本帖最后由 柯林 于 2022-3-13 13:13 编辑
正常应该不会卡,卡的话,可能是冲突了,或者系统是不是缺少什么文件?把那些常用的运行库都装了看看
规则这个看各人取舍了——需要严就上严的,只须一般就上普通的,适合自己就好。
一套成熟可用的规则,都需要时间打磨,没打磨好之前,弹窗太多,都很难用……
建议先根据自己的需要,把想要防御与排除的,用记事本拟定好,再逐一抄入规则里定制,然后调整打磨。
============= 普通适度规则 =============
HIPS要防到位,必然影响系统更新与软件安装。所以可以考虑:日常防护开HIPS,用适度规则;需要更新系统与安装软件,切换到沙盘模式,这样可能比较好。要一套规则就搞定防护与安装,比较麻烦,没时间就放弃。
【普通适度规则】:个人意见,遵循两大原则,文件保护+放行所用
首先,文件保护——建一个文件保护组,把*.rar,*.jpg,*.jpeg,*.png,*.txt,*.doc,*.docx,*.xls,*.xls,*.pdf,*.mp3,*.mp4,*.mpg.*.avi,*.wmv等常见的你觉得重要的文件,列为一组,添加到保护对象里,实行监控,以防止勒索病毒或恶意程序修改
然后,就是匹配适度的规则——放行所用
新建一条路径:C:\Program Files*\*.exe,文件操作允许C:\Users\*,D:\*,E:\*,F:\*(有几个非系统盘写几条),如果有重要的软件需要保护,把它的目录比如E:\SOFTS\*添加在该条的文件高优先阻止里,然后各种选项适当允许的设置下,其它的保持默认,有情况弹窗即可。该条规则,置于全局规则之上
新建一条路径: C:\Windows\System32\notepad.exe,文件操作允许*.txt;该条规则,置于全局规则之上
新建一条路径:C:\Windows\explorer.exe,执行程序,高优先阻止*\cmd.exe,*\?script.exe,*\mshta.exe,其他默认,该条置顶
最后,全局收关:打开全局规则进行修改——执行规则里,高优先阻止*\temp\*(有必要可以加上禁止执行*\cmd.exe,*\?script,exe), 禁止访问其它进程内存,禁止安装驱动与服务,禁止底层磁盘,高危com端口禁止,注册表危险项目禁止,文件操作,可以禁止*\windows\*.exe,*\windows\*.dll,*\Windows\*.sys,*\program Files*\*.exe,*\Program Files\*.dll,*.bat,*.vbs,*.scr,D:\*,E:\*,F:\*以及引用“文件保护组”
这样处理是最简单,最省事的,很容易打磨与使用,也能保持一定的防御强度,不大容易中毒的设置
如果有一些小工具放在非系统盘,比如D:\Program Files里,那就再在全局规则上添加一条D:\Program Files\*.exe的规则,给予适当的权限
【关于系统更新】如果想在开启HIPS的情况下,保证系统下载安装包,可以建一个“系统更新相关文件组”,添加C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\system32\poqexec.exe,C:\Windows\WinSxS\*\TiWorker.exe,C:\Windows\Microsoft.NET\Framework**.exe (检查下毛豆自带的“系统更新程序组”,里面有的就不用加了)
在全局规则上新建一条规则,引用该路径,允许它执行C:\Windows\Temp\*,文件操作允许引用“可执行文件”以及*\windows\*.*\Program Files*\*(即包括windows与Program Files里的txt与png等文件)
【建议】喜欢弹窗,就开疯狂模式;喜欢静默,就开默认安全模式,都可以——这种简单重点防御,一般的安全需求,还是可以保证的。
ps:追求安全性,不要忘了防火墙“关门打狗法”——白名单模式(用户自定义模式),只放行允许的程序,其它的一律禁止联网。
|
发表于 2022-3-7 09:39:27
楼主
