McAfee8.7i规则

合集下载

mcafee规则设置

Mcafee（麦咖啡）8.5i 使用设置图解》Mcafee（麦咖啡）与Norton（诺顿）、Kaspersky（卡巴斯基）并称为世界三大杀毒软件，是一款非常优秀的杀软。

其监控能力和保护规则相当强大，是同类软件中最好的。

是我非常推崇的一款杀软。

Mcafee的精髓就在于规则设置。

只要访问保护规则设置得好，几乎可以说是能够做倒百毒不侵。

但它却是所有杀软中设置最为复杂，软件界面也不太符合我们的使用习惯的软件。

不过由于它的异常优秀的防毒杀毒效果，却值得推荐。

下面将逐步介绍McAfee VirusScan Enterprise 8.5i（最新的企业版本）的安装、使用、及规则设置。

一、安装与其它软件的安装相似，双击安装包中的setup.exe可执行文件，一路下一步即可完成安装。

其中有几点需要注意一下：图1如（图1）所示，在这里“许可期限类型”可以选择使用期限，点击右侧倒三角型按钮，可以从下拉列表中进行选择“一年、二年或者永久”。

在“请选择购买和使用的国家或地区”的下拉列表中可以选择所在国家。

图2可以选择典型安装或者自定义安装，典型安装默认进行所有功能组件的最大化安装。

自宝义安装，可以选择安装相关的组件，如（图2）所示。

两种安装方式都可以自定义安装目录。

图3如（图3）所示，安装过程到这一步的时候，可以选择按访问保护的级别，标准保护或者最大保护。

在这里推荐选择标准保护，在软件安装成功后，访问保护规则仍然可以自行定义和修改的。

图4该软件安装完成后，不需要重新启动电脑，即能使用。

这是我第一个次碰到安装完成无需重启是杀毒软件，觉得这真是一个进步。

之前的8.0i版本安装完成后需要重启。

如（图4）所示，显示的是“VirusScan Enterprise 8.5i”。

图5推荐安装与之配套的Anti-Spyware Enterprise 8.5i 反间谍插件。

安装过程比较简单，双击安装包中的setup.exe一路点击“下一步”即可完成安装。

关于McAfee

关于McAfeeMcAfee是全球最畅销的杀毒软件之一，McAfee防毒软件, 除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能，除了帮你侦测和清除病毒，它还有VShield 自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

McAfee 公司是世界上第八大独立软件公司，简称M字头，是全球最大的致力于提供网络信息安全和管理的专业厂商，也是全球最有影响力的十大网络软件公司之一。

[编辑本段]概况McAfee公司( NYSE: MFE ) 总部位于加利福尼亚的圣克拉拉市，1998年收购欧洲第一大反病毒厂商Dr. Solomon，利用最新的加速处理和智能识别技术全面更新了其防病毒产品引擎。

McAfee公司在全世界75个国家设有分支机构，4000多名雇员，授权代理商、分销商、零售商，发展增值代理（V AR），并配合系统集成商为行业客户服务。

同时，在全球六大洲提供咨询（Consulting Service）、教育（Total Education Service）、产品支持（World Wide Product Support）等全面服务方案。

McAfee公司拥有世界权威的反病毒紧急事务响应小组（A VERT）和Mcafee实验室（Mcafee LAB），提供7/24的研发和支持服务。

基于A VERT小组的支持，MCAFEE可以为用户提供业界最优秀的自动升级服务：从病毒样本提取到更新产品并分布到受感染系统，整个周期小于4小时。

MCAFEE密切关注网上安全问题，为组织机构提供整体的安全顾问服务，推出网上PC诊室，是安全研究联盟SRA的主要成员。

与Cisco合作为学校培养网络人才，与Verisign和Entrust结成战略联盟提供PKIS支持，与Novell联手提供完善的全面集成的病毒防治能力的网络解决方案。

McAfee的使用法

一McAfee共有8个进程(企业版8.0i与8.5i的进程个数、安装目录名称和.exe文件所在路径略有差别: 以下是以8.5i为例进行说明的。

8.0i的安装目录是 Network Associate 文件夹)1、Mcshield.exe (On-Access Scanner service)按访问扫描C:\Program Files\McAfee\VirusScan Enterprise\McShield.exe它是McAfee的核心进程，对应的“服务”为 network Associates McShield，所以关闭此服务就关闭了实时监控2、shstat.exe: (VirusScan tray icon)系统托盘中McAfee盾牌图标。

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE启动项处于注册表内。

不过即使没有该图标，实时监控仍在运行，计算机仍受到保护。

如果偶尔发生系统启动时没有启动该进程，可以在安装目录找到并双击shstat.exe文件3、frameworkservice.exe: 对应的“服务”为McAfee framework。

C:\Program Files\McAfee\Common Framework\FrameworkService.exe停止该服务不影响McAfee实时监控。

启动该服务才能升级。

4、naPrdMgr.exe (NAI Product Manager)C:\Program Files\McAfee\Common Framework\naPrdMgr.exe它与frameworkservice.exe关联在一起，若关闭frameworkservice.exe 它也会消失。

5、UpdateUI.exe: （Common User Interface）C:\Program Files\McAfee\Common Framework\UdaterUI.exe 该进程是升级的前提。

McAfee VirusScan Enterprise 8.7i产品指南

未经 McAfee, Inc. 或其供应商或子公司的书面许可，不得以任何形式或手段将本出版物的任何内容复制、传播、转录、存储于检索系统或翻译成任何语言。

商标归属AVERT、EPO、EPOLICY ORCHESTRATOR、FLASHBOX、FOUNDSTONE、GROUPSHIELD、HERCULES、INTRUSHIELD、INTRUSION INTELLIGENCE、LINUXSHIELD、MANAGED MAIL PROTECTION、MAX (MCAFEE SECURITYALLIANCE EXCHANGE)、MCAFEE、、NETSHIELD、PORTALSHIELD、PREVENTSYS、PROTECTION-IN-DEPTH STRATEGY、PROTECTIONPILOT、SECURE MESSAGING SERVICE、SECURITYALLIANCE、SITEADVISOR、THREATSCAN、TOTAL PROTECTION、VIREX、VIRUSSCAN、WEBSHIELD 是McAfee, Inc. 和/或其子公司在美国和/或其他国家或地区的注册商标或商标。

安全内容标为红色是 McAfee 品牌产品的特色。

本文档中所有其他注册和未注册的商标均为其各自所有者专有财产。

许可信息许可协议致全体用户：请仔细阅读与您所购买的许可相关的法律协议，以了解使用许可软件的一般条款和条件。

如果不清楚您购买的许可属于哪一类，请查看软件包装盒附带的销售文档以及与许可授权或订单相关的其他文档，或者查看您购买时另行得到的销售文档以及与许可授权或订单相关的其他文档，这些文档既可以是小册子、产品CD上的文件，也可以是从软件包下载网站中获得的文件。

McAfee手动升级8.7I版本操作示意图

McAfee手动升级8.7I版本操作1、安装前准备工作（1）、查看工作站McAfee客户端版本（包括：代理agent版本、防病毒版本），代Agent 版本:4.0.0.1494、防病毒和防木马版本：8.7。

（2）、若代理agent版本是3.6版本，请卸载并安装4.0版本。

客户端未安装防病毒和防木马模块，请先卸载客户端并安装4.0.0.1494代理。

（卸载客户端请查看《mcafee客户端安装与卸载操作说明》。

附：卸代理的方法：你点右下角M图标---virscan enterprise---virscan 控制台---访问保护（右键）--属性---”访问保护“和”禁用MCAFEE服务被停止“前面的勾取消掉，然后应用，确定在桌面”开始“--”运行“--cmd--进入MCAFEE安装目录“c:\program files\mcafee\common framework\，输入命令：frminst.exe /forceuninstall 就可以把代理卸载掉了（3）、下载8.7版本防病毒和防木马模块，地址：ftp://192.168.101.4（FTP登陆用户：tp,密码:rainbow）(防病毒模块：VSE870LMLRP3(viruscan enterprise v8.7)；防木马模块：ASEM870LALL(mcafee antispyware enterprise module v8.7)2、安装步骤（1）、以系统管理员身份登录系统；（2）、先安装防病毒模块，打开防病毒模块VSE870LMLRP3(viruscan enterprise v8.7）安装文件夹，运行serupsve.exe，如图：（3）、“下一步”，选择许可期限类型：永久；选择购买国家或地区：中国（4）、下一步，选择安装类型：典型（5）、下一步，选择访问保护级别：标准保护（6）、下一步，准备安装，开始安装进行防病毒模块安装（8）、完成安装。

McAfee杀毒软件高级设置技巧1

McAfee杀毒软件高级设置技巧1McAfee杀毒软件除了普通的杀毒功能以外，还能通过McAfee 控制台------访问保护------用户自定义规则-----新建；访问保护规则端口阻止规则、文件与文件夹阻止规则、注册表阻止规则。

下面就教大家如何用McAfee端口阻止规则、文件与文件夹阻止规则、注册表阻止规则等高级设置。

学习之前先了解语法.在自定义规则中.常用的语法如下（通用的) * 代表所有的进程**\*\** 代表硬盘里所有文件System:Remote 代表远程操作(非本地)。

要想防止黑客。

把这条MCAFEE规则一定要用上.**\abc.exe 代表所有abc.exe的文件**\abc*\** 代表所有前面包含abc文件的目录c:\abc\** C盘abc目录下所有文件** 双星号加反斜杠代表任意多个层的目录*单号加反斜杠表示上层或下载目录一、端口阻止规则<例如：禁止QQ登录、51logon、谷歌金山词霸等>二、文件与文件夹阻止规则<例如：3721、网络猪、中文邮、百度搜霸、一搜>还可以禁止运行后缀名，例如：*.bat *.reg *.txt *.doc *.htm *js *vbs三、注册表阻止规则<很多木马或者恶意软件，都是通过开机启动菜单来执行。

现在我们可以通过禁止修改注册表阻止开机启动菜单列表，以下可能产生开机启动的项目（全）>[HKEY_LOCAL_MACHINE] 对全局有效[HKEY_CURRENT_USER] 对当前有效[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]每次启动登录时都会按顺序自动执行[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Policies\Explorer\Run]程序仅会被自动执行一次[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]程序会在系统加载时自动启动执行一次[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]RunServices继RunServicesOnce之后启动的程序[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]该键是Windows XP/2003特有的[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Cur rentVersion\RunOnceEx][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\RunOnceEx]load键值的程序也可以自启动[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Cu rrentVersion\Windows]Winlogon键[HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsN T\CurrentVersion\Winlogon]其他注册表位置,有一些程序在这里自动运行[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\Shell][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\ShellServiceObjectDelayLoad][HKEY_CURRENT_USER\Software\Policies\Microsoft\Windo ws\System\Scripts][HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Wind ows\System\Scripts]文件映象劫持关联的注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options安全模式关联的注册表路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \SafeBoot。

McA软件使用说明

<1> T: 免费！McAfee Security Scan Plus 检查 PC 安全状态 A: 『没有用处』它可让您轻而易举地检查计算机上的防病毒软件、防火墙保护以及 Web 安全状态。此款工具是对现有安全软件的有益补充。
<2> T: 免费！Microsoft Security Essentials （MSE） A: 『可以用用』它可以为家庭或小型企业中的计算机提供实时保护，防御受病毒、间谍软件以及其他恶意软件的攻击。
<10> Rar.exe本身并非病毒，它是winrar的命令行版本，是被病毒利用来压缩文件的，一般与cmd.exe病毒一起出现在进程里，感染后表现为出现rar.exe进程（用户名system）并且其CPU占用率较高，产生名称随机的进程，感染exe文件，关闭杀毒软件等。要想彻底解决此问题必须彻底清除病毒。
<8> VSE87i 软件简介是McAfee企业版的杀毒软件，全称是：McAfee VirusScan Enterprise 8.7i 企业版批量授权私人用几乎等于免费防毒查毒能力强，杀毒能力一般。
<9> IDAPI软件简介集成数据库应用程序编程接口(IDAPI)是Borland公司的标准数据库应用程序编程接口(API)。
<4> T:Accsee升级 A: 用新版本的Access打开老版本的程序时，将提示你是否要更新，Yes，则可以使用新功能，但是不再用旧版本的编辑此文件了；No，则只能查看和修改记录，不能修改数据库设计。
<5> T:Symantec Backup Exec Remote Agent Utility
<11> Security Configuration Wizard 安全配置向导 (SCW) 是一个攻击面减少工具，用于带有 Service Pack 1 (SP1) 的 Microsoft Windows Server 2003 家族成员产品。SCW 决定了服务器的一个或多个角色所需的最少功能，并且会禁用不需要的功能。使用 SCW 可进行如下操作：禁用不需要的服务。阻止不使用的端口。允许保持打开状态端口的进一步地址或安全限制。禁止不需要的 IIS Web 扩展（如果适用的话）。减少对于服务器消息阻止 (SMB)、LanMan 和轻型目录访问协议 (lt;6> T:seagate crystal reports 6.0

麦咖啡McAfee 8.8企业版规则设置(高级篇)

麦咖啡McAfee8.8企业版规则设置(高级篇)规则要点:1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化.2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制.3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐.4、易用性稍差,视个人软件情况,有的排除量可能较大.5、流畅性极好,飞一般的享受.6、支持系统自动监测更新,下载并安装时最好关闭访问保护.7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣.8、不直接分享规则,规则自己设置:(1)系统进程基本排除完毕,出现触红需要谨慎排除.(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等).友情提示:如果追求通用,可以把软件路径中的"E:\ProgramFiles\"替换成"*\ProgramFiles*\"即可,安全性影响很小.(3)没有排除的软件根据日志排除,或自行整理后添加排除.排除技巧:一般软件要想正常运行,需要在"禁止远程创建/修改可执行文件和配置文件"、"将所有共享项设为只读"、"保护Windows下的文件"、"保护Windows注册表_项"、"保护Windows 注册表_值"规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在"保护电话簿文件免受密码和电子邮件地址窃贼的攻击"、"保护缓存文件免受密码和电子邮件地址窃贼的攻击"中排除.(4)排除原则:善用百度搜索,辅以/扫描,放行已知安全,杜绝一切隐患.(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则.(6)不同系统,规则设置有所区别,请详细阅读规则说明.9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控！不好折腾的朋友不建议使用！规则设置:----------------------------默认规则---------------------------------------《防间谍程序标准保护》规则名称:保护InternetExplorer收藏夹和设置要包含的进程:**要排除的进程:C:\Windows\Explorer.EXE,C:\ProgramFiles\InternetExplorer\iexplore.exe是否勾选报告:否----------------------------------------说明:排除C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE 是为了自己能够修改InternetExplorer收藏夹和设置.不勾选报告,避免大量日志.《防间谍程序最大保护》规则名称:禁止安装新的CLSID、APPID和TYPELIB要包含的进程:**要排除的进程:无是否勾选报告:否----------------------------------说明:该规则用于阻止新的COMservers的安装和注册.某些广告以及间谍程序能够将自身添加到MicrosoftInternetExplorer的COM加载项中,或者附加到MicrosoftOffice.安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告.规则名称:禁止所有程序从Temp文件夹运行文件要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdinstall .exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles \McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\M cTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-----------------------------说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的Temp文件夹下,再运行.该规则其中之一的目的在于不断地提醒用户:"切勿从email中打开附件."而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及InternetExplorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著.排除咖啡相关进程是为了正常升级和使用.规则名称:禁止从Temp文件夹执行脚本要包含的进程:?script.exe要排除的进程:无是否勾选报告:否-------------------------------说明:阻止Windows脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式.没必要勾选报告.《防病毒标准保护》规则名称:禁止禁用注册表编辑器和任务管理器要包含的进程:**要排除的进程:无是否勾选报告:是------------------------------------说明:保护Windows注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用.不用排除.规则名称:禁止更改用户权限策略要包含的进程:**要排除的进程:C:\Windows\system32\lsass.exe是否勾选报告:是------------------------------------说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限.排除应该极少.规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\system32\ winlogon.exe,C:\Windows\Explorer.EXE,C:\Windows\\Framework64\**\msc orsvw.exe,C:\Windows\\Framework\**\mscorsvw.exe,C:\WINDOWS\regedit. exe,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Do wnload\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WINDOWS\system32\defrag .exe,C:\WINDOWS\system32\imapi.exe,C:\Windows\system32\lsass.exe,C:\Windows\Syst em32\msdtc.exe,C:\Windows\System32\rundll32.exe,C:\Windows\system32\services.exe ,C:\Windows\system32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\syste m32\wbem\WMIADAP.EXE,C:\WINDOWS\system32\wbem\wmiprvse.exe,C:\Windows\system32\w uapp.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Windows\SysWOW64\rundll32.exe,E:\4KB rowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer\Sbc kServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe是否勾选报告:是--------------------------------说明:该规则是规则"将所有共享项设为只读"的阉割版.保护了*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini不被修改.按绝对路径排除已知的安全程序,全局有效防止了对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.只此一条,就涵盖了坛子里原有规则自定义规则的N条.还有com、sys、drv、vxd、bat等,交给自定义规则补充吧.此处排除的是系统组进程,软件组在自定义中补充.(友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同.)规则名称:禁止远程创建自动运行文件要包含的进程:**要排除的进程:无要阻止的文件或文件夹名:autorun.inf是否勾选报告:是--------------------------------说明:禁止创建所有自动播放.规则名称:禁止拦截.EXE和其他可执行文件扩展名要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------------说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件.规则名称:禁止伪装Windows进程要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------------说明:禁止针对Windows核心进程svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.ex e,smss.exe的任何操作,防止浑水摸鱼.启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的Windows文件不受该规则限制.切记不用排除.规则名称:禁止群发邮件蠕虫发送邮件要包含的进程:**要排除的进程:无是否勾选报告:是----------------------------说明:邮件客户端,禁止通过SMTP端口(25和587)出站发送email.需要排除所用邮件软件的进程,否则软件将无法使用.规则名称:禁止IRC通信要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令.规则名称:禁止使用tftp.exe要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒.使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除.《防病毒最大保护》规则名称:禁止Svchost执行非Windows可执行文件要包含的进程:svchost.exe要排除的进程:无是否勾选报告:否---------------------------------说明:禁止Svchost.exe加载非Windows服务.DLL文件.用则不要排除,也不用勾选报告.否则可以不用.规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\ChinatelecomC+W \C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\Program Files\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPreventi on\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\Pr ogramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\Explorer.EXE ,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Downl oad\**\update.exe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\svchost.e xe,C:\Windows\SysWOW64\rundll32.exe,E:\ProgramFiles\CCleaner\CCleaner*.exe,E:\Pr ogramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80 \HWPDFOCR80.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\ Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.ex e,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshi eld\kwsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\Pr ogramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonF ramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\Progr amFiles\ThunderNetwork\Thunder\Program\Thunder.exe是否勾选报告:是------------------------------------------说明:隐私保护规则.保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码.排除已知的安全程序.规则名称:禁止更改所有文件扩展名的注册要包含的进程:**要排除的进程:C:\WINDOWS\explorer.exe是否勾选报告:否------------------------------说明:这是一个严格的版本"反病毒标准保护:防止其他可执行的EXE和扩展劫持"规则,而不是只保护的.EXE.这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键.排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名.不勾选报告,否则日志量大.规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFiles\Chinat elecomC+W\C+WClient.exe,C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntr usionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAf eeFire.exe,C:\ProgramFiles\WindowsMediaPlayer\wmplayer.exe,C:\Windows\Explorer.E XE,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Dow nload\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WINDOWS\system32\dwwin.e xe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\svchost.exe,C:\Windows\S ysWOW64\rundll32.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe,E:\ProgramFiles\CCleaner\CCleaner*.exe,E:\ProgramFiles \COMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\COMODO\COMODOInternetSecu rity\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\King soft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E :\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingsoft\webshield \kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ProgramFiles\McAfe e\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\Mc ScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\ McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\ProgramFiles\HWPDFOCR80\HWPD FOCR80.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe是否勾选报告:是--------------------------------------说明:隐私保护规则.防止病毒、木马读取上网隐私.排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为).《防病毒爆发控制》规则名称:将所有共享项设为只读(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\system32\ winlogon.exe,C:\WINDOWS\Explorer.EXE,C:\Windows\\Framework64\**\msc orsvw.exe,C:\Windows\\Framework\**\mscorsvw.exe,C:\Windows\servicin g\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\**\update.exe,C:\Windows\ System32\cleanmgr.exe,C:\Windows\System32\csrss.exe,C:\WINDOWS\system32\defrag.e xe,C:\Windows\system32\DeviceDisplayObjectProvider.exe,C:\WINDOWS\system32\drwts n32.exe,C:\WINDOWS\system32\dwwin.exe,C:\WINDOWS\system32\imapi.exe,C:\Windows\s ystem32\lsass.exe,C:\Windows\system32\mmc.exe,C:\Windows\System32\msdtc.exe,C:\W indows\system32\notepad.exe,C:\WINDOWS\regedit.exe,C:\Windows\System32\rundll32. exe,C:\Windows\System32\services.exe,C:\Windows\System32\smss.exe,C:\Windows\sys tem32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wbem\WMIADA P.EXE,C:\WINDOWS\system32\wbem\wmiprvse.exe,C:\WINDOWS\system32\WindowsPowerShel l\v1.0\powershell.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Windows\SysWOW64\notepa d.exe,C:\Windows\SysWOW64\rundll32.exe,C:\Windows\SysWOW64\runonce.exe,C:\Window s\SysWOW64\WerFault.exe,E:\4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.e xe,E:\AloneSbck\SbckServer\SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\ KangXiDict\eKangXi.exe是否勾选报告:是---------------------------------------说明:这是非常强大的全局禁改规则.按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了.有效防止信任区病毒爆发.软件组在自定义中补充.规则名称:阻止对所有共享资源的读写访问(即禁止非信任区程序访问-文件)要包含的进程:**(Win7下用*.*)要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是------------------------------------------------说明:这是非常强大的全局禁运规则.排除信任区后,非信任区一切程序的所有操作都无法进行.有效防止非信任区病毒爆发.注册表在自定义中补充.《通用标准保护》规则名称:禁止修改McAfee文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\system32\services.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe是否勾选报告:是-------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfeeCommonManagementAgent文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\system32\services.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe是否勾选报告:是------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfee扫描引擎文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\McAfee\CommonFramewo rk\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe是否勾选报告:是----------------------------------------说明:只排除了咖啡本身.规则名称:保护Mozilla及FireFox文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*是否勾选报告:是-------------------------------说明:本人不用,常规排除.规则名称:保护InternetExplorer设置要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE是否勾选报告:是----------------------------------说明:排除*\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE是为了自己能修改IE设置.规则名称:禁止安装BrowserHelperObjects和ShellExtensions要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService. exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfe e\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe 是否勾选报告:是-----------------------------------------说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等.只给咖啡这个权利.规则名称:保护网络设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,C:\Windows\system32\svchost.exe,E:\ProgramFiles\McAfee\C ommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McSca nCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McA fee\CommonFramework\UdaterUI.exe是否勾选报告:是----------------------------------------说明:反广告规则.禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据.只给咖啡和svchost.exe这个权利.规则名称:禁止公用程序从Temp文件夹运行文件要包含的进程:eudora.exe,explorer.exe,firefox.exe,iexplore.exe,MAPISP32.exe,mozilla.exe,msi mn.exe,msn6.exe,msnmsgr.exe,neo20.exe,netscp.exe,nlnotes.exe,opera.exe,outlook.e xe,Owstimer.exe,packager.exe,pine.exe,poco.exe,RESRCMON.EXE,SPSNotific*,thebat.e xe,thunde*.exe,VMIMB.EXE,WinMail.exe,winpm-32.exe,winrar.exe,winzip32.exe要排除的进程:无是否勾选报告:是---------------------------说明:官方默认.规则名称:在InternetExplorer中禁用HCPURL要包含的进程:iexplore.exe,wmplayer.exe要排除的进程:无是否勾选报告:是------------------------------------------------说明:官方默认.规则名称:防止终止McAfee进程要包含的进程:**要排除的进程:/system32/csrss.exe,/system32/drwtsn32.exe,/system32/lsass.exe,/syswow64/lsas s.exe,amgrcnfg.exe,C:\ProgramFiles\CommonFiles\McAfee\SystemCore\csscan.exe,C:\P rogramFiles\CommonFiles\McAfee\SystemCore\dainstall.exe,C:\ProgramFiles\CommonFi les\McAfee\SystemCore\mcshield.exe,cleanup.exe,cmdagent.exe,dbinit.exe,E:\Progra mFiles\McAfee\VirusScanEnterprise\mcadmin.exe,E:\ProgramFiles\McAfee\VirusScanEn terprise\mcconsol.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\mcupdate.exe,E: \ProgramFiles\McAfee\VirusScanEnterprise\restartVSE.exe,E:\ProgramFiles\McAfee\V irusScanEnterprise\scan32.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\scncfg3 2.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\shcfg32.exe,E:\ProgramFiles\McA fee\VirusScanEnterprise\shstat.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\VS Core\dainstall.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\VSCore\x64\dainsta ll.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\vstskmgr.exe,E:\ProgramFiles\M cAfee\VirusScanEnterprise\x64\scan64.exe,EngineServer.exe,fcag.exe,fcags.exe,FCA GT.exe,fcagte.exe,firesvc.exe,FireTray.exe,framepkg.exe,framepkg_upd.exe,framewo rks*,frameworks*.exe,frminst.exe,HipManage.exe,hipsvc.exe,McAfeeFire.exe,mcscanc heck.exe,mcscript*,mcscript_inuse.exe,mctray.exe,mfeann.exe,mfefire.exe,mfehidin .exe,MPEScanner.exe,mue_inuse.exe,naimserv.exe,naprdmgr.exe,naprdmgr64.exe,narep l32.exe,ncdaemon.exe,RPCServ.EXE,RSSensor.exe,SAFeService.exe,scanner.exe,setlic ense.exe,SiteAdv.exe,TBMon.exe,udaterui.exe,updaterui.exe,VirusScanAdvancedServe r.exe,vmscan.exe,WerFault.exe是否勾选报告:是------------------------------说明:官方默认.《通用最大保护》规则名称:禁止将程序注册为自动运行要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.e xe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webs hield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramF iles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.ex e,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\Mc Afee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTr ay.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-------------------------------------说明:安全软件给这个权利.规则名称:禁止将程序注册为服务要包含的进程:**要排除的进程:C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\InternetExplore r\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\Pro gramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\Hos tIntrusionPrevention\McAfeeFire.exe,C:\Windows\servicing\TrustedInstaller.exe,C: \WINDOWS\SoftwareDistribution\Download\**\update.exe,C:\Windows\system32\mmc.exe ,C:\Windows\System32\rundll32.exe,C:\Windows\system32\services.exe,C:\Windows\sy stem32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\SysWOW64\rundll32.e xe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\Ki ngsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe ,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingsoft\webshie ld\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ProgramFiles\McA fee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\ McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFile s\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Pro gram\Thunder.exe是否勾选报告:是---------------------------------------说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护.严格排除已知的安全进程.规则名称:禁止在Windows文件夹中创建新的可执行文件要包含的进程:**要排除的进程:C:\Windows\\Framework64\v4.0.30319\mscorsvw.exe,C:\Windows\Micro \Framework\v4.0.30319\mscorsvw.exe是否勾选报告:是------------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止在ProgramFiles文件夹中创建新的可执行文件要包含的进程:**要排除的进程:E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\M cAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-----------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止从DownloadedProgramFiles文件夹启动文件要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------说明:"要包含的进程"改成**,禁止所有程序从DownloadedProgramFiles文件夹启动文件.规则名称:禁止FTP通信要包含的进程:**要排除的进程:agentnt.exe,ahnun000.tmp,alg.exe,amgrsrvc.exe,apache.exe,autoup.exe,avtask.ex e,boxinfo.exe,cfgeng.exe,cleanup.exe,cmdagent.exe,dstest.exe,earthagent.exe,expl orer.exe,f-secu*,f-secureautoma*,firefox.exe,fnrb32.exe,framepkg.exe,framepkg_up d.exe,frameworks*,frminst.exe,fspex.exe,ftp://ftp.exe/,getdbhtp.exe,giantantispy wa*,google*,idsinst.exe,iexplore.exe,ii_nt86.exe,ilaunchr.exe,inetinfo.exe,inodi st.exe,iv_nt86.exe,lsetup.exe,lucoms*,luupdate.exe,mcscancheck.exe,mcscript*,mct ray.exe,mozilla.exe,msexcimc.exe,msn6.exe,mue_inuse.exe,naimserv.exe,naprdmgr.ex e,naprdmgr64.exe,narepl32.exe,netscp.exe,nv11esd.exe,ofcservice.exe,opera.exe,pa ddsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pskmssvc.exe,setlicense.exe,sevinst. exe,sucer.exe,supdate.exe,thunde*.exe,tmlisten.exe,tomcat.exe,tomcat5.exe,tomcat 5w.exe,tsc.exe,udaterui.exe,updaterui.exe,v3cfgu.exe,webproxy.exe是否勾选报告:是------------------------------说明:默认,到自定义规则中去详细控制.规则名称:禁止HTTP通信要包含的进程:**要排除的进程:???setup.exe,??setup.exe,?setup.exe,acrobat.exe,acrord32.exe,agentnt.exe,ahnu n000.tmp,alg.exe,amgrsrvc.exe,apache.exe,autoup.exe,avtask.exe,backweb-*,boxinfo .exe,C+WClient.exe,ccmexec.exe,cfgeng.exe,cleanup.exe,cmdagent.exe,console.exe,d evenv.exe,dstest.exe,dwwin.exe,earthagent.exe,eudora.exe,explorer.exe,f-secu*,f-secureautoma*,firefox.exe,FireSvc.exe,fnrb32.exe,framepkg.exe,framepkg_upd.exe,f rameworks*,frminst.exe,fspex.exe,getdbhtp.exe,giantantispywa*,google*,idsinst.ex e,iexplore.exe,ii_nt86.exe,ikernel.exe,ilaunchr.exe,inetinfo.exe,inodist.exe,Ins FireTdi.exe,iv_nt86.exe,javaw.exe,jucheck.exe,KSWebShield.exe,kwsmain.exe,kwsupd .exe,lsetup.exe,lucoms*,luupdate.exe,MAPISP32.exe,McAfeeHIP_Clie*,McSACore.exe,m cscancheck.exe,mcscript*,mctray.exe,mmc.exe,mobsync.exe,mozilla.exe,msexcimc.exe ,mshta.exe,msi*.tmp,msiexec.exe,msimn.exe,msn6.exe,msnmsgr.exe,mue_inuse.exe,nai mserv.exe,naprdmgr.exe,naprdmgr64.exe,narepl32.exe,neo20.exe,netscp.exe,nlnotes. exe,ntaskldr.exe,nv11esd.exe,ofcservice.exe,opera.exe,outlook.exe,Owstimer.exe,p addsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pine.exe,poco.exe,pskmssvc.exe,quic ktimeplaye*,realplay.exe,RESRCMON.EXE,runscheduled.exe,SAEDisable.exe,SAEuninsta ll.exe,setlicense.exe,setup*.exe,setup.exe,Setup_SAE.exe,sevinst.exe,SiteAdv.exe ,SPSNotific*,sucer.exe,supdate.exe,svchost.exe,thebat.exe,thunde*.exe,tmlisten.e xe,tomcat.exe,tomcat5.exe,tomcat5w.exe,tsc.exe,udaterui.exe,uninstall.exe,update .exe,updaterui.exe,v3cfgu.exe,VMIMB.EXE,vmnat.exe,waol.exe,webproxy.exe,wfica32. exe,winamp.exe,windbg.exe,WinMail.exe,winpm-32.exe,wmplayer.exe,wuauclt.exe,_ins *._mp是否勾选报告:是--------------------------------说明:默认加简单排除,到自定义规则中去详细控制.《虚拟机保护》规则名称:防止终止VMWare进程要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是--------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareWorkstation文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是----------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareServer文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是-----------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWare虚拟机文件要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是---------------------------------说明:本人不用,常规排除.----------------------------用户定义的规则-----------------------------------------01规则名称:禁止非信任区程序访问注册表_项要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.02规则名称:禁止非信任区程序访问注册表_值要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.03规则名称:禁止未知程序访问端口_入站要包含的进程:**(Win7下用*.*)要排除的进程:cmdagent.exe,FrameworkService.exe,iexplore.exe,KSWebShield.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUse.exe,svchost.exe要阻止的端口:1-65535方向:入站是否勾选报告:是-------------------------------------------------说明:程序入站自己控制.04规则名称:禁止未知程序访问端口_出站要包含的进程:**(Win7下用*.*)要排除的进程:C+WClient.exe,cmdagent.exe,FireSvc.exe,FrameworkService.exe,iexplore.exe,KSWe bShield.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUse.exe,sppsvc.exe,svc host.exe,Thunder*.exe要阻止的端口:1-65535方向:出站是否勾选报告:是-------------------------------------------------说明:程序出站自己控制.05规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组要包含的进程:**(Win7下用*.*)要排除的进程:**\Windows\**\*.*,C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFil es\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFiles\InternetExplorer\iexpl ore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFil es\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrus ionPrevention\Helper.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFi re.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\system32\svchost.exe,E:\4KBrowser\4KSe rver\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer\SbckServer.exe ,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe,E:\ProgramFiles\AC DSystems\ACDSee\10.0\ACDSee10.exe,E:\ProgramFiles\Adobe\PhotoshopCS\Photoshop.ex e,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32.exe,E:\ProgramFiles\CCleaner\C Cleaner.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\Progra mFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\HYDCGB.V20\HYDCV20.EXE,E:\Progr amFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWeb Shield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingso ft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\Progra mFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\Common Framework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\P rogramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\MicrosoftOffice\ OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11\POWERPNT.EXE,E:\Prog ramFiles\MicrosoftOffice\OFFICE11\WINWORD.EXE,E:\ProgramFiles\MicrosoftVirtualPC \VirtualPC.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe,E:\Pro gramFiles\ZRM2000\ZRW32.EXE要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"禁止远程创建/修改可执行文件和配置文件"规则的软件组.全局防止对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.06规则名称:防病毒爆发_将所有共享项设为只读_软件组要包含的进程:**(Win7下用*.*)要排除的进程:*\WINDOWS\**\*.*,c:\ProgramFiles\ATITechnologies\ATI.ACE\Core-Static\ccc.exe, C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ ARM\1.0\AdobeARM.exe,C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE,C:\ProgramFil es\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusi onPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\Helper. exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\ProgramFile s\WindowsDefender\MSASCui.exe,C:\ProgramFiles\WindowsMediaPlayer\wmplayer.exe,E: \4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer \SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe,E:\ ProgramFiles\ACDSystems\ACDSee\10.0\ACDSee10.exe,E:\ProgramFiles\Adobe\Photoshop CS\Photoshop.exe,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32.exe,E:\ProgramF iles\Adobe\Reader9.0\Reader\AcroRd32Info.exe,E:\ProgramFiles\ATITechnologies\ATI .ACE\Core-Static\CCC.exe,E:\ProgramFiles\CCleaner\CCleaner.exe,E:\ProgramFiles\C OMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\COMODO\COMODOInternetSecuri ty\cmdagent.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdinstall.exe,E:\ ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\HYDCGB.V20\HYDCV20.EXE,E: \ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield \KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\ Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.ex e,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\MicrosoftO ffice\OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11\POWERPNT.EXE,E :\ProgramFiles\MicrosoftOffice\OFFICE11\WINWORD.EXE,E:\ProgramFiles\MicrosoftVir tualPC\VirtualPC.exe,E:\ProgramFiles\ProgramFiles\AngryBirds\AngryBirds\AngryBir ds.exe,E:\ProgramFiles\ProgramFiles\WinRAR\WinRAR.exe,E:\ProgramFiles\ThunderNet work\Thunder\Program\Thunder.exe,E:\ProgramFiles\UltraISO\UltraISO.exe,E:\Progra mFiles\ZRM2000\ZRW32.EXE要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"将所有共享项设为只读"规则的软件组.防止信任区病毒爆发.。

迈克菲(麦咖啡)8.7i企业版安装说明书

删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用安装实用程序删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用命令行删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用“添加/删除程序”实用工具删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
测试安装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 已安装的文件的位置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

mcafee企业终端安全防护建议书word资料24页

企业终端安全防护建议书McAfee（中国）公司2020年1月14日文档说明非常感谢企业给予McAfee公司机会参与终端安全的构建和调整，并希望本文档所提供的终端安全技术解决方案能在整个项目规划和建设中发挥应有的作用。

需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和企业内部使用，未经McAfee公司书面许可，请勿扩散到第三方。

目录1方案概述 (4)2McAfee建议方案 (5)2.1企业终端安全威胁 (5)2.2需求分析 (5)2.3McAfee TOPS SA V PLUS SPY解决方案 (6)2.4McAfee TOPS SA V PLUS SPY的部署 (6)2.4.1ePO的部署 (6)2.4.2防病毒客户端的部署 (8)2.4.3SiteAdvisor的部署 (9)2.4.4部署架构图 (9)3McAfee TOPS SA V PLUS SPY产品功能及优势 (10)3.1集中管理服务器ePO (10)3.2McAfee VirusScan Enterprise 8.7i (12)3.3桌面计算机及文件服务器防间谍软件McAfee Anti Spyware 8.7 (15)4产品优势 (17)4.1McAfee TOPS SA V PLUS SPY (17)4.1.1基本状况 (17)4.1.2产品指标分析 (18)4.1.3桌面端产品 (21)5技术服务 (23)5.1McAfee ServicePortal (23)1 方案概述如今的安全威胁不断演变，已变得日益复杂，它们会窃取用户的宝贵数据、破坏用户的网络，并使员工、客户和合作伙伴无法使用一些重要的资源。

要阻止这些"越发高明"的威胁，我们的网络需要部署能够有效保护终端并降低风险的全面的、集成的终端安全解决方案。

终端安全管理是对软件进行更新以防范最新威胁的简便方法。

通过终端保护解决方案，我们可以针对病毒、蠕虫、木马、bot、黑客等各类安全威胁进行防护。

McAfee的使用法

一McAfee共有8个进程(企业版8.0i与8.5i的进程个数、安装目录名称和.exe文件所在路径略有差别: 以下是以8.5i为例进行说明的。

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE启动项处于注册表内。

不过即使没有该图标，实时监控仍在运行，计算机仍受到保护。

如果偶尔发生系统启动时没有启动该进程，可以在安装目录找到并双击shstat.exe文件3、frameworkservice.exe: 对应的“服务”为McAfee framework。

C:\Program Files\McAfee\Common Framework\FrameworkService.exe停止该服务不影响McAfee实时监控。

启动该服务才能升级。

4、naPrdMgr.exe (NAI Product Manager)C:\Program Files\McAfee\Common Framework\naPrdMgr.exe它与frameworkservice.exe关联在一起，若关闭frameworkservice.exe 它也会消失。

5、UpdateUI.exe: （Common User Interface）C:\Program Files\McAfee\Common Framework\UdaterUI.exe 该进程是升级的前提。

McAfee 产品技术白皮书 - VSE

McAfee VSE&ASE产品技术白皮书关键词：恶意软件、访问保护、Artemis摘要：版本控制：McAfee（中国）公司2019年11月2日目录1 产品概述 (4)1.1 面临的挑战 (4)1.2 主流解决方案的不足之处 (4)1.2.1 存在防护时间差 (4)1.2.2 难以应对形形色色的恶意软件 (5)1.2.3 安全管理成本居高不下 (5)1.3 McAfee的解决之道 (5)2 VSE产品特点 (6)2.1 不间断的实时防护 (6)2.2 全方位的病毒防护 (6)2.3 潜在“恶意/间谍程序/广告软件”程序安全 (6)2.4 缓冲区溢出防护（IPS 功能） (6)2.5 全面的病毒突发回应 (6)2.6 集中的管理和完全可定制的报告功能 (7)3 VSE产品功能 (8)3.1 OAS 访问扫描技术 (8)3.2 基于行为的检测技术 (8)3.3 BOP缓存溢出防护 (8)3.4 端口阻挡 (8)3.5 企业级管理 (8)3.6 感染源追踪和阻挡 (8)3.7 Rootkit 检测 (8)3.8 企业级报表 (8)4 VSE产品的部署方式 (9)5 主要成功案例 (10)1产品概述1.1面临的挑战自从 25 年前首次出现病毒以来，计算机安全领域发生了翻天覆地的变化。

病毒一波接一波地袭来，各种恶意漏洞攻击和狡猾的威胁轮番上场。

随着您的网络向远程地点和移动用户扩展，您所面临的风险也将随之扩大。

恶意软件的增长速度如此之快，以致安全厂商的解决方案难以跟上威胁的步伐。

2008年，我们发现的恶意软件数量比之前两年的数量总和还要多。

恶意软件不断增长的主要因素在于不法分子受到越来越多的利益驱使。

他们追逐金钱并不惧以身试法。

Gartner 的调查显示，80% 多的攻击是为了谋取不义之财。

恶意软件编写者所收集的个人及机密信息交易已经导致了高达数十亿美元的网络犯罪。

绝大多数的威胁是悄无声息的——它们被加密或打包，混淆在有效荷载中；缩小了文件的容量；使安全厂商花费更多的时间和成本对其进行分析及防御。

Mcafee安装和卸载操作说明

Mcafee安装和卸载操作说明McAfee安装和卸载操作说明一、安装1、安装前准备工作(1)、查看、更改计算机名称。

(公司计算机命名规范见《计算机命名规范》和《计算机命名规范和编码表》)，更改计算机名完成后，请重启电脑;(2)、关闭防火墙;(3)、卸载或关闭其它防病毒或防木马软件程序;(禁止用带有McAfee客户端的系统制作成GHOST恢复到其它电脑的方式来安装McAfee客户端)2、安装步骤(1)、准备McAfee安装代理程序FramePkg.exe(目前代理版本为4.0.0.1494，大小约6.31M),文件存放位置FTP:\\192.168.101.4，文件存放地址:\Tools\安全相关\mcafee(FTP登陆用户:tp,密码:rainbow)(2)、双击“FramePkg.exe“文件安装，注意有些电脑安装了360安全卫士,此时会出现提示。

请关闭360安全卫士或者全部信任。

(3)、打开MS-DOS，进入McAfee安装目录“C:\Program Files\McAfee\Common Frame work”，输入命令“cmdagent.exe /s” ,打开“McAfe e Agent 状态监视器”，点击“执行新策略” 客户机代理会自动与服务器连接，服务器会分发并安装客户端。

如图示代理安装大约需要15--20分钟(出现如图示，即可关闭“McAfe e Agent 状态监视器”)，(5)、此时任务栏右下角出现图标，检查McAfee安装情况:1、检查McAfee Agent代理版本(目前最新版本:4.0.0.1494)如图:2、检查McAfee DAT/引擎版本、补丁安装(状态是否最新)如图:3、检查McAfee安装模板，McAfee安装完后在添加删除程序里会显示安装的模块:McAfeeAntiSpyware Enterprise Module和McAfee VirusScan Enterprise ,如图示:目前McAfee VSE版本为8.7I，安装更新McAfee代理为4.0.0.1494、VSE为8.7I版本。

McAfee企业版杀毒软件8.5、8.7的简单说明和一些思路(精)

本人玩杀毒软件已经有 1年多了, 刚开始是个不折不扣的杀毒软件狂热者, 装遍无数杀毒软件,现在想想实在是阅历丰富啊…… ,但是后来接触到了 McAfee 企业版,和 HIPS 概念,防毒观念立马转变了过来, 接着就是不断地学习和试验。

使用麦咖啡系列软件已经有大半年了, 一直很坚定,对它很有信心,从 8.5开始,到 8.7,后来又试了 8.0,后来又回到 8.5,总算是对这 3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。

先给新手补个课吧:首先介绍下 HIPS 也就是主动防御:HIPS 可以分为 3D :AD(Application Defend应用程序防御体系 RD(Registry Defend 注册表防御体系 FD(File Defend 文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee 的访问保护个人觉得是一个相对不完整 (当然是相对于专业 HIPS 如PS 和 EQ 等但是功能强大的主动防御体系, 大家所谓的规则就是访问保护部分。

最然说不完整, 但是还是很安全。

为什么这么说呢, McAfee 企业版有和专业 HIPS 一样完整的 FD 和 RD ,只是 AD 部分没有专业 HIPS 软件细化,专业 HIPS 软件的AD 有很多细致的条目可以供选择,过于细化好处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。

而 McAfee 企业版的 AD 仅包括了“ 执行”一个功能,不要小看它,这个功能可以防止程序的运行,防止了它的运行何谈插入线程,全局钩子一类的?其实 McAfee 实现了 AD 的主要功能,但是这种单一的功能有种一刀切的感觉, 对于高手来说是一种限制但是对于大众来说, 就如我们这类菜鸟来说其实功能完全能达到要求了, 对于我们防毒, 规范软件行为才是我们想要的, 而不是繁琐的规则制定, 简单有效的规则制定不但能道道目的, 而且不会使我们感到厌烦, 在学习规则,编辑规则时也会乐在其中。

McAfee企业版杀毒软件8.5、8.7的简单说明和一些思路

本人玩杀毒软件已经有1年多了，刚开始是个不折不扣的杀毒软件狂热者，装遍无数杀毒软件，现在想想实在是阅历丰富啊……，但是后来接触到了McAfee企业版，和HIPS概念，防毒观念立马转变了过来，接着就是不断地学习和试验。

使用麦咖啡系列软件已经有大半年了，一直很坚定，对它很有信心，从8.5开始，到8.7，后来又试了8.0，后来又回到8.5，总算是对这3款软件的属性比较熟悉了，当然之间也学习了很多高手的文章和经验。

先给新手补个课吧：首先介绍下HIPS也就是主动防御：HIPS可以分为3D：AD(Application Defend)应用程序防御体系RD(Registry Defend)注册表防御体系FD(File Defend)文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee的访问保护个人觉得是一个相对不完整（当然是相对于专业HIPS如PS和EQ等）但是功能强大的主动防御体系，大家所谓的规则就是访问保护部分。

最然说不完整，但是还是很安全。

为什么这么说呢，McAfee企业版有和专业HIPS一样完整的FD和RD，只是AD部分没有专业HIPS软件细化，专业HIPS软件的AD有很多细致的条目可以供选择，过于细化好处当然有，但是对于新手和菜鸟来说简直就不知所云，那些条目都不知道。

而McAfee企业版的AD仅包括了“执行”一个功能，不要小看它，这个功能可以防止程序的运行，防止了它的运行何谈插入线程，全局钩子一类的？其实McAfee实现了AD的主要功能，但是这种单一的功能有种一刀切的感觉，对于高手来说是一种限制但是对于大众来说，就如我们这类菜鸟来说其实功能完全能达到要求了，对于我们防毒，规范软件行为才是我们想要的，而不是繁琐的规则制定，简单有效的规则制定不但能道道目的，而且不会使我们感到厌烦，在学习规则，编辑规则时也会乐在其中。

主动防御的精髓在于规则，乐趣也在于规则，用恰当了不但能防毒还可以防止软件的不轨行为。

McAfee（麦咖啡）杀毒规则设置方法

McAfee（麦咖啡）杀毒规则设置⽅法1、McAfee的杀毒凌驾于⼀切规则之上！即设置规则禁⽌对染毒⽂件做任何操作，在McAfee杀毒时，该规则失效。

所以不要介意将规则中的“删除”选项选中，因为即使禁⽌删除该⽂件，若该⽂件染毒，McAfee⼀样照杀不误。

2、“访问保护”⽀持绝对路径。

通鉴中所有规则均以系统盘为C盘编写。

3、双星号(**)表⽰在反斜线(\)字符前后任意多个层级的⽬录，即⽂件夹可以新建，但任何⽂件夹中的⽂件均被保护。

⼀个星号(*)表⽰任意⼀个或部分⽬录名称，（*.*）表⽰任何⽂件，不包括⽂件夹，即只有⼀层⽂件夹内的⽂件被保护。

（\**）与（\**\*）均表⽰在当前⽬录下任意多个层级⽬录⾥的任何⽂件和⽂件夹。

4、在“要禁⽌的⽂件操作”⾥，除了“创建”外，其余四项都是对已有的⽂件进⾏操作，⼀般情况下，“写⼊”、“创建”和“删除”可以⼀同禁⽌，⽽且禁⽌“写⼊”有时需要禁⽌“创建”，否则系统会在此⽂件夹中创建TMP*.tmp的临时⽂件（垃圾⽂件）。

5、读取：对已有的⽂件进⾏读取操作，但不执⾏⽂件的内容；写⼊：对已有的⽂件进⾏写⼊操作，即对⽂件的内容进⾏修改，删除等；执⾏：对已有的⽂件进⾏执⾏操作，即执⾏⽂件的内容；创建：在⽂件夹中创建⼀个新的⽂件；删除：对已有的⽂件进⾏删除操作，包括修改⽂件名。

6、对注册表保护中“要保护的注册表项或注册表值”⾥⾯主键的说明：空⽩项：默认状态，⽆任何意义。

HKLM：表⽰HKEY_LOCAL_MACHINE主键。

HKCU：表⽰HKEY_CURRENT_USER主键。

HKCR：表⽰HKEY_CLASSES_ROOT主键。

HKCCS：表⽰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。

HKULM：表⽰HKCU+HKLM+HKEY_USER三⼤主键。

HKALL：表⽰所有主键。

可以近似地当作⾃定义项来使⽤。

MCAFEE8.7可以停止的服务

MCAFEE8.7可以停止的服务McAfee Engine Service和McAfee V alidation Trust Protection Service服务McAfee Engine Service服务可尝试暂时禁用，或设为手动McAfee V alidation Trust Protection Service为核心服务进程之一，必须设为自动首先您需要在左下角的开始-运行中输入“MSCONFIG”，除了那个SHSTA T之外将其它的的mcafee自启动项目的勾去掉，Network Associates McShield这个是mcafee的核心服务推荐设置：自动启动启动后一般是无法在资源管理器将它结束掉的。

McAfee Framework 服务这个是McAfee 产品的共享组件框架，我自己的设置是：手动启动必须要注意的是：一定要启动这个服务才能升级mcafee的病毒库你可以选择当需要升级的时候才启动这个服务（会连带启动一些相关进程），升级完毕之后可以在资源管理器里面结束掉这个进程和相关进程，以节省资源。

(mcafee)Network Associates Task Manager这个应该是mcafee的计划任务，平时禁用它不会有什么使用上的影响，但是最好还是打开它，否则会发生病毒库日期显示不正确，打开控制台时候出现提示等问题经过了这样的一番设置后，再打开资源管理器，你就会发现mcafee 只剩下两个进程了一个是：Mcshield.exe（常驻的核心进程）一个是：SHSTA T.EXE（任务栏右下角的那个图标）一般情况下这两个进程加起来资源占用大约在8M左右这应该也是mcafee（服务优化上）所能达到资源最节省与安全性并重的极致了吧。

mcafee规则设置技巧

Macfee规则设置技巧自己动手用Macfee打造自己的安全系统让有些朋友能手动添加MCAFEE8.0!企业版的一些规则。

使用mcafee后，感觉它的监控真是没得说，的确不错的杀软，不过对于新手来说可能设置麻烦了点，但如果只用默认设置的话就安全性低了点，也许很多朋友都是导入现成的规则，本着DIY的想法，并且每个人都应该有他们自己独特的设置，所以与大家分享咖啡的规则设置。

呵呵，我也是转贴。

规则有点多，并不是一定要全设，看自己的实际情况啦！许多人对咖啡不了解。

先对咖啡略为介绍。

咖啡是国际上三大杀软之一，也是下载使用率最高的杀软。

它是迄今为止监控最灵敏的杀软，也是监控最全面的杀软。

下面是咖啡官方对咖啡杀软的简介：McAfee防毒软件，除了操作介面更新外，也将该公司的WebScanX功能合在一起，增加了许多新功能! 除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

本人强烈推荐McAfee VirusScan 8.0i中文企业版+Anti-Spyware安装咖啡注意事项：1、在安装时，时间选项里，请选择“永久”，不要选择预订一年之类。

2、第一次升级咖啡，会很慢，大约2~3小时才能完成。

请耐心等待。

以后病毒库升级会很快，一般1~3分钟搞定。

目前咖啡1~3天升级一次。

个别时，一天升级3次以上。

咖啡安装完成了，先对咖啡进行一些设置。

1、访问保护。

双击访问保护，打开访问保护。

出现端口阻挡，文件保护，报告，三个选项。

（1）、更改端口设置。

默认端口阻挡全部勾选。

添加阻挡端口新规则。

端口总共有65535个。

好了，把1~65535端口全部进行设置。

由于咖啡对端口的阻挡模式分为两种：阻止入站，阻止出站，这样，对1~65535端口进行设置，需要分为两组。

麦咖啡规则3

1、禁止所有用户在桌面上创建除word excel powerpoint以外的文件，包括文件夹规则名称：禁止所有用户在桌面上创建除word excel powerpoint以外的文件要包含的进程：*要排除的进程：winword.exe,excel.exe,powerpnt.exe要阻挡的文件或文件名：**桌面\**要阻止的文件操作：创建文件备注：mcafee8.7企业版无法阻止创建文件夹2、禁止在C盘里面新建和修改任何exe文件、DLL文件，bat文件以及文件夹规则名称：禁止在本地C盘任何地方创建、写入任何exe文件要包含的进程：*要阻挡的文件或文件名：c:\**\*.exe,要阻止的文件操作：创建文件、写入文件规则名称：禁止在本地C盘任何地方创建、写入任何dll文件要包含的进程：*要阻挡的文件或文件名：c:\**\*.dll要阻止的文件操作：创建文件、写入文件规则名称：禁止在本地C盘任何地方创建、写入任何bat文件要包含的进程：*要阻挡的文件或文件名：c:\**\*.bat,要阻止的文件操作：创建文件、写入文件备注：无法阻止创建文件夹3、禁用21、80端口规则名称：禁用端口21要包含的进程：*开始端口：21结束端口：21方向勾选：入站、出站规则名称：禁用端口80要包含的进程：*开始端口：80结束端口：80方向勾选：入站、出站4、禁止运行QQ规则名称：禁用QQ要包含的进程：*要阻止的文件：qq.exe要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件5、禁止上网规则名称：禁止上网要包含的进程：*要阻止的文件：iexplore.exe要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件6、在除系统盘外的分区中只允许在“微机组装”这个文件夹内才能写入7、防止系统备份被修改和删除规则名称：保护系统备份要包含的进程：*要阻止的文件：**\*.gho要禁止的操作：正在删除的文件, 对文件进行写访问，正在创建的新文件，正在执行的文件8、防止病毒在U盘媒体传播规则名称：防止病毒在U盘传播要包含的进程：*要阻止的文件：U:\**要禁止的操作：正在创建的新文件，正在执行的文件，9、禁止访问可疑的启动项目规则名称：禁止访问可疑的启动项目要包含的进程：*要排除的进程：ctfmon.exe要保护的注册表项：HKALL /**/run/* 值要禁止的操作：向项或值中写入，创建项或值，删除项或值10、禁止在Internet Explorer文件夹中进行创建写入活动规则名称：禁止在Internet Explorer文件夹中进行创建写入活动要包含的进程：*要阻止的文件：*:\**\Internet Explorer\**要禁止的操作：对文件进行写访问, 正在创建的文件11、禁止对Cookies文件进行某些操作规则名称：禁止对Cookie文件进行某些操作要包含的进程：*要阻止的文件：**Cookies***要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件12、禁止对本地注册表进行创建、写入活动规则名称：禁止对本地注册表进行创建、写入活动要包含的进程：*要保护的注册表项：HKALL /** 项要禁止的操作：向项或值写入，创建项或值13、禁止运行计算机管理相关工具规则名称：禁止运行计算机管理相关工具要包含的进程：*要阻止的文件：secpol.msc, services.msc, compmgmt.msc, eventvwr.msc,odbcad32.exe, perfmon.msc, comexp.msc要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件14、禁止对www文件夹下index.htm进行任何操作规则名称：禁止对www文件夹下index.htm进行任何操作要包含的进程：*要阻止的文件：*:\**\www\index.htm要禁止的操作：正在删除的文件, 对文件进行写访问, 对文件进行读访问,正在创建的文件,正在执行的文件15、禁止在本地任何地方创建、写入任何exe文件规则名称：禁止运行任务管理器要包含的进程：*要阻止的文件：**\*.exe要禁止的操作：对文件进行写访问，正在创建的文件16、禁止运行任务管理器规则名称：禁止运行任务管理器要包含的进程：*要阻止的文件：**\taskmgr.exe要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件17、禁止远程创建/修改/删除文件(.exe)规则名称：禁止远程创建/修改/删除文件(.exe)要包含的进程：*阻挡对象：System:Remote要阻挡的文件或文件名：*:\**\*.exe要阻止的文件操作：创建文件、写入文件、删除文件18、限制计算机管理工具中重要管理工具的修改操作规则名称：限制计算机管理工具中重要管理工具的修改操作要包含的进程：*要阻止的文件：secpol.msc, services.msc, compmgmt.msc, eventvwr.msc,odbcad32.exe, perfmon.msc, comexp.msc要禁止的操作：对文件进行写访问19、为防止黑客，禁用cmd命令规则名称：禁用cmd要包含的进程：*要阻止的文件：cmd.exe要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件20、禁止远程行为对C盘进行任何操作规则名称：禁止远程行为对C盘文件/文件夹进行任何操作要包含的进程：*阻挡对象：System:Remote要阻挡的文件或文件名：c:\**\*\**要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件21、保护我的音乐文件，不要让他人偷偷拷走和破坏（删除）规则名称：保护我的音乐文件要包含的进程：*要阻止的文件：D:\我的音乐\**要禁止的操作：正在删除的文件22、不让运行迅雷和BT下载工具，保护硬盘规则名称：不让运行迅雷和BT下载工具要包含的进程：bt.exe, bt?.exe, Thunder.exe, Thunder?.exe要阻止的文件：**\Thunder\**\*.exe,**\bt\**\*.exe,要禁止的操作：正在创建的文件，正在执行的文件23、用迈克菲（McAfee）根治流氓软件（如划词搜索、很棒小秘书、雅虎助手、中文上网、网络猪、一搜工具条、搜一搜等）如：3721规则名称：禁止在本地创建、写入、执行、读取3721任何内容要包含的进程：*要阻挡的文件或文件名：**\3721*\**要阻止的文件操作：创建文件、写入文件、执行文件、读取文件24、防止autorun病毒规则名称：防止autorun病毒要包含的进程：*要阻止的文件：**\autorun*\*.*要禁止的操作：正在创建的新文件，正在执行的文件，对文件进行读访问，对文件进行写访问，25、阻止ping等网络命令（以ping命令为例）规则名称：禁用ping命令要包含的进程：*要阻止的文件：ping.exe要禁止的操作：对文件进行读访问，对文件进行写访问，正在执行的文件。

mcafee进程

8.7i 企业版1、麦咖啡杀软的关联启动项mctray。

Exe 升级时出现，关闭不影响正常使用2、麦咖啡杀软升级程序udaterui。

Exe 自动升级3、麦咖啡杀软相关程序shstat。

Exe 系统图标，关闭仍处于系统保护状态4、麦咖啡杀软的计划扫描和更新服务vstskmgr。

Exe 关闭对杀毒无影响，只对打开控制台有关。

5、麦咖啡杀软的引擎服务EngineServer。

Exe 进程文件：EngineServer或者EngineServer.exe 描述：alg.exe是McAfee公司的杀毒程序之一。

它用于扫描端口在5000系列的程序。

迈克菲从VirusScan Enterprise8.7i开始就在产品中加入了mfevtps.exe和EngineServer.exe 这两个进程，也许很多人都不太了解它们的作用，以下就根据在迈克菲网站查到的资料简要的介绍下。

EngineServer.exe系统中显示的服务名为引擎服务。

在8.5i或更早的版本中，扫描组件是运行在它们所保护的进程中，这也被称为运行于进程内（in-process）。

举个例子，提供给Outlook的邮件扫描功能，会使用Outlook的进程和内存空间来加载引擎和DAT文件，它的内存使用随着引擎和DAT文件的体积大小增大而增加。

这种设计有一个缺陷，如果引擎和DAT文件本身有一个严重问题，它会影响整个进程，可能导致进程运行失败或停止响应。

这可能需要重新启动应用程序。

在VirusScan Enterprise 8.7i中设计了EngineServer.exe，它用来加载引擎和DAT文件为扫描功能（邮件扫描、脚本扫描和按需扫描中Rootkit扫描的一部分）提供扫描服务。

这也可以称为运行于进程外（out of process）。

这样的设计解决了可能因为引擎和DAT文件的问题而导致的程序运行错误。

EngineServer.exe为每个正在进行的扫描加载引擎实例，如前面所述。