和我一起品咖啡 - McAfee 8.8 规则设置(1)

鱼,我所欲也;渔,我所欲也。要鱼得鱼,要渔得渔,梦寐所求也。

咖啡是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。

一、通配符

McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法: *\\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。 **\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。 *\\**\\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。 文件的通配符表示方法:

*\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。

**\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。

*\\**\\WINDOWS\\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。

*\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)。

**\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。

*\\**\\WINDOWS\\**\\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。 文件夹名的通配符表示方法:

Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。

PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等。关于PROGRA~1,百度一下就知道了。

*\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)

**\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)

*\\**\\Program Files*\\**\\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效) 要包含的进程通配符表示方法: *:表示所有进程。 **:表示所有进程。

*.*:表示所有带后缀的进程(解决System进程无法排出的问题)。 其它:?:\\*:单独表示根目录继续有效。

说明:经实践,以上语法在8.7i中同样有效。

二、规则设置思路

规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同。下面是两种防御思路:

1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。

2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止。这种思路的关键是白名单必须找准。

说明:此思路的规则坛子里目前空白,有兴趣的可以一试。系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的。然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的。

3、干净PC,入口防御。即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载。

以上每一种思路下都可以做到非常严格和相对宽松。 下面就以第一种思路为例来设置McAfee 8.8 规则。

三、前期准备

1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。 2、划分信任区。我的划分比较严格:

*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.*

说明:信任区包括任意盘符下带后缀的系统程序,安装在Program Files、Program Files (x86)以及非Program Files下的应用软件,32、64位通用,加入*\\PROGRA~?\\**\\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着)。4KBrowser四库全书,AloneSbck四部丛刊,EMPIRE EARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可。

3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。 4、安排规则框架。 (1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是,这是咖啡的极致规则,“阻止对所有共享资源的读写访问”开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以,其它三个规则在用户定义的规则中加不加两可。

(2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序 (3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等。

万事俱备,下面就实践吧!

四、规则设置(McAfee 8.8 墨池规则 文字版) (一)默认规则设置 《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.*

《防间谍程序最大保护》

规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:禁止所有程序从 Temp 文件夹运行文件 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止从 Temp 文件夹执行脚本 要包含的进程:?script.exe 要排除的进程:无

《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器 要包含的进程:* 要排除的进程:无

规则名称:禁止更改用户权限策略 要包含的进程:*

要排除的进程:*\\WINDOWS\\**\\*.*

规则名称:禁止远程创建/修改可执行文件和配置文件

要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败) 要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.*

规则名称:禁止远程创建自动运行文件 要包含的进程:* 要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:禁止伪装 Windows 进程 要包含的进程:*

要排除的进程:*\\WINDOWS\\Explorer.EXE

规则名称:禁止群发邮件蠕虫发送邮件 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.* 规则名称:禁止 IRC 通信 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:禁止使用 tftp.exe 要包含的进程:* 要排除的进程:无

《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件 要包含的进程:svchost.exe 要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.*

规则名称:禁止更改所有文件扩展名的注册 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.*

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.* 《防病毒爆发控制》

规则名称:将所有共享项设为只读 要包含的进程:system:remote 要排除的进程:无

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 ) 要包含的进程:*.*

要排除的进程:*\\**工具\\**\\*.*, *\\**电子书\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.* 说明:这条规则的作用即“禁止非信任区程序访问-文件”。

《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置 要包含的进程:*

*\\Program

要排除的进程:*\\Program Files*\\**\\McAfee\\**\\*.*, *\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, * \\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\regedit.exe, *\\WINDOWS\\system32\\svchost.exe

规则名称:禁止修改 McAfee Common Management Agent 文件和设置 要包含的进程:* 要排除的进程:*\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, *\\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\system32\\svchost.exe, *\\Program Files*\\**\\McAfee\\**\\*.*

规则名称:禁止修改 McAfee 扫描引擎文件和设置 要包含的进程:* 要排除的进程:*\\WINDOWS\\**\\system32\\lsass.exe, *\\WINDOWS\\**\\system32\\services.exe, *\\WINDOWS\\**\\system32\\smss.exe, *\\WINDOWS\\**\\system32\\winlogon.exe, *\\WINDOWS\\system32\\svchost.exe, *\\Program Files*\\**\\McAfee\\**\\*.*, *\\WINDOWS\\Explorer.EXE

规则名称:保护 Mozilla 及 FireFox 文件和设置 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:保护 Internet Explorer 设置 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*

规则名称:保护网络设置 要包含的进程:*

要排除的进程:*\\Program Files*\\**\\*.*, *\\WINDOWS\\**\\*.*

规则名称:禁止公用程序从 Temp 文件夹运行文件 要包含的进程:iexplore.exe 要排除的进程:无

规则名称:在 Internet Explorer 中禁用 HCP URL 要包含的进程:* 要排除的进程:无

规则名称:防止终止 McAfee 进程

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4