McAfee企业版日志详解

企业网络安全是目前每个企业都必须重视的问题。

网络安全事件日志分析是企业网络安全的重要一环。

通过对网络安全事件日志的分析，企业可以及时发现网络安全问题并采取相应的措施加以解决，保障企业的信息安全。

本文将从日志的收集、存储、分析和应对四个方面探讨企业网络安全事件日志分析的方法。

一、日志的收集日志的收集是网络安全事件日志分析的第一步。

企业可以通过安全设备、服务器和应用程序来收集网络安全事件日志。

安全设备包括防火墙、入侵检测系统和安全信息与事件管理系统。

服务器包括操作系统、数据库和应用程序服务器。

应用程序包括邮件服务器、Web服务器和身份认证服务器。

企业可以使用统一的日志管理平台来收集各种设备和应用程序的日志，以便集中管理和分析。

二、日志的存储日志的存储是网络安全事件日志分析的基础。

企业可以选择本地存储或云存储。

本地存储可以是硬盘、存储阵列或网络存储设备。

云存储可以是公有云、私有云或混合云。

无论选择本地存储还是云存储，企业都需要考虑日志的保留时间和存储容量。

日志的保留时间应根据法律法规和企业的安全政策来确定。

存储容量应根据日志的生成频率和存储周期来规划。

三、日志的分析日志的分析是网络安全事件日志分析的核心。

企业可以使用日志管理和分析工具来对日志进行分析。

这些工具可以自动化地识别异常事件并生成警报。

企业还可以使用数据分析和机器学习技术来挖掘日志中的潜在威胁。

此外，企业还可以部署安全信息与事件管理系统来对日志进行集中分析和跟踪。

四、日志的应对日志的应对是网络安全事件日志分析的最终目的。

企业可以根据日志的分析结果来采取相应的措施加以解决。

这些措施包括修复漏洞、加强访问控制、更新安全策略和加强监控。

企业还可以使用自动化工具和安全服务来对日志中的威胁进行响应和防御。

此外，企业还可以进行安全事件响应演练和持续改进，以提高对网络安全事件的应对能力。

网络安全事件日志分析是企业网络安全的重要一环。

通过对日志的收集、存储、分析和应对，企业可以及时发现网络安全问题并采取相应的措施加以解决，保障企业的信息安全。

McAfee麦咖啡企业版8.8设置⽅法McAfee⼤企业版规则之强，天诺时空现有规则之厉，相信⼤家已有所见闻与实践。

但是否真的滴⽔不漏、固若⾦汤，相信谁也不敢妄⾔。

本教程⼒图充分利⽤咖啡规则现有语法特点，引导有⼀定基础的新⼿和有兴趣的朋友构筑⼀个防范严密、⾼效放⼼的规则。

既然是防毒，必须从病毒的⾏为特点出发，制定相应的规则进⾏防御。

按照时间划分，病毒⾏为可以分为三个阶段：第⼀，前期⾏为，表现为创建病毒⽂件到本地，途径不外乎有两个，可移动设备和⽹络，其中病毒⽂件主体90%都是exe⽂件和dll⽂件，其它尚有sys、bat、com、pif、vbs、autorun.inf等；第⼆，中期⾏为，表现为从本地激活运⾏病毒，释放sys驱动⽂件、bat批处理⽂件、autorun.inf驱动⽂件等；第三，后期⾏为，表现为修改、创建exe、dll、sys等⽂件，访问服务管理器添加服务或加载驱动，修改注册表以实现⾃启动，添加开机启动项⽬，添加任务计划，注⼊其它进程，底层访问磁盘、屏幕、键盘，修改hosts⽂件等。

针对病毒的以上特点，规则必须做到：第⼀、前期防御：设置规则防⽌病毒创建⽂件到本地，即所谓的⼊⼝防御。

⼊⼝规则设置可以有⼏种思路，⼀是分别设置全局规则禁⽌创建可执⾏⽂件，例如邪版8.8经典规则；⼆是分别设置浏览器、U盘规则禁⽌创建可执⾏⽂件，如猫版64位Win7规则；三是通过严格保护系统和软件⽂件夹来变相实现⼊⼝防御，如墨池镇版规则和storyhare的系列规则。

第⼆、中期防御：设置规则防⽌本地病毒激活并运⾏。

禁运规则必须有效直接禁⽌已知病毒和未知程序在任何位置运⾏，⽽不是等着病毒去修改系统⽂件才阻⽌，这是⽬前所有规则的弱项。

墨池镇版规则有这个意识，但没有完全实现。

原因很简单，⼤家对咖啡的权限控制还没有完全搞懂，后⾯专门论述。

第三，后期防御：设置规则防⽌病毒运⾏后的⼀系列破坏⾏为，这可以通过禁⽌未知程序修改系统、软件⽂件或者全局禁⽌修改可执⾏⽂件来实现。

一McAfee共有8个进程(企业版8.0i与8.5i的进程个数、安装目录名称和.exe文件所在路径略有差别: 以下是以8.5i为例进行说明的。

8.0i的安装目录是 Network Associate 文件夹)1、Mcshield.exe (On-Access Scanner service)按访问扫描C:\Program Files\McAfee\VirusScan Enterprise\McShield.exe它是McAfee的核心进程，对应的“服务”为 network Associates McShield，所以关闭此服务就关闭了实时监控2、shstat.exe: (VirusScan tray icon)系统托盘中McAfee盾牌图标。

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE启动项处于注册表内。

不过即使没有该图标，实时监控仍在运行，计算机仍受到保护。

如果偶尔发生系统启动时没有启动该进程，可以在安装目录找到并双击shstat.exe文件3、frameworkservice.exe: 对应的“服务”为McAfee framework。

C:\Program Files\McAfee\Common Framework\FrameworkService.exe停止该服务不影响McAfee实时监控。

启动该服务才能升级。

4、naPrdMgr.exe (NAI Product Manager)C:\Program Files\McAfee\Common Framework\naPrdMgr.exe它与frameworkservice.exe关联在一起，若关闭frameworkservice.exe 它也会消失。

5、UpdateUI.exe: （Common User Interface）C:\Program Files\McAfee\Common Framework\UdaterUI.exe 该进程是升级的前提。

Mcafee企业版配置手册（for EPO4.5）目录1.软件部署 (4)1.1安装后任务 (4)2.软件配置 (4)2.1登录控制台 (4)2.2界面定制 (6)2.3配置ePO4.5 (8)2.3.1过程概述 (8)2.3.2用户管理 (9)2.3.3服务器及相关参数配置 (10)2.3.4创建存储库 (14)2.3.5添加系统到系统树 (23)2.3.6部署管理代理 (32)2.3.7策略配置 (36)2.3.8部署产品和软件 (43)承接《Mcafee企业版部署手册》1. 软件部署1.1 安装后任务✓计划ePolicy Orchestrator 系统树和更新方案。

✓创建ePolicy Orchestrator 系统树。

✓将McAfee Agent 分发到要通过ePolicy Orchestrator 管理的系统。

✓创建更新存储库。

✓将那些要由ePolicy Orchestrator 管理的产品签入存储库。

然后配置这些产品的策略设置。

✓将产品部署到托管计算机。

✓配置ePolicy Orchestrator 的高级功能。

2. 软件配置2.1 登录控制台➢可选择在服务端点击桌面的图标登录➢通过远程登录：在浏览器（IE或之上的版本、Firefox3.0以上版本）中输入：https://xxx.xxx.xxx.xxx:8443（IP为可访问IP，端口为安装时配置的端口）输入用户名和密码后：2.2 界面定制➢菜单栏“菜单”是4.5 版ePolicy Orchestrator 软件中的新增功能。

“菜单”使用类别来对各种ePO 特性和功能进行比较。

每个类别都包含与一个唯一图标相关联的主要功能页列表。

可通过菜单选项选择自己需要的功能区域进行配置。

➢导航栏在ePolicy Orchestrator 4.5 中，可以自定义导航栏。

可以通过将任何菜单项拖入或拖出导航栏来确定导航栏上显示的图标。

在导航到菜单中的某个页面或者单击导航栏中的某个图标时，该页的名称将显示在“菜单”旁的蓝框中。

Mcafee企业版维护手册（for EPO4.5）目录1.前言 (4)2.使用仪表盘监视 (4)2.1默认仪表盘 (4)2.2其它仪表板 (5)2.2.1执行仪表板 (5)2.2.2产品部署 (6)2.2.3VSE：趋势数据 (7)2.2.4VSE：当前检测数 (8)2.3配置仪表板的刷新频率 (8)2.4创建仪表板 (9)3.创建自动响应 (10)3.1配置电子邮件服务器 (10)3.2新建联系人 (11)3.3配置自动响应 (11)3.3.1描述规则 (11)3.3.2设置规则过滤器 (12)3.3.3设置规则阀值 (13)3.3.4设置自动响应规则 (13)3.4常见问题 (14)4.系统报告 (15)4.1共享组 (15)4.2我的组 (17)4.2.1自定义预先配置 (17)4.2.2创建托管系统查询 (19)4.2.3转换“VSE DAT 版本“查询为饼图 (20)4.2.4创建可显示合规性的布尔饼图 (22)4.2.5创建可显示VirusScan Enterprise DAT 合规性的信息显示板监视器 (25)4.3导出报告 (26)5.维护ePO数据库 (27)5.1定期维护SQL Server 数据库 (28)5.2备份和还原ePolicy Orchestrator 数据库 (28)5.3更改SQL Server 信息 (28)1. 前言在对系统进行部署之后，即可以通过系统的日常运行来管理我们的网络，经过一段时间的运行，系统中将积累大量的数据。

因此，如果来有效管理这样一个网络，使系统稳定运行，以及如何来更加深入地保护我们的网络，则需要对系统进行合理的维护。

在本文档里，将对一些后续系统的日常维护做一些简单的介绍。

2. 使用仪表盘监视在ePO4.5的系统中，附带了多个默认的仪表板，每个仪表板都有其各自的默认监视器，提供了有关环境的当前数据，是进行系统监控，状态分析的最直观的地方。

2.1 默认仪表盘默认仪表盘通常为“ePO 摘要”仪表板，是唯一可见的提供概要信息的监视器。

McAfee 麦咖啡8.5企业版使用规则全攻略说明教程麦咖啡全球最畅销的杀毒软件之一，McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX 功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在SystemTray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

首先,下载McAfee VirusScan v8.5i 企业版多国语言正式版。

安装如图:安装方法.现在我们来看安装好后。

开始升级。

一般选手工比较好.在右下角如图位置更新后主要的来了。

另外不仅是Mcafee，如SAFESYSTEM和SENSIVEGUARD这样的FD也一样可以用！当然规则编写见仁见智，如果你有更好的规则，请予以补正！更欢迎你对我们的工作作出评论.如上图中。

点第一个。

VIRUSSCAN控制台.再在菜单中点属性。

如图:如上图中，这个要勾上的哦。

图上有详细说明.保护IE不受侵害. 再看下一个.这个选项还是要勾上。

装软件时（指正规软件可暂停。

装好了再勾上。

)不过软件装好后还是要勾上的哦。

防止某些恶意网站来更改你的注册表。

加进东西。

第七个选项是用于邮件的。

这时为了FOXMAIL好用。

我们要自己加进一条。

点编辑。

最后添加foxmail.exe 如图.下面这个选项建议不选。

因为傲游(Maxthon)等大部分程序会严重变慢，如果你确实要选，请添加maxthon.exe才可以。

按图上就行，不要多选图上加箭头的一定要选上,安全第一.哈.禁止HTTP可能导致IE7等软件上网错误.建议取消.McAfee麦咖啡8.5企业版高级教程首先,先下载McAfee VirusScan v8.5i 企业版多国语言正式版，接着看.这儿如果你怕MCAFEE一个不够用。

本人玩杀毒软件已经有 1年多了, 刚开始是个不折不扣的杀毒软件狂热者, 装遍无数杀毒软件,现在想想实在是阅历丰富啊…… ,但是后来接触到了 McAfee 企业版,和 HIPS 概念,防毒观念立马转变了过来, 接着就是不断地学习和试验。

使用麦咖啡系列软件已经有大半年了, 一直很坚定,对它很有信心,从 8.5开始,到 8.7,后来又试了 8.0,后来又回到 8.5,总算是对这 3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。

先给新手补个课吧:首先介绍下 HIPS 也就是主动防御:HIPS 可以分为 3D :AD(Application Defend应用程序防御体系 RD(Registry Defend 注册表防御体系 FD(File Defend 文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee 的访问保护个人觉得是一个相对不完整 (当然是相对于专业 HIPS 如PS 和 EQ 等但是功能强大的主动防御体系, 大家所谓的规则就是访问保护部分。

最然说不完整, 但是还是很安全。

为什么这么说呢, McAfee 企业版有和专业 HIPS 一样完整的 FD 和 RD ,只是 AD 部分没有专业 HIPS 软件细化,专业 HIPS 软件的AD 有很多细致的条目可以供选择,过于细化好处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。

而 McAfee 企业版的 AD 仅包括了“ 执行”一个功能,不要小看它,这个功能可以防止程序的运行,防止了它的运行何谈插入线程,全局钩子一类的?其实 McAfee 实现了 AD 的主要功能,但是这种单一的功能有种一刀切的感觉, 对于高手来说是一种限制但是对于大众来说, 就如我们这类菜鸟来说其实功能完全能达到要求了, 对于我们防毒, 规范软件行为才是我们想要的, 而不是繁琐的规则制定, 简单有效的规则制定不但能道道目的, 而且不会使我们感到厌烦, 在学习规则,编辑规则时也会乐在其中。

Macfee规则设置技巧自己动手用Macfee打造自己的安全系统让有些朋友能手动添加MCAFEE8.0!企业版的一些规则。

使用mcafee后，感觉它的监控真是没得说，的确不错的杀软，不过对于新手来说可能设置麻烦了点，但如果只用默认设置的话就安全性低了点，也许很多朋友都是导入现成的规则，本着DIY的想法，并且每个人都应该有他们自己独特的设置，所以与大家分享咖啡的规则设置。

呵呵，我也是转贴。

规则有点多，并不是一定要全设，看自己的实际情况啦！许多人对咖啡不了解。

先对咖啡略为介绍。

咖啡是国际上三大杀软之一，也是下载使用率最高的杀软。

它是迄今为止监控最灵敏的杀软，也是监控最全面的杀软。

下面是咖啡官方对咖啡杀软的简介：McAfee防毒软件，除了操作介面更新外，也将该公司的WebScanX功能合在一起，增加了许多新功能! 除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

本人强烈推荐McAfee VirusScan 8.0i中文企业版+Anti-Spyware安装咖啡注意事项：1、在安装时，时间选项里，请选择“永久”，不要选择预订一年之类。

2、第一次升级咖啡，会很慢，大约2~3小时才能完成。

请耐心等待。

以后病毒库升级会很快，一般1~3分钟搞定。

目前咖啡1~3天升级一次。

个别时，一天升级3次以上。

咖啡安装完成了，先对咖啡进行一些设置。

1、访问保护。

双击访问保护，打开访问保护。

出现端口阻挡，文件保护，报告，三个选项。

（1）、更改端口设置。

默认端口阻挡全部勾选。

添加阻挡端口新规则。

端口总共有65535个。

好了，把1~65535端口全部进行设置。

由于咖啡对端口的阻挡模式分为两种：阻止入站，阻止出站，这样，对1~65535端口进行设置，需要分为两组。

麦咖啡McAfee8.8企业版规则设置（高级篇）麦咖啡McAfee8.8企业版规则设置(高级篇)规则要点:1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化.2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制.3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐.4、易用性稍差,视个人软件情况,有的排除量可能较大.5、流畅性极好,飞一般的享受.6、支持系统自动监测更新,下载并安装时最好关闭访问保护.7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣.8、不直接分享规则,规则自己设置:(1)系统进程基本排除完毕,出现触红需要谨慎排除.(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等).友情提示:如果追求通用,可以把软件路径中的"E:\ProgramFiles\"替换成"*\ProgramFiles*\"即可,安全性影响很小.(3)没有排除的软件根据日志排除,或自行整理后添加排除.排除技巧:一般软件要想正常运行,需要在"禁止远程创建/修改可执行文件和配置文件"、"将所有共享项设为只读"、"保护Windows下的文件"、"保护Windows注册表_项"、"保护Windows 注册表_值"规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在"保护电话簿文件免受密码和电子邮件地址窃贼的攻击"、"保护缓存文件免受密码和电子邮件地址窃贼的攻击"中排除.(4)排除原则:善用百度搜索,辅以/doc/835749389.html,/扫描,放行已知安全,杜绝一切隐患.(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则.(6)不同系统,规则设置有所区别,请详细阅读规则说明.9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控！不好折腾的朋友不建议使用！规则设置:----------------------------默认规则---------------------------------------《防间谍程序标准保护》规则名称:保护InternetExplorer收藏夹和设置要包含的进程:**要排除的进程:C:\Windows\Explorer.EXE,C:\ProgramFiles\InternetExplorer\ie xplore.exe是否勾选报告:否----------------------------------------说明:排除C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Expl orer.EXE 是为了自己能够修改InternetExplorer收藏夹和设置.不勾选报告,避免大量日志.《防间谍程序最大保护》规则名称:禁止安装新的CLSID、APPID和TYPELIB要包含的进程:**要排除的进程:无是否勾选报告:否----------------------------------说明:该规则用于阻止新的COMservers的安装和注册.某些广告以及间谍程序能够将自身添加到MicrosoftInternetExplorer的COM加载项中,或者附加到MicrosoftOffice.安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告.规则名称:禁止所有程序从T emp文件夹运行文件要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McA fee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOI nternetSecurity\cmdinstall .exe,E:\ProgramFiles\McAfee\Commo nFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFile s\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterU I.exe是否勾选报告:是-----------------------------说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的Temp 文件夹下,再运行.该规则其中之一的目的在于不断地提醒用户:"切勿从email中打开附件."而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及InternetExplorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著.排除咖啡相关进程是为了正常升级和使用.规则名称:禁止从Temp文件夹执行脚本要包含的进程:?script.exe要排除的进程:无是否勾选报告:否-------------------------------说明:阻止Windows脚本执行器从Temp文件夹中运行VBScript 以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式.没必要勾选报告.《防病毒标准保护》规则名称:禁止禁用注册表编辑器和任务管理器要包含的进程:**要排除的进程:无是否勾选报告:是------------------------------------说明:保护Windows注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用.不用排除.规则名称:禁止更改用户权限策略要包含的进程:**要排除的进程:C:\Windows\system32\lsass.exe是否勾选报告:是------------------------------------说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限.排除应该极少.规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIAD AP.EXE,*\WINDOWS\system32\winlogon.exe,C:\Windows\Explorer.EXE,C:\Windows\http://www. /doc/835749389.html,\Framework64\**\msc orsvw.exe,C:\Windows\/doc/835749389.ht ml,\Framework\**\mscorsvw.exe,C:\WINDOWS\regedit.exe,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\Sof twareDistribution\Download\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WINDOWS\system32\defrag .exe,C:\WINDOWS\system32\imapi.e xe,C:\Windows\system32\lsass.exe,C:\Windows\System32\msdtc.exe,C:\Windows\System32\rundll32.exe,C:\Window s\system32\services.exe ,C:\Windows\system32\sppsvc.exe,C:\W indows\system32\svchost.exe,C:\Windows\system32\wbem\WMIADAP.EXE,C:\WINDOWS\system32\wbem\wmi prvse.exe,C:\Windows\system32\wuapp.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Windows\Sys WOW64\rundll32.exe,E:\4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\Alone Sbck\SbckServer\SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiD ict\eKangXi.exe是否勾选报告:是--------------------------------说明:该规则是规则"将所有共享项设为只读"的阉割版.保护了*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini不被修改.按绝对路径排除已知的安全程序,全局有效防止了对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.只此一条,就涵盖了坛子里原有规则自定义规则的N条.还有com、sys、drv、vxd、bat等,交给自定义规则补充吧.此处排除的是系统组进程,软件组在自定义中补充.(友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同.)规则名称:禁止远程创建自动运行文件要包含的进程:**要排除的进程:无要阻止的文件或文件夹名:autorun.inf是否勾选报告:是--------------------------------说明:禁止创建所有自动播放.规则名称:禁止拦截.EXE和其他可执行文件扩展名要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------------说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件.规则名称:禁止伪装Windows进程要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------------说明:禁止针对Windows核心进程svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon. exe,services.ex e,smss.exe的任何操作,防止浑水摸鱼.启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的Windows文件不受该规则限制.切记不用排除.规则名称:禁止群发邮件蠕虫发送邮件要包含的进程:**要排除的进程:无是否勾选报告:是----------------------------说明:邮件客户端,禁止通过SMTP端口(25和587)出站发送email.需要排除所用邮件软件的进程,否则软件将无法使用.规则名称:禁止IRC通信要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令.规则名称:禁止使用tftp.exe要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒.使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除.《防病毒最大保护》规则名称:禁止Svchost执行非Windows可执行文件要包含的进程:svchost.exe要排除的进程:无是否勾选报告:否---------------------------------说明:禁止Svchost.exe加载非Windows服务.DLL文件.用则不要排除,也不用勾选报告.否则可以不用.规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFile s\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0 \AdobeARM.exe,C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\Hos tIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusionPreventio n\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\ Windows\Explorer.EXE ,C:\Windows\servicing\TrustedInstaller.ex e,C:\WINDOWS\SoftwareDistribution\Download\**\update.exe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\svchost.exe,C:\Windows\SysWOW64\rundll32.exe,E:\ProgramFiles\CClean er\CCleaner*.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe, E:\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddi n.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\ webshield\kwsmain.exe,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFil es\Kingsoft\webshield\kwsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\Fr ameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\P rogramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramew ork\UdaterUI.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe 是否勾选报告:是------------------------------------------说明:隐私保护规则.保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码.排除已知的安全程序.规则名称:禁止更改所有文件扩展名的注册要包含的进程:**要排除的进程:C:\WINDOWS\explorer.exe是否勾选报告:否------------------------------说明:这是一个严格的版本"反病毒标准保护:防止其他可执行的EXE和扩展劫持"规则,而不是只保护的.EXE.这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键.排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名.不勾选报告,否则日志量大.规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.e xe,C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\InternetExplorer\ie xplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\Progra mFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntru sionPrevention\McAfeeFire.exe,C:\ProgramFiles\WindowsMediaPlayer\wmplayer.exe, C:\Windows\Explorer.EXE,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\Soft wareDistribution\Download\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WI NDOWS\system32\dwwin.exe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\sv chost.exe,C:\Windows\SysWOW64\rundll32.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\S BCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe,E:\ProgramFiles\CCleaner\CCleaner*. exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\C OMODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80\HWPDFOCR8 0.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E :\ProgramFiles\Kingsoft\webshield\kwsmai n.exe,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\ McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\M cTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\Prog ramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Progra m\Thunder.exe是否勾选报告:是--------------------------------------说明:隐私保护规则.防止病毒、木马读取上网隐私.排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为).《防病毒爆发控制》规则名称:将所有共享项设为只读(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIAD AP.EXE,*\WINDOWS\system32\winlogon.exe,C:\WINDOWS\Explorer.EXE,C:\Windows\http://ww /doc/835749389.html,\Framework64\**\msc orsvw.exe,C:\Windows\/doc/835749389.ht ml,\Framework\**\mscorsvw.exe,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\**\up date.exe,C:\Windows\System32\cleanmgr.exe,C:\Windows\System32\csrss.exe,C:\WIN DOWS\system32\defrag.exe,C:\Windows\system32\DeviceDisplayObjectProvider.exe,C:\W INDOWS\system32\drwtsn32.exe,C:\WINDOWS\system32\dwwin.exe,C:\WINDOWS\syste m32\imapi.exe,C:\Windows\system32\lsass.exe,C:\Windows\system32\mmc.exe,C:\Windows\ System32\msdtc.exe,C:\Windows\system32\notepad.exe,C:\WINDOWS\regedit.exe,C:\Win dows\System32\rundll32.exe,C:\Windows\System32\services.exe,C:\Windows\System32\s mss.exe,C:\Windows\system32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windo ws\system32\wbem\WMIADAP.EXE,C:\WINDOWS\system32\wbem\wmiprvse.exe,C:\WINDOW S\system32\WindowsPowerShell\v1.0\powershell.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Wi ndows\SysWOW64\notepad.exe,C:\Windows\SysWOW64\rundll32.exe,C:\Windows\SysWO W64\runonce.exe,C:\Windows\SysWOW64\WerFault.exe,E:\4KBrowser\4KServer\4KServer.exe ,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer\SbckServer.exe,E:\AloneSbck\SBCK SVR\SBCKALONE.EXE,E:\ KangXiDict\eKangXi.exe是否勾选报告:是---------------------------------------说明:这是非常强大的全局禁改规则.按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了.有效防止信任区病毒爆发.软件组在自定义中补充.规则名称:阻止对所有共享资源的读写访问(即禁止非信任区程序访问-文件)要包含的进程:**(Win7下用*.*)要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\ *.*,*\KangXiDict\**\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\* .*是否勾选报告:是------------------------------------------------说明:这是非常强大的全局禁运规则.排除信任区后,非信任区一切程序的所有操作都无法进行.有效防止非信任区病毒爆发.注册表在自定义中补充.《通用标准保护》规则名称:禁止修改McAfee文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\syste m32\services.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.e xe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe 是否勾选报告:是-------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfeeCommonManagementAgent文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\syste m32\services.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.e xe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe 是否勾选报告:是------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfee扫描引擎文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\ McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFra mework\McTray.exe是否勾选报告:是----------------------------------------说明:只排除了咖啡本身.规则名称:保护Mozilla及FireFox文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*是否勾选报告:是-------------------------------说明:本人不用,常规排除.规则名称:保护InternetExplorer设置要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Ex plorer.EXE是否勾选报告:是----------------------------------说明:排除*\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explor er.EXE是为了自己能修改IE设置.规则名称:禁止安装BrowserHelperObjects和ShellExtensions 要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McA fee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\McAfee\CommonFra mework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck .exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\Com monFramework\UdaterUI.exe 是否勾选报告:是-----------------------------------------说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等.只给咖啡这个权利.规则名称:保护网络设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McA fee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\system32\svchost.exe,E:\P rogramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAf ee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTra y.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是----------------------------------------说明:反广告规则.禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据.只给咖啡和svchost.exe这个权利.规则名称:禁止公用程序从T emp文件夹运行文件要包含的进程:eudora.exe,explorer.exe,firefox.exe,iexplore.exe,MAPISP32.exe ,mozilla.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,netscp.exe,nlnotes.exe ,opera.exe,outlook.exe,Owstimer.exe,packager.exe,pine.exe,poco.exe,RESRCMON.EXE ,SPSNotific*,thebat.exe,thunde*.exe,VMIMB.EXE,WinMail.exe,winpm-32.exe,winrar.exe,winzip32.exe要排除的进程:无是否勾选报告:是---------------------------说明:官方默认.规则名称:在InternetExplorer中禁用HCPURL要包含的进程:iexplore.exe,wmplayer.exe要排除的进程:无是否勾选报告:是------------------------------------------------说明:官方默认.规则名称:防止终止McAfee进程要包含的进程:**要排除的进程:/system32/csrss.exe,/system32/drwtsn32.exe,/system32/lsass. exe,/syswow64/lsass.exe,amgrcnfg.exe,C:\ProgramFiles\CommonFiles\McAfee\Syste mCore\csscan.exe,C:\ProgramFiles\CommonFiles\McAfee\SystemCore\dainstall.exe,C:\ ProgramFiles\CommonFiles\McAfee\SystemCore\mcshield.exe,cleanup.exe,cmdagent.ex e,dbinit.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\mcadmin.exe,E:\ProgramFil es\McAfee\VirusScanEnterprise\mcconsol.exe,E:\ProgramFiles\McAfee\VirusScanEnterp rise\mcupdate.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\restartVSE.exe,E:\Pr ogramFiles\McAfee\VirusScanEnterprise\scan32.exe,E:\ProgramFiles\McAfee\VirusSca nEnterprise\scncfg32.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\shcfg32.exe, E:\ProgramFiles\McAfee\VirusScanEnterprise\shstat.exe,E:\ProgramFiles\McAfee\Viru sScanEnterprise\VSCore\dainstall.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\ VSCore\x64\dainstall.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\vstskmgr.exe ,E:\ProgramFiles\McAfee\VirusScanEnterprise\x64\scan64.exe,EngineServer.exe,fca g.exe,fcags.exe,FCAGT.exe,fcagte.exe,firesvc.exe,FireTray.exe,framepkg.exe,framepkg _upd.exe,frameworks*,frameworks*.exe,frminst.exe,HipManage.exe,hipsvc.exe,McA feeFire.exe,mcscancheck.exe,mcscript*,mcscript_inuse.exe,mctray.exe,mfeann.exe,mf efire.exe,mfehidin .exe,MPEScanner.exe,mue_inuse.exe,naimserv. exe,naprdmgr.exe,naprdmgr64.exe,narepl32.exe,ncdaemon.exe,RPCServ.EXE,RSSensor.exe,SAFeService.ex e,scanner.exe,setlicense.exe,SiteAdv.exe,TBMon.exe,udaterui.exe,updaterui.exe,Viru sScanAdvancedServe r.exe,vmscan.exe,WerFault.exe是否勾选报告:是------------------------------说明:官方默认.《通用最大保护》规则名称:禁止将程序注册为自动运行要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe, C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McA fee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOI nternetSecurity\cmdagent.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramF iles\Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kws main.exe,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\w ebshield\kwsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkServi ce.exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\M cAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.e xe是否勾选报告:是-------------------------------------说明:安全软件给这个权利.规则名称:禁止将程序注册为服务要包含的进程:**要排除的进程:C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\Progra mFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention \FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\Prog ramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\servicing\Trus tedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Download\**\update.exe,C:\ Windows\system32\mmc.exe ,C:\Windows\System32\rundll32.e xe,C:\Windows\system32\services.exe,C:\Windows\system32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windo ws\SysWOW64\rundll32.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdag ent.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshi eld\KSWebShield.exe ,E:\ProgramFiles\Kingsoft\webshield\kws main.exe,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe, E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles \McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework \McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\Th underNetwork\Thunder\Pro gram\Thunder.exe是否勾选报告:是---------------------------------------说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护.严格排除已知的安全进程.规则名称:禁止在Windows文件夹中创建新的可执行文件要包含的进程:**要排除的进程:C:\Windows\/doc/835749389.html,\Fra mework64\v4.0.30319\mscorsvw.exe,C:\Windows\Micro /doc/835749389.html,\Framework\v4.0.30 319\mscorsvw.exe是否勾选报告:是------------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止在ProgramFiles文件夹中创建新的可执行文件要包含的进程:**要排除的进程:E:\ProgramFiles\McAfee\CommonFramework\FrameworkServ ice.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-----------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止从DownloadedProgramFiles文件夹启动文件要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------说明:"要包含的进程"改成**,禁止所有程序从DownloadedProgramFiles文件夹启动文件.规则名称:禁止FTP通信要包含的进程:**要排除的进程:agentnt.exe,ahnun000.tmp,alg.exe,amgrsrvc.exe,apache.exe,a utoup.exe,avtask.exe,boxinfo.exe,cfgeng.exe,cleanup.exe,cmdagent.exe,dstest.exe,e arthagent.exe,expl orer.exe,f-secu*,f-secureautoma*,firefox.exe,fnrb32.exe,framepkg.exe,framepkg_u pd.exe,frameworks*,frminst.exe,fspex.exe,ftp://ftp.exe/,getdbhtp. exe,giantantispywa*,google*,idsinst.exe,iexplore.exe,ii_nt86.exe,ilaunchr.exe,ineti nfo.exe,inodist.exe,iv_nt86.exe,lsetup.exe,lucoms*,luupdate.exe,mcscancheck. exe,mcscript*,mctray.exe,mozilla.exe,msexcimc.exe,msn6.exe,mue_inuse.exe,naims erv.exe,naprdmgr.exe,naprdmgr64.exe,narepl32.exe,netscp.exe,nv11esd.exe,ofcservic e.exe,opera.exe,paddsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pskmssvc.exe,setli cense.exe,sevinst.exe,sucer.exe,supdate.exe,thunde*.exe,tmlisten.exe,tomcat.exe,t omcat5.exe,tomcat5w.exe,tsc.exe,udaterui.exe,updaterui.exe,v3cfgu.exe,webproxy.exe是否勾选报告:是------------------------------说明:默认,到自定义规则中去详细控制.规则名称:禁止HTTP通信要包含的进程:**要排除的进程:setup.exe,??setup.exe,?setup.exe,acrobat.exe,acrord32.exe, agentnt.exe,ahnun000.tmp,alg.exe,amgrsrvc.exe,apache.exe,autoup.exe,avtask.ex e,backweb-*,boxinfo .exe,C+WClient.exe,ccmexec.exe,cfgeng.exe,cleanup.ex e,cmdagent.exe,console.exe,devenv.exe,dstest.exe,dwwin.exe,earthagent.exe,eudora.exe,explo rer.exe,f-secu*,f-secureautoma*,firefox.exe,FireSvc.exe,fnrb32.exe,framepkg.exe,fr amepkg_upd.exe,frameworks*,frminst.exe,fspex.exe,getdbhtp.exe,giantantispywa*, google*,idsinst.exe,iexplore.exe,ii_nt86.exe,ikernel.exe,ilaunchr.exe,inetinfo.exe,ino dist.exe,InsFireTdi.exe,iv_nt86.exe,javaw.exe,jucheck.exe,KSWebShield.exe,k wsmain.exe,kwsupd .exe,lsetup.exe,lucoms*,luupdate.exe,MAPIS P32.exe,McAfeeHIP_Clie*,McSACore.exe,mcscancheck.exe,mcscript*,mctray.exe,mmc.exe,mobsync.exe,moz illa.exe,msexcimc.exe ,mshta.exe,msi*.tmp,msiexec.exe,msimn.ex e,msn6.exe,msnmsgr.exe,mue_inuse.exe,naimserv.exe,naprdmgr.exe,naprdmgr64.exe,narepl32.exe,neo20.ex e,netscp.exe,nlnotes.exe,ntaskldr.exe,nv11esd.exe,ofcservice.exe,opera.exe,outlook.exe,Owstimer.exe,paddsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pine.exe,poco.ex e,pskmssvc.exe,quicktimeplaye*,realplay.exe,RESRCMON.EXE,runscheduled.exe,SAE Disable.exe,SAEuninstall.exe,setlicense.exe,setup*.exe,setup.exe,Setup_SAE.exe,sevinst.e xe,SiteAdv.exe ,SPSNotific*,sucer.exe,supdate.exe,svchost.exe,the bat.exe,thunde*.exe,tmlisten.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,tsc.exe,udaterui.exe,uni nstall.exe,update .exe,updaterui.exe,v3cfgu.exe,VMIMB.EXE,vmn at.exe,waol.exe,webproxy.exe,wfica32.exe,winamp.exe,windbg.exe,WinMail.exe,winpm-32.exe,wmplayer.exe,wuauclt.exe,_ins *._mp是否勾选报告:是--------------------------------说明:默认加简单排除,到自定义规则中去详细控制.《虚拟机保护》规则名称:防止终止VMWare进程要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是--------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareWorkstation文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是----------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareServer文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是-----------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWare虚拟机文件要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是---------------------------------说明:本人不用,常规排除.----------------------------用户定义的规则-----------------------------------------01规则名称:禁止非信任区程序访问注册表_项要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\ *.*,*\KangXiDict\**\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\* .*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.02规则名称:禁止非信任区程序访问注册表_值要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\**\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\* .*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.03规则名称:禁止未知程序访问端口_入站要包含的进程:**(Win7下用*.*)要排除的进程:cmdagent.exe,FrameworkService.exe,iexplore.exe,KSWebShiel d.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUse.exe,svchost.exe要阻止的端口:1-65535方向:入站是否勾选报告:是-------------------------------------------------说明:程序入站自己控制.04规则名称:禁止未知程序访问端口_出站要包含的进程:**(Win7下用*.*)要排除的进程:C+WClient.exe,cmdagent.exe,FireSvc.exe,FrameworkService.e xe,iexplore.exe,KSWebShield.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUs e.exe,sppsvc.exe,svc host.exe,Thunder*.exe要阻止的端口:1-65535方向:出站是否勾选报告:是-------------------------------------------------说明:程序出站自己控制.05规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组要包含的进程:**(Win7下用*.*)要排除的进程:**\Windows\**\*.*,C:\ProgramFiles\ChinatelecomC+W\C+WC lient.exe,C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFil es\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSv c.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFile s\McAfee\HostIntrusionPrevention\Helper.exe,C:\ProgramFiles\McAfee\HostIntrusio nPrevention\McAfeeFire.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\system32\svch ost.exe,E:\4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckSe rver\SbckServer.exe ,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\ KangXiDict\eKangXi.exe,E:\ProgramFiles\ACDSystems\ACDSee\10.0\ACDSee10.exe,E:\ProgramFiles\Adobe\ PhotoshopCS\Photoshop.exe,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32.exe,E:\Pro gramFiles\CCleaner\CCleaner.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurit y\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\HYDC GB.V20\HYDCV20.EXE,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\P rogramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\k wsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\Pr ogramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\Commo nFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\Progr amFiles\MicrosoftOffice\OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11 \POWERPNT.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11\WINWORD.EXE,E:\ProgramF iles\MicrosoftVirtualPC\VirtualPC.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Progr am\Thunder.exe,E:\Pro gramFiles\ZRM2000\ZRW32.EXE 要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"禁止远程创建/修改可执行文件和配置文件"规则的软件组.全局防止对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.06规则名称:防病毒爆发_将所有共享项设为只读_软件组要包含的进程:**(Win7下用*.*)要排除的进程:*\WINDOWS\**\*.*,c:\ProgramFiles\ATITechnologies\ATI.ACE\ Core-Static\ccc.exe,C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFiles\InternetExplorer\IEXP LORE.EXE,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles \McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusio nPrevention\Helper.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFi re.exe,C:\ProgramFiles\WindowsDefender\MSASCui.exe,C:\ProgramFiles\WindowsMe diaPlayer\wmplayer.exe,E:\4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\A loneSbck\SbckServer\SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\Kan gXiDict\eKangXi.exe,E:\ProgramFiles\ACDSystems\ACDSee\10.0\ACDSee10.exe,E:\Progr amFiles\Adobe\PhotoshopCS\Photoshop.exe,E:\ProgramFiles\Adobe\Reader9.0\Reader\Ac roRd32.exe,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32Info.exe,E:\ProgramFiles \ATITechnologies\ATI .ACE\Core-Static\CCC.exe,E:\ProgramFiles\CCleaner\CCleaner.exe,E:\Progra mFiles\COMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\CO MODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\COMODO\COMODOInternetS ecurity\cmdinstall.exe,E:\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles \HYDCGB.V20\HYDCV20.EXE,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain. exe,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\websh ield\kwsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.e xe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee \CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ ProgramFiles\MicrosoftOffice\OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFI CE11\POWERPNT.EXE,E :\ProgramFiles\MicrosoftOffice\OFFICE1 1\WINWORD.EXE,E:\ProgramFiles\MicrosoftVirtualPC\VirtualPC.exe,E:\ProgramFiles\ProgramFiles\AngryBirds\ AngryBirds\AngryBirds.exe,E:\ProgramFiles\ProgramFiles\WinRAR\WinRAR.exe,E:\Pr ogramFiles\ThunderNetwork\Thunder\Program\Thunder.exe,E:\ProgramFiles\UltraISO\ UltraISO.exe,E:\Progra mFiles\ZRM2000\ZRW32.EXE要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"将所有共享项设为只读"规则的软件组.防止信任区病毒爆发.07规则名称:保护Windows下的文件要包含的进程:**(Win7下用*.*)要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\s ystem32\winlogon.exe,c:\Progra。

McAfee企业版日志样式：图片1学会自己看日志，看到不确定不认识的進程，用Google搜索一下，看是不是病毒。

反复多次，你就能区分并记住这是系统文件还是病毒了。

如果日志打开后，一行看不全，可能是因为记事本没有设置“自动换行”，只要点“格式”——“自动换行”就可以。

红色的是日期，蓝色的是时间粉红色的是计算机名，深蓝色的是用户名，绿色的是触动规则的程序，橙色的是被操作的对象，蓝灰色的所触动规则的名词，紫色的是触动的动作，比如：创建，执行等---------------------------------------------------------------------------------------------------------------------2008-11-148:00:51 1092 GHOST\Administrator D:\www\wywz\C:\WINDOWS\system32\wbem\Logs\通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件根据日志这条规则不要排除，它是被操作的对象，而不是触动规则的程序，应该排除才对。

加入排除项的话有几种加法：一可以排除，二可以排除D:\wywz\wywz\**三可以排除D:\www\wywz\上面随便一条排除项都可以使wywz不再触动这条规则，但是McAfee对排除项文件没有校验，所以如果加入的话，病毒也取这个名字，也就阻挡不住病毒了。

而第二个，排除的范围有点大，把wywz整个目录都排除了，没有必要。

第三个是比较好的，文件名加上了绝对路径。

因为 windows有一个特点，同一个目录下不能有两个同名的文件，所以D:\www\wywz\是唯一的，这样排除相对安全系数高点，是最好的。

多个文件加入排除项的时候用英文的逗号分开。

---------------------------------------------------------------------------------------------------------------------2008-11-114:49:29已由访问保护规则禁止GHOST \112233C:\ProgramFiles\InternetExplorer\C:\Program Files\Common Files\System\msadc\用户定义的规则:A31 管制浏览器（禁止调用MDAC组件）已阻止的操作: 执行这条日志是浏览器触动了A31的规则，触动的是“执行”，这个动作有可能是网页病毒木马触动的，所以一般不影响浏览器使用的话，关于浏览器的规则可以不用管，不用排除。

查看赛门铁克的扫描日志
摘要：
1.赛门铁克扫描日志的作用
2.赛门铁克扫描日志的内容
3.如何查看赛门铁克扫描日志
4.查看赛门铁克扫描日志的意义
正文：
随着网络的普及，网络安全问题越来越受到人们的关注。

在众多网络安全公司中，赛门铁克以其卓越的技术和丰富的经验，为用户提供了强大的安全防护。

查看赛门铁克扫描日志，可以帮助我们更好地了解计算机的安全状况，及时发现并解决潜在的安全隐患。

赛门铁克扫描日志是记录赛门铁克安全产品（如诺顿杀毒软件）在保护用户计算机安全过程中，所进行的扫描活动和结果的日志。

这些日志详细记录了扫描的时间、扫描的文件、扫描的结果等信息，为用户提供了一个直观了解计算机安全的途径。

要查看赛门铁克扫描日志，首先需要打开赛门铁克安全产品的设置界面。

以诺顿杀毒软件为例，用户可以在软件界面的右上角找到设置按钮，点击后选择“选项”或“设置”进行查看。

在设置界面中，找到“日志”或“事件”选项，点击进入后即可查看赛门铁克扫描日志。

查看赛门铁克扫描日志有以下几个意义：
1.发现并清除潜在的安全威胁：通过查看扫描日志，用户可以了解计算机上是否存在病毒、木马等安全威胁，及时采取措施进行清除。

2.分析安全事件：扫描日志可以帮助用户了解计算机上发生的安全事件，如文件被篡改、恶意软件入侵等，从而进行安全风险评估。

3.优化安全策略：通过查看扫描日志，用户可以了解计算机上哪些文件或文件夹被频繁扫描，从而调整扫描策略，提高扫描效率。

4.追踪安全漏洞：扫描日志可以帮助用户追踪安全漏洞的来源，及时修补漏洞，防止安全事故的扩大。

总之，查看赛门铁克扫描日志是保障计算机安全的重要手段。

mcafee的服务(进程)优化教程(适用于8.0i和8.5i企业版)macfee是一款优秀的防毒软件但是看见这里的很多朋友说mcafee占用的内存也不小其实，众所周知由于mcafee与微软有合作关系跟系统底层的结合程度相对比较紧密别看进程多运行起来可是一点也不卡的，稳定更是好得没得说废话少说，现在把我个人的对mcafee相关服务设置的一点心得拿出来与大家分享。

首先您需要在左下角的开始-运行中输入“MSCONFIG”除了那个SHSTAT之外将其它的的mcafee自启动项目的勾去掉Network Associates McShield这个是mcafee的核心服务推荐设置：自动启动启动后一般是无法在资源管理器将它结束掉的McAfee Framework 服务这个是McAfee 产品的共享组件框架，我自己的设置是：手动启动必须要注意的是：一定要启动这个服务才能升级mcafee的病毒库你可以选择当需要升级的时候才启动这个服务（会连带启动一些相关进程）升级完毕之后可以在资源管理器里面结束掉这个进程和相关进程，以节省资源Network Associates Task Manager这个应该是mcafee的计划任务，禁用它不会有什么使用上的影响但是最好还是打开它否则会发生病毒库日期显示不正确打开控制台时候出现提示的等问题一个是：Mcshield.exe（常驻的核心进程）一个是：SHSTAT.EXE（任务栏右下角的那个图标）一般情况下这两个进程加起来资源占用大约在8M左右这应该也是mcafee（服务优化上）所能达到资源最节省与安全性并重的极致了吧其它：8.5i企业版多了个Mctray.exe进程（升级时一定会出现的）没什么作用的，直接关闭即可（不影响正常使用）以下是转自网络的一些关于mcafee进程的知识：mcafee里总共有7个进程1.frameworkservice.exe: 这个进程可以在系统的服务里找到对应的服务为“mcafee framework”它是用来做什么的呢？其实它是mcafee的后台框架进程，mcafee产品的共享组件框架。

kingsoftinternetsecurity事件日志（原创实用版）目录1.金山毒霸事件日志简介2.事件日志的作用3.金山毒霸事件日志的功能特点4.金山毒霸事件日志的应用场景5.金山毒霸事件日志的优缺点分析正文【金山毒霸事件日志简介】金山毒霸事件日志，是金山毒霸公司推出的一款安全事件日志分析工具。

它可以帮助用户实时监测计算机的安全状态，记录所有安全事件的日志，并提供详细的日志分析功能，使用户能够及时发现并处理安全问题。

【事件日志的作用】事件日志，顾名思义，就是记录事件的日志。

在计算机领域，事件日志是操作系统、应用程序或安全软件记录系统事件的一种方式。

事件日志可以帮助用户了解系统的运行状况，及时发现并解决可能出现的问题。

同时，事件日志也是 IT 管理员进行系统管理和维护的重要工具。

【金山毒霸事件日志的功能特点】金山毒霸事件日志具有以下功能特点：1.实时监测：金山毒霸事件日志可以实时监测计算机的安全状态，记录所有安全事件的日志。

2.详细记录：金山毒霸事件日志可以记录事件的详细信息，包括事件时间、事件类型、事件级别等。

3.分析功能：金山毒霸事件日志提供详细的日志分析功能，使用户能够及时发现并处理安全问题。

【金山毒霸事件日志的应用场景】金山毒霸事件日志的应用场景主要包括：1.安全事件分析：金山毒霸事件日志可以帮助用户分析安全事件，及时发现并处理安全问题。

2.系统维护：金山毒霸事件日志可以记录系统的运行状况，帮助 IT 管理员进行系统管理和维护。

3.故障排查：金山毒霸事件日志可以记录事件的详细信息，帮助用户进行故障排查。

【金山毒霸事件日志的优缺点分析】金山毒霸事件日志的优点包括：1.实时监测：金山毒霸事件日志可以实时监测计算机的安全状态，及时发现并处理安全问题。

2.详细记录：金山毒霸事件日志可以记录事件的详细信息，方便用户进行分析和处理。

3.分析功能：金山毒霸事件日志提供详细的日志分析功能，使用户能够及时发现并处理安全问题。

Eoffice 8.0日志管理功能使用指南摘要信息概要说明使用指南：Eoffice 8.0 日志管理功能作者周俊虎创建时间2012-3-138.0日志管理模块将7.8我的日志和下属工作日志两个菜单整合为1个新的日志管理菜单，以选项卡的形式呈现，增强了易用性的同时，新增了回复消息提醒等功能。

一、我的日志单击标准菜单【日志管理】-【我的日志】选项卡说明：➢选项卡：我的日志、下属日志。

➢日志类型：工作日志、个人日志。

个人日志只能自己查看，工作日志除自己、admin外，只有上级才有查看权限，权限级别根据【系统管理】-【角色管理】-【权限级别】进行判断。

➢日期选择范围默认为：周一日期到服务器日期（最多1个自然周）。

➢搜索的依据为：日志内容所包含的关键字。

➢添加附件的数量、大小、以及上传类型设置路径为：单击标准菜单【系统管理】-【性能安全设置】-【附件上传设置】-【其他】。

➢【导出】功能默认导出页面所有日志内容（包括个人日志）。

如果您想有选择的导出日志，选择具体的日期范围、关键字进行搜索后再进行导出。

➢如果页面显示日志过多，您想快速回到日志顶部，可以点击【返回顶部】链接即可达到效果。

新建：当天日志的新建：直接在【今天】文本编辑器里面填写日志或者单击【新建】链接，弹出的另1个文本编辑器。

可以选择类型、添加附件，【提交】后，数据保存，【取消】则不会。

备注：只能补交一篇日志，不可以新建多篇日志，可以对其内容进行编辑或者删除重写。

编辑、删除：【新建】日志后，只能在当天之内对日志进行编辑、删除（admin用户除外）。

回复：➢个人日志无需回复功能。

➢工作日志：自己可以回复自己的，上级可以回复下级的（截图见下属日志介绍）。

➢回复别人日志后，主页-最近短信元素会显示对应消息提醒，见下图二、下属日志单击标准菜单【日志管理】-【下属日志】选项卡选择下属员工（比如说选择员工cwb1），截图如下：➢上级可以根据自己需要，选择具体的时间段、日志内容关键字，搜索相应的下属日志，进行查看、回复。