（瞎子论道）感兴趣的都来谈谈自己的想法——《规则问题》

柯林

规则使用或打磨上，每个人都有自己的看法和方法。关于下面这些问题，各位有什么看法或想法都说说。
1、安全与易用问题：做到什么程度比较好？比如说，全局规则如果全部禁止，安全性很高，但是易用性就很差，需要在全局之上进行排除。如果适当地阻止掉一些危险的内容，剩下的监控，可能不止于无碍正常程序的运行，甚至可以安装程序——安装程序问题也比较烦人：一种方法，就是下安全的安装包，关闭D+或者直接信任为“安装与更新”（无弹窗）；另一种可以用全局规则阻止掉危险的内容，剩下的手动监控（弹窗比较多）——变相方法之一可以是：指定一个目录为安装程序所在目录，配个“安装与更新”的规则（或者专门制定一个“非系统程序安装与更新规则”），放到全局规则之下（全局规则阻止的，自动拦截的，剩下的自动允许，同样是无弹窗）。
2、防御问题：制定一个规则要防御些什么东东？这是应该首先考虑的。一般来说，必须考虑的内容大致有：移动介质（主要是U盘和移动磁盘）的防毒【包括自动运行病毒的防御】；网络防护（网马等）；病毒木马【特别是盗号木马】防御；恶意软件及流氓插件防御；shellcode【溢出攻击，毛豆默认监控，有无规则可以补强？】
3、强度问题：最好的规则能做到哪个强度？——比如，本地来说，即使被病毒注入也产生不了致命伤害；网络来说，即使获得root权限也无法产生致命伤害（可以做到系统安全的最后守护）。真的有办法做到这些吗？
4、谋篇布局问题：如何把自己的想法转化为一套完整的规则？有多少种方案可以实现？哪种方案最优？

无论高手低手，新手老手，感兴趣的都可以来谈谈自己的想法。

附录一个额外问题——分组问题
与其规则里面乱哄哄地去引用路径分组，有没必要这样——直接在程序安装目录分组：譬如说，C:\Program Files下，新建如下文件夹：
浏览器——把IE移进去，所有浏览器都安装到此目录内
杀毒软件——杀软就安装到此目录里
电子邮件——电邮软件安装到此目录
播放器——windows的播放器移进去，新装的播放器装到这里
聊天软件——QQ、泡泡之类安装到此目录
语音视频——网络电话，视频会议之类安装到此目录
压缩工具——压缩软件安装到此目录
p2p软件——内分p2p下载工具与p2p网络电视
媒体制作——
光盘刻录——
虚拟光驱——
…………………………
以及安装程序存放目录 譬如 D:\安全可靠的安装程序
………………………………
如果真能这样处理一下，规则制作及打磨时，路径引用及管理就会方便得多。

金哇宁

坐一回沙发，哈哈。

p1020

新人不懂  那些软件 调用系统文件 ？ 顺便求柯大的 适合V5的规则

saga3721

试样本用一个规则，平时另一个规则的说明这2个规则均无意义
用别人的规则后发生问题，修改打磨后再用的，此规则也已丧失本来意义

h8888

saga3721 发表于 2011-5-13 14:27
试样本用一个规则，平时另一个规则的说明这2个规则均无意义
用别人的规则后发生问题，修改打磨后再用的，此 ...

理想状态应该是这样：在防火墙规则和D+规则处按一下“清理”键，再按“确定”，就一切OK。

zhangkun0214

1.
全局禁止的话，安全性提高了，易用性差，因为时不时有安装更新啦，软件更新啦之类的，易用性降低了；
全局询问，排除阻止危险的，也是一种方案，默认的往往易用性最好；
全局禁止与询问相结合，排除阻止危险的，折中的办法；

2.我有过一次中毒的经历，感觉网马的威胁最大，应重点防御；其次是流氓恶意软件和病毒；再其次是移动介质的威胁；

柯林

回复 4楼 saga3721 的帖子

赞同，考虑到日常使用无法区分正常与否，两套规则的做法确实不可取。
至于套用别人规则问题，这个是不是要具体区分一下？

柯林

回复 3楼 p1020 的帖子

暂时没打算，看时间再说，有些东西还没梳理顺。另外，我的系统XP，做了也仅能供xp用户参考。

p1020

回复 8楼 柯林 的帖子

柯大 我用EQ的时候也 在用你规则 现在我也是XP 可以给个V5的规则？

saga3721

柯林 发表于 2011-5-13 14:35
回复 4楼 saga3721 的帖子

赞同，考虑到日常使用无法区分正常与否，两套规则的做法确实不可取。

我认为修改别人的规则是把别人堵上的漏洞捅开，他如此这般订下一条规则必然是有其防范目的的。但是不捅开就不中用，捅开就有漏洞，因为每个人的软件环境不同使用习惯也不同。