本帖最后由 bighead 于 2011-5-19 23:01 编辑
《防间谍程序标准保护》
保护 Internet Explorer 收藏夹和设置
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe,C:\Windows\Explorer.EXE
勾选报告:否
说明:排除C:\Program Files\InternetExplorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能够修改Internet Explorer收藏夹和设置。不勾选报告,避免大量日志。
《防间谍程序最大保护》
禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:无
勾选报告:否
说明:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告。
禁止所有程序从Temp文件夹运行文件
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\ProgramFiles\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\CommonFramework\UdaterUI.exe
说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 Temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。
禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
勾选报告:否
说明:阻止Windows 脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。没必要勾选报告。
《防病毒标准保护》
禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
说明:保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用。不用排除。
禁止更改用户权限策略
要包含的进程:*
要排除的进程:C:\Windows\system32\lsass.exe
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows 安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限。排除应该极少。
禁止远程创建/修改可执行文件和配置文件
要包含的进程:*.*
要排除的进程:*\Program Files*\**\*.*, *\windows\**\*.*
说明:该规则是规则“将所有共享项设为只读”的阉割版。保护了*.exe, *.scr, *.ocx, *.dll, *.pif,%systemdrive%\*.ini不被修改(创建、写入、删除)。
禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:无
禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:无
说明:禁止针对Windows核心进程svchost.exe, explorer.exe, ctfmon.exe,lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的 Windows 文件不受该规则限制。
禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:outlook.exe
说明:邮件客户端,禁止通过SMTP 端口(25和587)出站发送email。
禁止 IRC 通信
要包含的进程:*
要排除的进程:无
说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令。
禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒。使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除。
《防病毒最大保护》
禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
勾选报告:否
说明:禁止Svchost.exe加载非Windows服务.DLL文件。
保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
说明:隐私保护规则。保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码。
禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:C:\WINDOWS\explorer.exe
勾选报告:否
说明:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持”规则,而不是只保护的.EXE。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名。不勾选报告,否则日志量大。
保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
说明:隐私保护规则。防止病毒、木马读取上网隐私。
《防病毒爆发控制》
将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
说明:禁止远程创建、写入、删除行为。
阻止对所有共享资源的读写访问
要包含的进程:*.*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
说明:这是非常强大的全局禁运规则。排除信任区后,非信任区一切程序的所有操作都无法进行。
《通用标准保护》
禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Windows\system32\services.exe
禁止修改 McAfee CommonManagement Agent 文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Windows\system32\services.exe
禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McTray.exe
保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe,C:\Windows\Explorer.EXE
说明:排除*\Program Files\InternetExplorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能修改IE设置。
禁止安装 Browser HelperObjects 和 Shell Extensions
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\ProgramFiles\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\CommonFramework\UdaterUI.exe
说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等。只给咖啡这个权利。
保护网络设置
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\ProgramFiles\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\CommonFramework\UdaterUI.exe, C:\Windows\system32\svchost.exe
说明:反广告规则。禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据。只给咖啡和svchost.exe这个权利。
禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe,mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe,nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe,poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE,WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
说明:官方默认。
在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无
说明:官方默认要包含的进程是iexplore.exe, wmplayer.exe
防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无
《通用最大保护》
禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\ProgramFiles\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\CommonFramework\UdaterUI.exe
禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\WINDOWS\**\*.*
禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无
说明:只防了EXE和DLL的创建。
禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:C:\Program Files*\McAfee\Common Framework\FrameworkService.exe
说明:只防了EXE和DLL的创建。
禁止从 Downloaded ProgramFiles 文件夹启动文件
要包含的进程:*
要排除的进程:无
禁止 FTP 通信
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
禁止 HTTP 通信(端口规则目前这样排除无效,只能单进程挨个排除,等着bug修复)
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《虚拟机保护》
防止终止 VMWare 进程
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
|
楼主: bighead
[复制链接]
发表于 2011-5-16 07:21:39
楼主
一直在8.7的规则的那个贴上跟踪不断的催 谁知道在这里另开新贴了
