和我一起品咖啡——McAfee 8.8 规则设置(1).doc

鱼，我所欲也；渔，我所欲也。要鱼得鱼，要渔得渔，梦寐所求也。 咖啡是杀毒软件，访问保护是辅助的，所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是：杀毒强于规则，文件规则强于注册表规则，注册表规则强于端口规则，但四者各有所长，相互配合，才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。一、通配符 McAfee 8.8 规则设置之难，难于通配符而已。通配符之难，难于8.8不支持“？：”表示任意盘符。以WINDOWS和Program Files文件夹为例，下面是文件夹的表示方法： *WINDOWS：表示任意盘符下的WINDOWS文件夹（在“要阻止的进程”中无效）。 *WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。 *WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。文件的通配符表示方法： *WINDOWS*：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（在“要阻止的进程”中无效）。 *WINDOWS*：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。 *WINDOWS*：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。 *WINDOWS*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）。 *WINDOWS*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。 *WINDOWS*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。文件夹名的通配符表示方法： Program Files*：表示Program Files文件夹以及其后有多个任意字符的文件夹，当然包括Program Files (x86)。 PROGRA?：？表示任意单个字符，当然包括1、2、3、4等。关于PROGRA1，百度一下就知道了。 *Program Files*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效） *Program Files*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效） *Program Files*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）要包含的进程通配符表示方法： *：表示所有进程。 *：表示所有进程。 *.*：表示所有带后缀的进程（解决System进程无法排出的问题）。其它：?:*：单独表示根目录继续有效。说明：经实践，以上语法在8.7i中同样有效。二、规则设置思路 规则是用来辅助杀毒软件防御未知病毒的，思路不同，规则的框架也就不同。下面是两种防御思路： 1、划分信任区，禁止非信任区程序非法运行，保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。 2、拟出绝对路径的白名单，白名单允许运行并禁止篡改，其它一律禁止。这种思路的关键是白名单必须找准。 说明：此思路的规则坛子里目前空白，有兴趣的可以一试。系统白名单提取思路纯系统（不同系统）安装咖啡，去掉咖啡所有默认排除如法炮制名单，所有规则不保护、只勾选报告，进行各种运行和操作，最后从报告中整理出绝对路径的白名单，这个名单是通用的。然后在装好应用软件的系统里如法炮制，又可以得到其它白名单，这个名单是个性的的，常用软件还是通用的。 3、干净PC，入口防御。即在本机无毒的前提下，禁止可移动设备的程序非法运行和浏览器非法下载。 以上每一种思路下都可以做到非常严格和相对宽松。 下面就以第一种思路为例来设置McAfee 8.8 规则。三、前期准备 1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。 2、划分信任区。我的划分比较严格：*工具*.*, *电子书*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*, *WINDOWS*.* 说明：信任区包括任意盘符下带后缀的系统程序，安装在Program Files、Program Files (x86)以及非Program Files下的应用软件，32、64位通用，加入*PROGRA?*.*是为了fat早期磁盘格式上的老掉牙程序能够运行（虽然99.99%用不着）。4KBrowser四库全书，AloneSbck四部丛刊，EMPIRE EARTH地球帝国，KangXiDict康熙字典，没有的这些的在下面的设置中去掉即可。 3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。 4、安排规则框架。 （1）禁止非信任区程序非法运行：理论上需要四条规则禁止非信任区程序访问文件、注册表项、注册表值、端口，其中，“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是，这是咖啡的极致规则，“阻止对所有共享资源的读写访问”开启，非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以，其它三个规则在用户定义的规则中加不加两可。 （2）保护信任区程序不被非法篡改：需要两类规则保护系统程序、应用软件程序 （3）禁止其它风险运行：例如防映像劫持、防U盘病毒、保护根目录等。 万事俱备，下面就实践吧！四、规则设置（McAfee 8.8 墨池规则 文字版）（一）默认规则设置防间谍程序标准保护规则名称：保护Internet Explorer收藏夹和设置要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*防间谍程序最大保护规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止所有程序从 Temp 文件夹运行文件要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止从 Temp 文件夹执行脚本要包含的进程：?script.exe要排除的进程：无防病毒标准保护规则名称：禁止禁用注册表编辑器和任务管理器要包含的进程：*要排除的进程：无规则名称：禁止更改用户权限策略要包含的进程：*要排除的进程：*WINDOWS*.*规则名称：禁止远程创建/修改可执行文件和配置文件要包含的进程：*（Win7下应为*.*，否则可能导致系统正版验证失败）要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止远程创建自动运行文件要包含的进程：*要排除的进程：无规则名称：禁止拦截 .EXE 和其他可执行文件扩展名要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止伪装 Windows 进程要包含的进程：*要排除的进程：*WINDOWSExplorer.EXE规则名称：禁止群发邮件蠕虫发送邮件要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止 IRC 通信要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止使用 tftp.exe要包含的进程：*要排除的进程：无防病毒最大保护规则名称：禁止 Svchost 执行非 Windows 可执行文件要包含的进程：svchost.exe要排除的进程：无规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止更改所有文件扩展名的注册要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*防病毒爆发控制规则名称：将所有共享项设为只读要包含的进程：system:remote要排除的进程：无规则名称：阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件)要包含的进程：*.*要排除的进程：*工具*.*, *电子书*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*, *WINDOWS*.* 说明：这条规则的作用即“禁止非信任区程序访问-文件”。通用标准保护规则名称：禁止修改 McAfee 文件和设置要包含的进程：*要排除的进程：*Program Files*McAfee*.*, *WINDOWS*system32lsass.exe, *WINDOWS*system32services.exe, *WINDOWS*system32smss.exe, *WINDOWS*system32winlogon.exe, *WINDOWSregedit.exe, *WINDOWSsystem32svchost.exe规则名称：禁止修改 McAfee Common Management Agent 文件和设置要包含的进程：*要排除的进程：*WINDOWS*system32lsass.exe, *WINDOWS*system32services.exe, *WINDOWS*system32smss.exe, *WINDOWS*system32winlogon.exe, *WINDOWSsystem32svchost.exe, *Program Files*McAfee*.*规则名称：禁止修改 McAfee 扫描引擎文件和设置要包含的进程：*要排除的进程：*WINDOWS*system32lsass.exe, *WINDOWS*system32services.exe, *WINDOWS*system32smss.exe, *WINDOWS*system32winlogon.exe, *WINDOWSsystem32svchost.exe, *Program Files*McAfee*.*, *WINDOWSExplorer.EXE规则名称：保护 Mozilla 及 FireFox 文件和设置要包含的进程：*要排除的进程：*Program Files*.*规则名称：保护 Internet Explorer 设置要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止安装 Browser Helper Objects 和 Shell Extensions要包含的进程：*要排除的进程：*Program Files*.*规则名称：保护网络设置要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止公用程序从 Temp 文件夹运行文件要包含的进程：iexplore.exe要排除的进程：无规则名称：在 Internet Explorer 中禁用 HCP URL要包含的进程：*要排除的进程：无规则名称：防止终止 McAfee 进程要包含的进程：*要排除的进程：无通用最大保护规则名称：禁止将程序注册为自动运行要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止将程序注册为服务要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止在 Windows 文件夹中创建新的可执行文件要包含的进程：*要排除的进程：无规则名称：禁止在 Program Files* 文件夹中创建新的可执行文件要包含的进程：*要排除的进程：*Program Files*McAfeeCommon FrameworkFrameworkService.exe规则名称：禁止从 Downloaded Program Files 文件夹启动文件要包含的进程：*要排除的进程：无规则名称：禁止 FTP 通信要包含的进程：*要排除的进程：*Program Files*.*规则名称：禁止 HTTP 通信要包含的进程：*.*要排除的进程：*Program Files*.*, *WINDOWS*.*虚拟机保护规则名称：防止终止 VMWare 进程要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止修改 VMWare Workstation 文件和设置要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止修改 VMWare Server 文件和设置要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*规则名称：禁止修改 VMWare 虚拟机文件要包含的进程：*要排除的进程：*Program Files*.*, *WINDOWS*.*（二）用户定义的规则运行（此部分可以选择性设置，不必求全）1、禁止非信任区程序（此部分可以没有，原因见前“规则框架”）1.01 规则名称：禁止非信任区程序访问-文件要包含的进程：*要排除的进程：*工具*.*, *电子书*.*, *WINDOWS*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*要阻止的文件或文件夹名：*要禁止的文件：读取 写入 执行 创建 删除1.01 规则名称：禁止非信任区程序访问-注册表(项)要包含的进程：*要排除的进程：*工具*.*, *电子书*.*, *WINDOWS*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*要保护的注册表项目或注册表值：HKALL/*要保护的注册表项或注册表值：项要阻止的注册表：写入 创建 删除1.02 规则名称：禁止非信任区程序访问-注册表(值)要包含的进程：*要排除的进程：*工具*.*, *电子书*.*, *WINDOWS*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*要保护的注册表项目或注册表值：HKALL/*要保护的注册表项或注册表值：项要阻止的注册表：写入 创建 删除1.03 规则名称：禁止非信任区程序访问-端口要包含的进程：*.*要排除的进程：*工具*.*, *电子书*.*, *WINDOWS*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*要阻止的端口：1-65535方向：入站 出站2、保护信任区关键部位（此部分必须有）2.01 规则名称：保护windows下的COM文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.com要禁止的文件：写入 创建2.02 规则名称：保护windows下的VXD驱动要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.vxd要禁止的文件：创建2.03 规则名称：保护windows下的DRV驱动要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.drv要禁止的文件：创建2.04 规则名称：保护windows下的OCX控件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.ocx要禁止的文件：写入 创建2.05 规则名称：保护windows下的EXE文件要包含的进程：*要排除的进程：*Program Files*McAfee*.*, *WINDOWSsystem32Rundll32.exe要阻止的文件或文件夹名：*WINDOWS*.exe要禁止的文件：写入 创建2.06 规则名称：保护windows下的DLL文件要包含的进程：*要排除的进程：*Program Files*McAfee*.*要阻止的文件或文件夹名：*WINDOWS*.dll要禁止的文件：写入 创建2.07 规则名称：保护windows下的PIF文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.pif要禁止的文件：写入 创建2.08 规则名称：保护windows下的SCR文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.scr要禁止的文件：写入 创建2.09 规则名称：保护windows下的SYS驱动要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*windows*.sys要禁止的文件：创建2.10 规则名称：保护Program Files*下的COM文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*Program Files*.com要禁止的文件：写入 创建2.11 规则名称：保护Program Files*下的COM文件2要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：E:*.com要禁止的文件：写入 创建说明：我的四库全书大型软件等都装在盘，阻止E:*.com可以全覆盖，没有的去掉这类即可。下同。2.12 规则名称：保护Program Files*下的SCR文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*Program Files*.scr要禁止的文件：写入 创建2.13 规则名称：保护Program Files*下的SCR文件2要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：E:*.scr要禁止的文件：写入 创建2.14 规则名称：保护Program Files*下的PIF文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*Program Files*.pif要禁止的文件：写入 创建2.15 规则名称：保护Program Files*下的PIF文件2要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：E:*.pif要禁止的文件：写入 创建2.16 规则名称：保护Program Files*下的EXE文件要包含的进程：*要排除的进程：*Program Files*McAfee*.*要阻止的文件或文件夹名：*Program Files*.exe要禁止的文件：创建2.17 规则名称：保护Program Files*下的EXE文件2要包含的进程：*要排除的进程：*Program Files*McAfee*.*要阻止的文件或文件夹名：E:*.exe要禁止的文件：创建2.18 规则名称：保护Program Files*下的DLL文件要包含的进程：*要排除的进程：*Program Files*McAfee*.*要阻止的文件或文件夹名：*Program Files*.dll要禁止的文件：写入 创建2.19 规则名称：保护Program Files*下的DLL文件2要包含的进程：*要排除的进程：*Program Files*McAfee*.*要阻止的文件或文件夹名：E:*.dll要禁止的文件：写入 创建3、其它保护（此部分可以选择）3.01 规则名称：保护根目录要包含的进程：*要排除的进程：*4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*, *WINDOWS*.*要阻止的文件或文件夹名：?:*要禁止的文件：写入 创建 删除3.02 规则名称：禁止在本机非法修改EXE文件要包含的进程：*要排除的进程：*Program Files*.*, *PROGRA?*.*, *AloneSbck*.*, *KangXiDict*.*, *4KBrowser*.*, *EMPIRE EARTH*.*要阻止的文件或文件夹名：*.exe要禁止的文件：写入3.03 规则名称：禁止在本机非法执行TMP文件要包含的进程：*要排除的进程：*Program Files*.*, *PROGRA?*.*, *Windowssystem32svchost.exe, *AloneSbck*.*, *KangXiDict*.*, *4KBrowser*.*, *EMPIRE EARTH*.*要阻止的文件或文件夹名：*.tmp要禁止的文件：执行3.04 规则名称：禁止在本机非法创建BAT文件要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*.bat要禁止的文件：创建3.05 规则名称：禁止在本机非法执行脚本文件要包含的进程：?script.exe要排除的进程：无要阻止的文件或文件夹名：*要禁止的文件：执行3.06 规则名称：禁止在本机非法创建CPI文件要包含的进程：*要排除的进程：*WINDOWSExplorer.exe, *Program Files*WinRARWinRAR.exe要阻止的文件或文件夹名：*.cpl要禁止的文件操作：写入 创建 删除3.07 规则名称：禁止在本机非法创建INI文件要包含的进程：*要排除的进程：*工具*.*, *4KBrowser*.*, *AloneSbck*.*, *EMPIRE EARTH*.*, *KangXiDict*.*, *Program Files*.*, *PROGRA?*.*, *WINDOWS*.*要阻止的文件或文件夹名：*.ini要禁止的文件操作：写入 创建 删除 说明：该规则有些特殊，需要排除FrameworkService.exe与McScript_InUse.exe进程，目的是允许McAfee升级病毒库；除此，还需要排除一些常用的应用软件，许多应用软件在使用中都需要写入ini文件，为方便日常使用，因此加以排除。3.08 规则名称：禁止在本机非法创建MSC文件要包含的进程：*要排除的进程：*WINDOWSExplorer.exe, *Program Files*WinRARWinRAR.exe要阻止的文件或文件夹名：*.msc要禁止的文件操作：写入 创建 删除3.09 规则名称：禁止在本机非法创建MSI文件要包含的进程：*要排除的进程：*WINDOWSExplorer.exe, *Program Files*WinRARWinRAR.exe要阻止的文件或文件夹名：*.msi要禁止的文件操作：写入 创建 删除3.01 规则名称：禁止在本机非法创建VBS文件要包含的进程：*要排除的进程：*WINDOWSExplorer.exe, *Program Files*WinRARWinRAR.exe要阻止的文件或文件夹名：*.vbs要禁止的文件操作：写入 创建 删除3.11 规则名称：禁止*autorun*.*任何操作要包含的进程：*要阻止的文件或文件夹名：*autorun*.*要禁止的文件操作：读取 写入 执行 创建 删除 说明：该规则不同于该系列规则中的其他规则，目的是禁止某些病毒的自动运行3.12 规则名称：禁止修改gho文件要包含的进程：*要阻止的文件或文件夹名：*.gho要禁止的文件操作：读取 写入 执行 创建 删除3.13 规则名称：保护安全模式设置要包含的进程：*要排除的进程：无要保护的注册表项目或注册表值：HKLM/SYSTEM/*ControlSet*/Control/SafeBoot/*要保护的注册表项或注册表值：项要阻止的注册表：写入 创建 删除3.14 规则名称：防止映像劫持要包含的进程：*要排除的进程：无要保护的注册表项目或注册表值：HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/*要保护的注册表项或注册表值：项要阻止的注册表：写入 创建 删除3.15 规则名称：禁止通过注册表编辑器与.reg文件对注册表进行任何操作要包含的进程：*要排除的进程：无要阻止的文件或文件夹名：*regedit.exe要禁止的文件操作：读取 写入 执行 创建 删除 说明：只此一条，就可以一次性禁止通过regedit.exe、regedt32.ex