阻止与报告

6、通用最大保护:禁止将程序注册为自动运行,勾选阻止与报告,清空排除名单

7、通用最大保护:禁止将程序注册为服务,勾选阻止与报告,排除名单替换为LogonUI.exe, mmc.exe, msiexec.exe, TrustedInstaller.exe, vssvc.exe, winlogon.exe, wintdist.exe, wuauclt.exe

8、通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件,勾选阻止与报告,排除名单替换为C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe

9、通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件,勾选阻止与报告,排除名单替换为C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\Trustedinstaller.exe, C:\Windows\system32\poqexec.exe, FrameworkService.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe

----------------新添自定义规则6条---------------------

1、规则名称:万物杀-文件
要包含的进程:*.*
要排除的进程:C:\Windows\**,C:\Program Files\**,\??\C:\Windows\system32\**,\??\C:\Program Files\**(如果是64位系统,加上C:\Program Files (x86)\**,\??\C:\Program Files (x86)\**)
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、创建、写入、删除、执行
(注意,如果你把QQ之类的下载目录设定在安装目录下(实际位于Program Files里),就漏在了排除名单里,请改成“设置在我的文档里),话说局域网还能不能用QQ,我不知道,如果能用,理论上就有这漏洞)

2、规则名称:万物杀-注册表
要包含的进程:*.*
要排除的进程:C:\Windows\**,C:\Program Files\**,\??\C:\Windows\system32\**,\??\C:\Program Files\**(如果是64位系统,加上C:\Program Files (x86)\**,\??\C:\Program Files (x86)\**)
要保护的注册表项或注册表值: 项   HKALL   /**
要阻止的注册表操作:写入、创建、删除

3、规则名称:禁用脚本
要包含的进程:cmd.exe, cscript.exe, powershell.exe, wscript.exe
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、执行

4、规则名称:禁用msi
要包含的进程:msiexec.exe
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、执行

5、规则名称:禁止autorun
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:autorun.inf
要禁止的文件操作:读取、创建、执行

6、规则名称:禁止禁止创建修改exe文件
要包含的进程:*
要排除的进程:C:\Windows\explorer.exe,C:\Windows\Microsoft.NET\Framework**.exe,C:\Windows\system32\dllhost.exe,C:\Windows\system32\LogonUI.exe,C:\windows\system32\MRT.exe,C:\Windows\system32\msiexec.exe,C:\Windows\system32\wininit.exe,\??\C:\Windows\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\**.exe,C:\Program Files (x86)\Common Files\McAfee\**.exe,C:\Program Files (x86)\McAfee\**.exe
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:创建、写入

既然断网(不联接互联网),系统更新什么的都不考虑,在保证机子干净(不确定的话,绿色大蜘蛛、360急救箱什么的全盘扫一遍再说)的情况下,使用以上设置,基本可以做到“百毒不侵”。
注意:这套方案没有考虑资料保护,在机子干净(没有勒索或恶意病毒混杂在windows目录及 Program Files目录里)的情况下,外来的病毒无处落脚,根本进不了计算机,自然无须考虑资料数据被恶意修改的问题。

----------------- 再加六条则无敌了 -------------------

7、规则名称:禁止创建scr文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.scr
要禁止的文件操作:创建

8、规则名称:禁止创建bat文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.bat
要禁止的文件操作:创建

9、规则名称:禁止创建vbs文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vbs
要禁止的文件操作:创建

10、规则名称:宏病毒防护-保护word模板
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*\STARTUP\**
要禁止的文件操作:创建、写入、执行

11、规则名称:宏病毒防护-保护Excel模板
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*\XLSTART\**
要禁止的文件操作:创建、写入、执行

12、规则名称:宏病毒防护-禁止修改dot模板
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*\AppData\Roaming\Microsoft\Templates\*.dot*
要禁止的文件操作:写入

既然断网(不联接互联网),系统更新什么的都不考虑,在保证机子干净(不确定的话,绿色大蜘蛛、360急救箱什么的全盘扫一遍再说)的情况下,使用以上设置,基本可以做到“百毒不侵”。
注意:这套方案没有考虑资料保护,在机子干净(没有勒索或恶意病毒混杂在windows目录及 Program Files目录里)的情况下,外来的病毒无处落脚,根本进不了计算机,自然无须考虑资料数据被恶意修改的问题。



ldkvfeng
发表于 2019-4-4 20:52:57 | 显示全部楼层
柯林 发表于 2019-4-3 21:44
服务器的话,有些目录和文件需要专门保护吧,找找看相关帖子,有服务器设置规则可以参考的,我的只是个人 ...

谢谢柯大!
zhubo393
发表于 2019-4-5 12:54:57 | 显示全部楼层
感谢分享
zgj_lz
发表于 2019-4-9 07:24:54 | 显示全部楼层
正需要。
wfl5201314
发表于 2019-5-4 18:04:48 | 显示全部楼层
感谢楼主,正在学习
野小子SAS
发表于 2019-6-20 15:38:18 | 显示全部楼层
过来学习了
fase卡
发表于 2019-6-21 11:38:32 | 显示全部楼层
这个帖子很精华,学习收藏了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-16 19:08 , Processed in 0.032044 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表