如何打造省力又安全的规则？

显示全部楼层 · 发表于 2010-1-30 21:50:07

本帖最后由 ecufecl 于 2010-1-30 21:51 编辑

回复 10# byxiaochen

我的理解：
HIPS安全性和易用性的解决方案：
一、规则原理：易用性（用人不疑，疑人不用）；安全性（允许可别，排除所有）
（1）确保安装在Program Files目录下的程序是无毒的，可靠的，允许其向Program Files目录写入文件。【用人不疑，允许个别】【易用性】
（2）全局阻止所有程序向Program Files目录写入文件。【疑人不用，排除所有】【安全性】
二、规则应用
（1）下载软件时，最好从官方下载应用程序，并用杀毒软件进行扫描确保无毒可靠。
（2）安装软件时，最好安装在统一的目录下，如Program Files目录，便于写规则。
（3）适用于不经常安装软件的用户。
三、规则不足
（1）由于受规则限制，安装软件可能会出现安装失败的情况。
（2）在切换到安装模式或停止HIPS保护时，安装软件风险很大。
四、规则不足之处弥补
（1）配合杀毒软件，对要安装的软件进行扫描，确保安装的软件无毒。
（2）配合沙盘软件，在沙盘中安装软件，提前测试一下。
（3）配合系统恢复软件，系统一旦崩溃，这是最后的防线了。

我猜这就是CIS V4的设计方向，哈哈^_^，盼望CIS V4 老少皆宜的规则出现。

显示全部楼层 · 发表于 2010-1-30 22:44:40

回复 10# byxiaochen
一个?:\Program Files\*就代替N多条规则，在得到易用性的同时，如何保证安全性是需要费心思的，这二者之间的平衡是很难把握的。
如果在Program Files下的规则才阻止向Program Files写入，上面的?:\Program Files\*已经是可信了——不知道你这个可信是可信到那个程度？如果全部放开，IE之类的浏览器中马中毒就可以任意下载病毒，也可以任意修改其它任何软件目录下的文件，要保证安全，就得在上面的全局规则中规避掉这些风险，这样又会影响更新及下载；如果全局规则摆在下面，?:\Program Files\*已经全允许了，全局规则对Program Files里的软件根本就没什么约束——除非?:\Program Files\*都是询问按照流程交由全局过滤。
一个?:\Program Files\*信任就解决问题的偷懒做法，要真正保证安全，是很麻烦的，要达到高安全是很困难的。
除了防毒，还要考虑流氓行为的拦截，全信任了还怎么管？

显示全部楼层 · 发表于 2010-1-30 22:47:54

回复 12# 柯林
浏览器在上面再建立个C:\Program Files\Internet Explorer\iexplore.exe在设置不就好了.......

显示全部楼层 · 发表于 2010-1-30 22:55:49

回复 13# byxiaochen
采用分组，就会面临共性与个性的处理问题，你说这个当然不失为一个变通之道。
实际上不仅仅是IE，但凡国内的软件，就算你在官网下载，它可能无毒，但不流氓是很少的，信任它们是不合适的——除非你对流氓行为无所谓。

显示全部楼层 · 发表于 2010-1-30 22:59:00

本帖最后由 byxiaochen 于 2010-1-30 23:04 编辑

回复 14# 柯林
并不是说我喜欢流氓，我的规则也是把流氓软件弄的死死的。
说这些只是为了实习这个题目

如何打造省力有安全的规则

最后期待您的WIN7规则

显示全部楼层 · 发表于 2010-1-30 23:17:50

回复 15# byxiaochen
忘掉上面这些，这些并不重要，重要的是思想——白名单与黑名单。
既然要采用黑名单的法则，个人以为可以参考EQ区的竹节大将军的《安静得可怕的规则》的做法——排除干净有害行为后，剩下的全部允许。
希望你再深入一下，做出毛豆区的安静得可怕。
本区发布的规则，基本上追寻白名单法则——有限允许个别，全部阻止所有，因而显得很繁琐。

显示全部楼层 · 发表于 2010-1-31 00:29:21

楼主方法我xp下试过，一般用户足够，如过经常上那些H网也会中招的。

显示全部楼层 · 发表于 2010-1-31 09:37:13

回复 16# 柯林
哦，按照您的思路去做一个......

显示全部楼层 · 发表于 2010-1-31 10:12:30

本帖最后由柯林于 2010-1-31 21:40 编辑

回复 17# 捌佰666
这种方法，只能算是初步入门级的方法，获得的安全程度，在初等至中等之间，要像高手发布的规则哪样获得极高的安全性，必须花时间下力气深入打磨。
如果仅仅是任凭它自动学习后就加以使用，那样的安全程度是很低的，必须经过两步处理。
第一步：调整——学习模式得到的规则很可能是不合适的，必须自己检查判断，凡是不合理的例外允许及允许一律删除，所有选项全部改询问，在安全模式下经弹窗询问时认真选择允许还是阻止，这实际上依赖的是个人的安全知识及判断力。
第二步：进阶——全部询问不是好办法，无尽选择是大烦恼，到一定的时候，该修改调整的就来一番大换血：对于一般的应用程序来讲，安装全局钩子、安装驱动、底层访问磁盘这些极度危险的操作是没有必要的，一律禁止即可；至于运行程序，除了运行本身及需要的几个程序外，其余的可全部禁止，例如IE，除了运行IE、记事本、压缩软件和播放器外，其余的全阻止；注册表及com接口，对于一般应用程序而言，基本上90%的都是可以阻止的，因为默认列出的那些保护项目对于一般应用程序而言是没必要的。
在做完上述工作之后，有时间的话，参考U版的《打磨comodo，做有意义的事儿》一文，以及秘书、抓抓、月光、伊修等人的规则，补充保护项目，完善规则判断。
做到以上这些，获得极高安全性是毫无问题的：绝对路径，一程序一规则，最精确的判断，最独特的规则，谁能匹敌？

显示全部楼层 · 发表于 2010-1-31 18:01:52

我现在就是在用学习模式然后准备修改一下就用疯狂模式。

[讨论] 如何打造省力又安全的规则？

浏览过的版块