McAfee麦咖啡企业版8.8怎么设置？.doc

McAfee 麦咖啡企业版 怎么设置? McAfee 大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤, 相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点, 引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分, 病毒行为可以分为三个阶段: 第一, 前期行为, 表现为创建病毒文件到本地, 途径不外乎有两个, 可移动设备和网络, 其中病毒文件主体 90% 都是 exe 文件和 dll 文件, 其它尚有 sys 、 bat 、 com 、 pif 、 vbs 、 f 等; 第二,中期行为,表现为从本地激活运行病毒,释放 sys 驱动文件、 bat 批处理文件、 驱动文件等; 第三, 后期行为, 表现为修改、创建 exe 、 dll 、 sys 等文件, 访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程, 底层访问磁盘、屏幕、键盘,修改 hosts 文件等。针对病毒的以上特点,规则必须做到: 第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版 经典规则; 二是分别设置浏览器、 U 盘规则禁止创建可执行文件,如猫版 64位 Win7 规则;三是通过严格保护系统和软件文件夹来变相实现入口防御, 如墨池镇版规则和 storyhare 的系列规则。第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行, 而不是等着病毒去修改系统文件才阻止, 这是目前所有规则的弱项。墨池镇版规则有这个意识, 但没有完全实现。原因很简单, 大家对咖啡的权限控制还没有完全搞懂,后面专门论述。第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点, 而且效果很好。从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别, 例如系统一切正常, 而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。规则名称:只读权限_Windows 要包含的进程: *\Windows\** 要排除的进程: 要阻止的文件或文件夹名: ** 要禁止的文件:写创建删除规则名称:只读保护_Windows 要包含的进程: ** 要排除的进程: 要阻止的文件或文件夹名: **\Windows\** 要禁止的文件:写创建删除第一条规则的含义是禁止 Windows 文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改 Windows 文件夹下的所有文件, 即保护系统文件不被别人修改, 排除者除外。由此可见, 要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制 Windows 文件夹下的文件的运行权限,应该写成: 规则名称:读写权限_Windows 要包含的进程: *\Windows\** 要排除的进程: 要阻止的文件或文件夹名: ** 要禁止的文件:读写执行创建删除这样就可以防止 Windows 文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。归纳了一下,有意义的文件权限可以分为: 1 、读写权限——“读写执行创建删除”别人的权力; 2 、只读权限——“写创建删除”别人的权力; 与以上相关的规则可以称之为“权限规则”。 3 、读写保护——别人“读写执行创建删除”保护对象的权力; 4 、只读保护——别人“写创建删除”保护对象的权力与以上相关的规则可以称之为“保护规则”。 5 、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。 6 、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制( 2599 ) ,一个是分组容易区别控制。至于怎样分组为好、分组多少为好, 视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架: 一、读写双向权限(修改默认规