一个设计D+规则的思路

星之梦

我认为最简单的规则还是类沙盘思路的规则，也就是重点防ThreatGate。

第一步 把Comodo控制的行为分出重点和一般两类。
重点类把高危、大部分程序不需要的行为在全局里阻止。
作用：一方面可以减少提示量，另一方面可以减少规则重复率。

其他行为归为一般类，这类设置为提示。
作用：提示出现程序会暂停，保留这部分提示可以争取时间结束恶意程序。

第二步 按照自己的使用习惯，把程序分为三类。
第一类为信任程序，给它设置一个组，给这类程序较大的权限甚至可以高于默认的Trusted Application预设。

第二类为信任但需要毛豆控制部分行为的程序，给它单独设置规则。
这部分是为了增加灵活性，不应过多，不然会增加规则总量。

第三类为非信任程序，这类规则过严它不能运行，过松会引狼入室。
简单的方法是找个沙盘给它套上，毛豆规则放开沙盘控制的注册表、文件等行为降低设置难度。

以上

轻闲一柳

毛豆的AD和FD ms没有完全意义上的全局规则吧—— 记不太清了

cqpreson

好像在all applications里设置FD和AD就是全局了。

星之梦

嗯，可以这么说，不过也要看all applications的位置。
如果在上是全局，如果在下要看上面规则里有没有允许。

小静电

毛豆的fd不太细，如果在规则里可以区分创建、修改、删除就好了。

像md那样可以创建、不能修改、删除。

一下子丫

time machine开发中~

月光下的忍者

楼主怎么把我编规则的思路说了出来……

建议楼主加一句：若有雷同，纯属巧合~

星之梦

回复 5楼 小静电 的帖子

这点可以借助沙盘，比如GW，创建的会被加label，修改的会被重定向，删除的会被只读禁止。

回复 6楼 一下子丫 的帖子

我帖子里怎么什么都有。。。

星之梦

一般思路、一般规则当然可能会雷同，但具体规则肯定会不同。

cqpreson

我觉得comodo的FD在程序规则里的Block设置达到的效果是能读取，不能创建删除修改，而放到Block files里面就不能读取删除创建修改。不过还是不够细致。