发布时间 : 星期三 文章麦咖啡McAfee 8.8企业版规则设置(高级篇)更新完毕开始阅读84c4e3f49b6648d7c1c746a1
麦咖啡McAfee8.8企业版规则设置(初级篇)
McAfee是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上.其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力.任何单方面的、静止的褒贬都是片面的.下面进入正题.
一、通配符
McAfee8.8规则设置之难,难于通配符而已.通配符之难,难于8.8不支持\?:\\\表示任意盘符.以WINDOWS和ProgramFiles文件夹为例,下面是文件夹的表示方法:
*\\WINDOWS:表示任意盘符下的WINDOWS文件夹(在\要阻止的进程\中无效). **\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效). *\\**\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效). 文件的通配符表示方法:
*\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在\要阻止的进程\中无效).
**\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效). *\\**\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效). *\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在\要阻止的进程\中无效).
**\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效).
*\\**\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效).
文件夹名的通配符表示方法:
ProgramFiles*:表示ProgramFiles文件夹以及其后有多个任意字符的文件夹,当然包括ProgramFiles(x86).
PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等.关于PROGRA~1,百度一下就知道了. *\\ProgramFiles*\\**\\*.*:表示任意盘符ProgramFiles和ProgramFiles(x86)文件夹下多级目录中的所有带后缀的文件(在\要阻止的进程\中无效)
**\\ProgramFiles*\\**\\*.*:表示任意盘符ProgramFiles和ProgramFiles(x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
*\\**\\ProgramFiles*\\**\\*.*:表示任意盘符ProgramFiles和ProgramFiles(x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效) 要包含的进程通配符表示方法: *:表示所有进程. **:表示所有进程.
*.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题). 其它:?:\\*:单独表示根目录继续有效.
说明:经实践,以上语法在8.7i中同样有效.
二、规则设置思路
规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同.下面是两种防御思路:
1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改.这种思路的关键是信任区必须干净.
2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止.这种思路的关键是白名单必须找准.
说明:此思路的规则坛子里目前空白,有兴趣的可以一试.系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的.然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的. 3、干净PC,入口防御.即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载.
以上每一种思路下都可以做到非常严格和相对宽松. 下面就以第一种思路为例来设置McAfee8.8规则.
三、前期准备
1、安装McAfee8.8企业版.方法、步骤、设置等相关问题请参考置顶帖. 2、划分信任区.我的划分比较严格: *\\**工具\\**\\*.*,*\\**电子书\\**\\*.*,*\\4KBrowser\\**\\*.*,*\\AloneSbck\\**\\*.*,*\\EMPIREEARTH\\**\\*.*,*\\KangXiDict\\**\\*.*,*\\ProgramFiles*\\**\\*.*,*\\PROGRA~?\\**\\*.*,*\\WINDOWS\\**\\*.*
说明:信任区包括任意盘符下带后缀的系统程序,安装在ProgramFiles、ProgramFiles(x86)以及非ProgramFiles下的应用软件,32、64位通用,加入*\\PROGRA~?\\**\\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着).4KBrowser四库全书,AloneSbck四部丛刊,EMPIREEARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可.
3、收集、挑选要设置的单个规则.这样可以防止规则存在大的漏洞. 4、安排规则框架.
(1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,\禁止非信任区程序访问文件\默认规则的\防病毒爆发控制\中的\阻止对所有共享资源的读写访问\就是,这是咖啡的极致规则,\阻止对所有共享资源的读写访问\开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了.所以,其它三个规则在用户定义的规则中加不加两可.
(2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序 (3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等.
万事俱备,下面就实践吧!
四、规则设置(McAfee8.8天诺规则文字版) (一)默认规则设置
《防间谍程序标准保护》
规则名称:保护InternetExplorer收藏夹和设置 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*,*\\WINDOWS\\**\\*.*
《防间谍程序最大保护》
规则名称:禁止安装新的CLSID、APPID和TYPELIB 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*
规则名称:禁止所有程序从Temp文件夹运行文件 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.* 规则名称:禁止从Temp文件夹执行脚本 要包含的进程:?script.exe 要排除的进程:无
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器 要包含的进程:* 要排除的进程:无
规则名称:禁止更改用户权限策略 要包含的进程:*
要排除的进程:*\\WINDOWS\\**\\*.*
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败) 要排除的进程:*\\ProgramFiles*\\**\\*.*,*\\WINDOWS\\**\\*.*
规则名称:禁止远程创建自动运行文件 要包含的进程:* 要排除的进程:无
规则名称:禁止拦截.EXE和其他可执行文件扩展名 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*
规则名称:禁止伪装Windows进程 要包含的进程:*
要排除的进程:*\\WINDOWS\\Explorer.EXE
规则名称:禁止群发邮件蠕虫发送邮件 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.* 规则名称:禁止IRC通信 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*
规则名称:禁止使用tftp.exe 要包含的进程:* 要排除的进程:无
《防病毒最大保护》
规则名称:禁止Svchost执行非Windows可执行文件 要包含的进程:svchost.exe 要排除的进程:无
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*,*\\WINDOWS\\**\\*.*
规则名称:禁止更改所有文件扩展名的注册 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*,*\\WINDOWS\\**\\*.*
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*
要排除的进程:*\\ProgramFiles*\\**\\*.*,*\\WINDOWS\\**\\*.* 《防病毒爆发控制》
规则名称:将所有共享项设为只读 要包含的进程:system:remote 要排除的进程:无
规则名称:阻止对所有共享资源的读写访问(即禁止非信任区程序访问-文件) 要包含的进程:*.* 要排除的进程:*\\**工具\\**\\*.*,*\\**电子书\\**\\*.*,*\\4KBrowser\\**\\*.*,*\\AloneSbck\\**\\*.*,*\\EMPIREEARTH\\**\\*.*,*\\KangXiDict\\**\\*.*,*\\ProgramFiles*\\**\\*.*,*\\PROGRA~?\\**\\*.*,*\\WINDOWS\\**\\*.* 说明:这条规则的作用即\禁止非信任区程序访问-文件\
《通用标准保护》
规则名称:禁止修改McAfee文件和设置 要包含的进程:* 要排除的进