comodo的hips和防火墙规则请教

显示全部楼层 · 发表于 2019-4-30 19:54:07

保存第三方软件在保存、打开文件时弹出的文件浏览的对话框会卡顿。在日志里面找不到相关记录，就算把这个软件标记成信任也还是卡
chrome经常访问1900端口，还有svchost经常访问443端口。怎么判断要不要让它们通过还是拦
office365的防火墙规则怎么设置？看到有一些访问非微软的ip的日志，觉得无法理解为什么会访问那些地址

显示全部楼层 · 发表于 2019-5-1 09:25:48

本帖最后由 BBCALL 于 2019-5-1 09:28 编辑

放第三个的关机规则之前不确定会不会无法关机。加规则的原意是想让关机顺畅，结果还是卡了。也许不要这个规则关机反而更顺利？

排除优先权高于行为，但如行为与排除属同一方向，则不理排除，行为规则优先，如行为与排除非属同一方向，则排除最大。这样设定，理论上反而由于需要多一步逻辑判断，计算机会慢一步，当然，实际上，使用者感觉不出来。

显示全部楼层 · 发表于 2019-4-30 20:11:11

本帖最后由 paink 于 2019-4-30 20:55 编辑

1. 没看懂：

保存第三方软件在保存、打开文件时弹出的文件浏览的对话框会卡顿。

2. chrome是浏览器，保留80、443端口，（直接套用默认的网页浏览器的规则就行了），chrome多余的日志不用搭理，或者直接把默认的这条浏览器规则改成不记录日志。

关于svchost，这是系统服务的主机/代;理程序，去看看它代}理了哪些服务就行了，针对这些服务进行配置。

3. 不用office365，所以防火墙怎么设不清楚了。我用的libreoffice，只保留80、443到更新主机的连接（其实直接封了也没什么，我都是手动下载软件包。）

显示全部楼层 · 发表于 2019-4-30 20:44:07

paink 发表于 2019-4-30 20:11
1. 没看懂：
2. chrome是浏览器，保留80、443端口，（直接套用默认的网页浏览器的规则就行了），chrome多 ...

感谢回复

第一个问题更新了一下：
第三方软件比如浏览器、下载软件在保存、打开文件时，弹出的文件浏览对话框会卡顿，就是空白，几秒钟以后才显示盘符、文件夹。
在日志里面找不到相关记录，就算把这个软件标记成信任也还是卡

显示全部楼层 · 发表于 2019-4-30 20:55:14

本帖最后由 paink 于 2019-4-30 21:25 编辑

注册个用户名发表于 2019-4-30 20:44
感谢回复

第一个问题更新了一下：

没日志的话没法聊啊，
一般这个使用情境会涉及到：
访问对资源管理器的com接口、钩子，
访问explorer内存、加载dwmapi.dll钩子，（这两条是调用访问explorer的程序的规则）
加载盘符文件夹时的文件设备对象（就是\Device\什么的，这应该属于explorer的规则）

显示全部楼层 · 发表于 2019-4-30 21:08:24

本帖最后由 HEMM 于 2019-4-30 21:10 编辑

https://bbs.kafan.cn/thread-2145609-1-1.html
柯姐的名言，可参考，我记得我以前也截图过设置方法，我完全忘记那个帖子的存在了，只记得有那么回事。
柯姐和另一位.....嗯.....姐姐出了相关的教程，
完蛋！我还没到80岁为什么什么都记不起来了........平时练遗忘大法，练成了估计.......

总之按照柯姐的方法设置这个什么叫做svchost.exe，只因为这个帖子就在第一页面，一眼我就看到了，其余的没看到的我就想不起来= =

显示全部楼层 · 发表于 2019-4-30 21:08:26

本帖最后由注册个用户名于 2019-4-30 23:48 编辑

paink 发表于 2019-4-30 20:55
没日志的话没法聊啊，
一般这个使用情境会涉及到资源管理器的com接口、钩子，加载盘符文件夹时的文件设 ...

这是我的资源管理器的hips规则，哪里改一下可以解决问题呢？

这样设置应该是允许所有软件访问资源管理器？

第三个是防止无法关机的
放这个关机规则之前不确定会不会无法关机。加规则的原意是想让关机顺利、不卡
结果关机还是卡了，但是没有出现完全无法关机的问题。
也许不要这个规则关机反而更顺利？

显示全部楼层 · 发表于 2019-4-30 21:25:20

注册个用户名发表于 2019-4-30 21:08
这是我的资源管理器的hips规则，哪里改一下可以解决问题呢？

嗯......似乎添加到错误的位置了耶......
更何况你添加的是允许的COM接口，也就是允许的意思，添加到阻止才是阻止。
例如这样

我只是举个例子啊....可别照我的做，我是疯的，规则也疯。

显示全部楼层 · 发表于 2019-4-30 21:27:25

本帖最后由 paink 于 2019-4-30 21:31 编辑

注册个用户名发表于 2019-4-30 21:08
这是我的资源管理器的hips规则，哪里改一下可以解决问题呢？

我更新了4楼，你再检查一下。这里有问题的应该不是explorer。

hips没有日志是大问题。（hips不像防火墙，是不能设置不记录日志的）。

所以你的豆子可能已经被你玩坏了。

检查“一般设置”--“日志”--“写入本地日志文件数据库（comodo格式）”，最好勾选上。

显示全部楼层 · 发表于 2019-4-30 21:31:34

HEMM 发表于 2019-4-30 21:25
嗯......似乎添加到错误的位置了耶......
更何况你添加的是允许的COM接口，也就是允许的意思，添 ...

你说的是第三个图吧，那是为了防止无法关机，所以允许那些
这是网上找的规则，不知道对不对

显示全部楼层 · 发表于 2019-4-30 21:35:59

paink 发表于 2019-4-30 20:55
没日志的话没法聊啊，
一般这个使用情境会涉及到：
访问对资源管理器的com接口、钩子，

我非常赞同

，因为以前是显示过dwmapi的hips询问信息，后来导入了一个规则配置以后就不出现了
我再去检查看看

[规则] comodo的hips和防火墙规则请教

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源