COMODO12防火墙与HIPS规则(全局拦截 白名单制度)

TTOR

操作系统：Windows 10 21H1 专业工作站版
COMODO防火墙版本： V12.2.2.8012(时间戳:2021.1.23)

本规则类似路由器白名单制度，全局拦截，仅允许白名单内的应用程序连接网络

防火墙自动拦截所有不在白名单内的任何应用联网，包括Windows及COMODO。

规则排序：



说明：为避免自己设定的规则造成系统运行不正常，建议在打磨规则之前，先按需求激活COMODO其中任意一个配置，然后导出该配置（命名A），然后再导入配置A并激活，然后再打磨。

1. 【系统】组是COMODO自动生成的规则，也可以删除，用System进程替代。

2. 【SKETCHUP】组是本机安装的3D软件，因为该软件的渲染插件需要联网才能运行，但我不需要它连接外网，所以限制"仅连接环回区" 。

3. 【浏览器联网】组只允许浏览器主程序联网，比如msedge.exe、chrome.exe。
     个人经验：浏览器(Edge、Chrome、Brave)可删除主程序以外的所有exe文件，不影响使用，而且更顺畅。

4. 【联网软件】组内的软件联网无任何限制。

5. 【SVCHOST】组限制操作系统关键进程svchost.exe按规则连接网络，防止流氓软件调用该进程连接外网。

6. 【Windows Operating System】是系统关键进程，但无需连接网络，当然也可以删除该规则。

7. 【所有应用程序】自动拦截所有不在白名单的应用联网，无论是Windows程序还是COMODO本身，不在白名单内也同样被拦截。

8.  由于自动拦截在后台运行，所以防火墙不会有弹窗，类似老流氓搜狗输入法这样的夹带私货弹窗广告也被自动拦截。

实践证明：某些号称能穿透防火墙的大牌远程软件在此规则下无法发挥作用。

具体设置如图：










补充：
如果不手动设置DNS服务器，开机后如果不运行任何联网软件，系统任务栏网络图标会显示叹号或无网络状态(如下图)，此网络状态不影响局域网共享。


效果如图：





HIPS部分：
HIPS自动阻止所有非白名单内的应用自动运行或使之运行出错。

白名单目录：C盘(系统盘，不含用户目录)、D:\Program Files (办公软件安装目录)

1. 用户目录（我的文档、桌面、下载、收藏夹、图片等等）移动到其它分区(比如E盘)，置于白名单之外，防止病毒自动运行。

2. 本规则理论上Windows杀软会先于COMODO执行操作，所以杀软发现病毒后会首先执行，而不是被COMODO首先阻止，如果杀软无法识别病毒，病毒逃过了杀软的检测，但最终还是被COMODO阻止运行。

3. “被保护对象”项目中的"被拦截的文件"拦截pif、Zone.Identifier、Thumbs.db、autorun.inf类型文件，如果在解压压缩包时提示有XXX错误，可能是该压缩包含有以上类型文件，选择继续即可，或者是把该类型文件移出拦截名单再解压。

4.  本机系统是windows+Comodo+Shadow Defender组合，C、D盘处于影子状态，所有的改动在重启电脑后恢复原状，所以无需启用COMODO沙盒功能。

5. 临时文件目录C:\Users\用户\AppData\Local\Temp 不在白名单内，安装软件时再临时加入白名单。

6. 如果针对Tencent软件制定有规则，该规则包含Tencent的所有目录，为防止QQ或微信接收的含有病毒的文件运行，建立一个组，将文件接收目录加入组中，然后在HIPS规则中全局阻止该目录，并在排序时把该组置于Tencent组之上，Tencent接收文件目录通常是：
   X:\X\Documents\Tencent Files\*\FileRecv\*         (QQ)
   X:\X\Documents\Tencent Files\*\Image\*            (QQ)
   X:\X\Documents\Tencent Files\*\Audio\*             (QQ)
   X:\X\Documents\Tencent Files\*\Video\*             (QQ)
   X:\X\Documents\WeChat Files\*\FileStorage\*    (微信)
如图：


7. 非白名单目录下的软件无法运行安装程序或者安装出错(数字签名受COMODO信任的软件除外)，也无法自动运行，但非白名单目录下的文件修改或存储不受影响。

8. 白名单目录D:\Program Files拥有足够权限，所以在该目录下安装软件时HIPS不会有弹窗，但释放到临时目录C:\Users\用户\AppData\Local\Temp下的文件运行时会有弹窗。

9. 本规则没有设置打印机、远程桌面或远程协助或其它外接设备规则，所以默认无法连接，如要连接，把程序加入防火墙白名单即可。
C:\Windows\System32\msra.exe （远程协助）
C:\Windows\System32\mstsc.exe （远程桌面）
C:\Windows\System32\spoolsv.exe （打印机）






由于非白名单目录所有执行权限已被阻止，所以安装软件会报错（无写入权限）：


临时文件目录C:\Users\用户\AppData\Local\Temp安装程序被阻止：


浏览器后台安装插件时被阻止：


电脑桌面（处于非白名单）运行BAT文件时被阻止：


或者是这种样子(无调用Windows Install安装程序权限)：


COMODO资源占用：


局域网环境配置下载，此规则开放共享端口，防火墙与HIPS全局拦截开放白名单，全局保护
当把System进程的防火墙规则改为“禁止联网”时，本机变成单机状态无法与局域网其它电脑共享及连接，但网络组播仍有连接：


单机环境配置下载，防火墙与HIPS全局拦截开放白名单，全局保护：


单机环境配置下载，仅防火墙全局拦截开放白名单, HIPS没有全局阻止。

太古汇聚

可否分享一下规则文件，感谢

秘书

还是需要自己打磨的~

TTOR

太古汇聚 发表于 2021-11-1 20:47
可否分享一下规则文件，感谢

已提供下载，经过测试，操作系统版本不一样，导入其他版本操作系统生成的配置文件可能会出现各种莫名其妙的错误，你试一下看看吧。

太古汇聚

TTOR 发表于 2021-11-2 17:05
已提供下载，经过测试，操作系统版本不一样，导入其他版本操作系统生成的配置文件可能会出现各种莫名其妙 ...

谢谢分享

huanwoheshan

铁桶规则，非常厉害！即使无意中下载了木马，木马也干瞪眼。

yuanyuan584121

感谢分享，很不错

pdd33

不错不错，终于有这么牛逼的教程了，感谢分享