【小更新】（8月5日）入口防御规则（普罗大众傻瓜型）

柯林

再次小小的整理下，择要组合，力求“全面一点”……
规则特点：一如既往的大众傻瓜型，“导入即用，与默认相若，不影响日常应用，不影响软件安装、系统补丁，能有效提高防毒能力”……

主要考虑点：针对当前勒索、毒邮件、挖矿，无文件攻击的特点，选用一些能有效阻断病毒而不影响正常软件与正常应用的点进行拦截。

【优先推荐】（兼容好，运行快）：

规则文件（注册表+文字）：
(修订）：A-06-禁止危险程序执行Appdata里的文件，目标改为?:\Users\*\AppData\**.*  才是正确的，以免误拦

==================================
按：简化规则里，在乎“U盘病毒防御”的可以加一条：


增加这么一条之后，自己想执行磁盘根目录上的程序的，请右键“以管理员身份执行”

======= 【打磨参考】=======
有动手能力的人，可以自行打磨一下，会更安全（普通用户请掠过，免得自找麻烦）

B-01-保护桌面文件，B-02-保护文档里的文件，请把排除路径 C:\Program Files (x86)\*\**.exe, C:\Program Files\*\**.exe改为具体的程序，比如你安装在Program Files里的浏览器、压缩软件、办公软件、图像处理软件
B-03-保护图片里的文件，B-04-保护音乐里的文件，同样的处理

B-05-保护重要资料，这一条，将C:\Program Files (x86)\*\**.exe, C:\Program Files\*\**.exe改为允许的程序，比如你安装在Program Files里的压缩软件，办公软件，图像、视频处理软件（比如我安装使用的软件少，排除名单用C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\mspaint.exe, C:\Windows\System32\notepad.exe, C:\Windows\System32\SnippingTool.exe,C:\Program Files (x86)\Kingsoft\WPS Office\**\et.exe,C:\Program Files (x86)\Kingsoft\WPS Office\**\wps.exe,C:\Program Files\WinRAR\WinRAR.exe就可以了）

这样处理后，安全程度会提高一大截，但麻烦随之增加。普通人用图方便、省事，就用C:\Program Files (x86)\*\**.exe, C:\Program Files\*\**.exe来通用即可。

======== 规则参考名单 ======
一、要点拦截
A-01-禁止联网黑名单
A-02-关闭远程桌面默认端口
A-03-禁止修改hosts文件
A-04-禁止映像劫持
A-05-禁止危险程序执行Temp里的文件
A-06-禁止执行用户路径下的脚本

二、文件保护
B-01-保护桌面文件
B-02-保护文档里的文件
B-03-保护图片里的文件
B-04-保护音乐里的文件
B-05-保护重要资料
B-06-保护私人文件

三、病毒木马防御
C-01-禁止风险程序调用cmd
C-02-禁止可疑脚本调用powershell
C-03-禁止浏览器等联网程序执行Temp里的文件
C-04-防压缩包带毒
C-05-防止带毒-禁止风险程序执行脚本
C-06-禁止执行Certutil
C-07-防提权-禁止执行icacls命令
C-08-防提权-禁止执行cacls命令
C-09-防定时-禁止执行计划任务命令

四、文件与位置防御
F-01-禁止创建ps1文件
F-02-禁止危险程序创建exe文件
F-03-封杀可疑scr程序
F-04-禁止执行PGDT根目录
F-05-禁止执行debug目录
F-06-禁止执行system目录
F-07-禁止执行Fonts目录
F-08-封杀桌面程序
F-09-封杀文档里的程序
F-10-封杀图片里的程序
F-11-封杀Roming根目录的程序
F-12-封杀windows根目录的程序
F-13-封杀磁盘根目录
F-14-禁止病毒在system32里创建sys文件
F-15-禁止在windows里创建bat文件
F-16-禁止在系统目录里创建vbs文件
F-17-禁止在windows里创建二进制病毒

五、命令行防御
H-301-卷影保护禁止执行wmic
H-302-卷影保护禁止执行wbadmin
H-303-卷影保护禁止执行bcdedit
H-304-卷影保护禁止执行vssadmin
H-305-禁止执行格式化命令

六、补充防御
K-501-宏病毒防御
K-502-宏病毒防御
K-503-禁止启动项
R-01-禁止远程执行cmd
R-02-禁止远程执行wmi
S-01-防止病毒随windowsNT载入
S-02-拦截病毒设置dll插入
S-03-禁止插入恶意dll
S-04-防止病毒添加Run启动
S-05-禁止更改隐藏属性
S-06-禁止拦截显示隐藏文件

七、可选规则
摄像头保护
CAD病毒防御

八、VSE自带部分规则的启用

kevin9718

这个规则与反打7-2规则，哪个更适合小白使用啊？

柯林

kevin9718 发表于 2021-7-22 20:35
这个规则与反打7-2规则，哪个更适合小白使用啊？

本质上是一样的，用哪个都行！
这个要点防御，相当于是反打规则的强化版，升级版（参看1楼的规则名单）

反打已经验证过，使用没什么问题
这个新出的，增加了一些东西，可用性需要经过一段时间验证（如果实证有个别确实影响日常应用的，将修改或删除，估计应该是没多少修改的……待时间验证）

sdtzsf

柯林 发表于 2021-7-22 21:47
本质上是一样的，用哪个都行！
这个要点防御，相当于是反打规则的强化版，升级版（参看1楼的规则名单）
...

WINDOWS11 64位，同样适用吗？

柯林

sdtzsf 发表于 2021-7-22 21:58
WINDOWS11 64位，同样适用吗？

不知道vse对win11的支持度如何，以及是否会有一些改变，可以试试，但估计不是太好吧

wubaocan

支持柯林大哥！

wubaocan

最近电脑重新做了系统，换了十几款国外杀毒软件，做了简单的测试。感觉最强大的还是卡巴斯基，最流畅的只有VSE（配合柯林大哥的规则完美）,ESET没以前好用了，小红伞也还行吧。别的杀毒软件都有一些问题，不适合长时间使用。

paul_guo

我ESET到期之后用VSE了，但不想折腾规则，就当扫描器用了

xyzjzlf

柯大造福小白，功德无量！

柯林

规则已放出，需要的自行导入使用
这是1.0版本，后续若有更改（修正、小调整）再更新，没问题就不动了

ps：这是真正“傻瓜万能型”，导入即可使用，除了“保护私人文件”这一条设置的压缩软件是winrar需要略微调整（用的其它压缩软件的自己改下，不改也能用），其它无须折腾，一次导入，即可终身使用