mcafee访问保护规则

合集下载

McAfee8.8默认规则详解

McAfee8.8默认规则详解写在前面：咖啡规则的确强大，本文一阅便知！本为自己学习整理，不敢专私，与朋友共享，不亦乐乎，不亦君子乎！并且希望对咖啡规则的理解、设置以及发展有些许帮助！墨池顿首《防间谍程序标准保护》规则名称：保护Internet Explorer收藏夹和设置要包含的进程：*要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe,C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common iles\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmd.exe, cmdagent.exe, console.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, earthagent.exe, EngineServer.exe, explorer.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, icwconn1.exe, idsinst.exe, ie-kb*.exe, ie4uinit.exe, ieupdate.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, jucheck.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, msimn.exe, msohtmed.exe, mue_inuse.exe,naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, proxycfg.exe, pskmssvc.exe, regsvr32.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, rundll32.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, sidebar.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, svchost.exe, TBMon.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, unregmp2.exe, update.exe, updater.exe, updaterui.exe, userinit.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmail.exe, wintdist.exe, wuauclt.exe, _ins*._mp（墨池按：E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe等绝对路径为咖啡安装时根据安装路径自动生成，其它为内置排除白名单，下同。

麦咖啡杀毒详细配置

一、密码保护：一般密码为supermen，如果需要做相关设置需要通过密码认证。

二、访问保护-访问保护规则麦咖啡访问保护的行为一般分别为两种：报告与阻止。

报告是指某个程序触犯了某个规则，只在日志文件记录，不会阻止程序的执行。

一般我们在不确定的情况下使用。

阻止，它既会阻止程序的执行，又会在日志中记录，应当谨慎使用，不然会出现意外错误。

防病毒标准保护报告：禁止更改用户权限策略禁止远程创建/修改可执行文件和配置文件禁止远程创建自动运行文件禁止伪装Windows 进程禁止IRC 通信阻止：禁止远程创建自动运行文件防病毒最大保护报告：禁止Svchost 执行非Windows 可执行文件禁止更改所有文件扩展名的注册阻止：无防病毒爆发控制报告：无阻止：无通用标准保护按默认设置就可以了通用最大保护报告：禁止将程序注册为自动运行禁止将程序注册为服务禁止在Windows 文件夹中创建新的可执行文件阻止：无虚拟机保护报告：无阻止：无用户自定义规则新建一个文件/文件夹阻止规则,取名为“防asp木马上传”要包含的进程：w3wp.exe要阻止的文件/文件夹名：**/**.asp要禁止文件的操作：正在创建的新文件三、缓冲区溢出保护启用缓冲区溢出保护，模式为保护模式。

四、有害程序策略8个程序全部勾选五、按访问扫描程序常规设置--常规—扫描：勾选“引导扇区”常规设置--常规—常规：勾选“启用系统在启动时进行按访问扫描”常规设置--常规—扫描时间：存档文件最长扫描时间15秒Scriptscan：启动scriptscan阻止、消息、报告按软件默认就可以了。

所有进程—进程：对所有进程使用这些选项卡中的设置。

所有进程—检测项--扫描文件：在写入磁盘时所有进程—检测项—扫描内容—执行文件类型：在指定项中添加一下文件类型：ADEADPBASBA TCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBVBSWSC所有进程—高级：启发式分析：两个都选择压缩和杂项不必选择。

McAfee数据保护---端点加密解决方案

McAfee端点加密
全硬盘加密（Device Encryption）
.DOC
.XLS
.APPS
1
Lorem ipsum dolor sit amet Lorem ipsum dolor sit amet
文件/应用程序
1
对于被授权的用户和应用程序，文件是全文本格式并且具有完全的可见性
2
操作系统
2
文件被转换成为扇区格式
SafeBoot® practically runs on any computer that runs Windows!
Well diversified enterprise customer base 36% of the world's top 50 companies are SafeBoot’s customers*
Microsoft PKI Entrust PKI Active Directory Novell NDS LDAP
SafeBoot® Admini Recovery
How do I get my Password back? • Secure offline Challenge/Response Password Recovery
SafeBoot® CE – The Document is Encrypted
Minimum System Requirements
SafeBoot® Server:
•
Operating System: WinXP, Win2003 Server, Windows Vista
• Memory: 512MB • Disk-Space: 200MB
Synchronizing local machine with database database = SafeBoot Server checking for machine configuration updates checking for Windows logon updates checking for screen saver updates checking for user updates checking for file updates checking for hash updates transferring audit information finished synchronization Shutting down SafeBoot Configuration Manager

McAfee的使用法

一McAfee共有8个进程(企业版8.0i与8.5i的进程个数、安装目录名称和.exe文件所在路径略有差别: 以下是以8.5i为例进行说明的。

8.0i的安装目录是 Network Associate 文件夹)1、Mcshield.exe (On-Access Scanner service)按访问扫描C:\Program Files\McAfee\VirusScan Enterprise\McShield.exe它是McAfee的核心进程，对应的“服务”为 network Associates McShield，所以关闭此服务就关闭了实时监控2、shstat.exe: (VirusScan tray icon)系统托盘中McAfee盾牌图标。

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE启动项处于注册表内。

不过即使没有该图标，实时监控仍在运行，计算机仍受到保护。

如果偶尔发生系统启动时没有启动该进程，可以在安装目录找到并双击shstat.exe文件3、frameworkservice.exe: 对应的“服务”为McAfee framework。

C:\Program Files\McAfee\Common Framework\FrameworkService.exe停止该服务不影响McAfee实时监控。

启动该服务才能升级。

4、naPrdMgr.exe (NAI Product Manager)C:\Program Files\McAfee\Common Framework\naPrdMgr.exe它与frameworkservice.exe关联在一起，若关闭frameworkservice.exe 它也会消失。

5、UpdateUI.exe: （Common User Interface）C:\Program Files\McAfee\Common Framework\UdaterUI.exe 该进程是升级的前提。

麦咖啡McAfee 8.8企业版规则设置(高级篇)

麦咖啡McAfee8.8企业版规则设置(高级篇)规则要点:1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化.2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制.3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐.4、易用性稍差,视个人软件情况,有的排除量可能较大.5、流畅性极好,飞一般的享受.6、支持系统自动监测更新,下载并安装时最好关闭访问保护.7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣.8、不直接分享规则,规则自己设置:(1)系统进程基本排除完毕,出现触红需要谨慎排除.(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等).友情提示:如果追求通用,可以把软件路径中的"E:\ProgramFiles\"替换成"*\ProgramFiles*\"即可,安全性影响很小.(3)没有排除的软件根据日志排除,或自行整理后添加排除.排除技巧:一般软件要想正常运行,需要在"禁止远程创建/修改可执行文件和配置文件"、"将所有共享项设为只读"、"保护Windows下的文件"、"保护Windows注册表_项"、"保护Windows 注册表_值"规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在"保护电话簿文件免受密码和电子邮件地址窃贼的攻击"、"保护缓存文件免受密码和电子邮件地址窃贼的攻击"中排除.(4)排除原则:善用百度搜索,辅以/扫描,放行已知安全,杜绝一切隐患.(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则.(6)不同系统,规则设置有所区别,请详细阅读规则说明.9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控！不好折腾的朋友不建议使用！规则设置:----------------------------默认规则---------------------------------------《防间谍程序标准保护》规则名称:保护InternetExplorer收藏夹和设置要包含的进程:**要排除的进程:C:\Windows\Explorer.EXE,C:\ProgramFiles\InternetExplorer\iexplore.exe是否勾选报告:否----------------------------------------说明:排除C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE 是为了自己能够修改InternetExplorer收藏夹和设置.不勾选报告,避免大量日志.《防间谍程序最大保护》规则名称:禁止安装新的CLSID、APPID和TYPELIB要包含的进程:**要排除的进程:无是否勾选报告:否----------------------------------说明:该规则用于阻止新的COMservers的安装和注册.某些广告以及间谍程序能够将自身添加到MicrosoftInternetExplorer的COM加载项中,或者附加到MicrosoftOffice.安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告.规则名称:禁止所有程序从Temp文件夹运行文件要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdinstall .exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles \McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\M cTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-----------------------------说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的Temp文件夹下,再运行.该规则其中之一的目的在于不断地提醒用户:"切勿从email中打开附件."而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及InternetExplorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著.排除咖啡相关进程是为了正常升级和使用.规则名称:禁止从Temp文件夹执行脚本要包含的进程:?script.exe要排除的进程:无是否勾选报告:否-------------------------------说明:阻止Windows脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式.没必要勾选报告.《防病毒标准保护》规则名称:禁止禁用注册表编辑器和任务管理器要包含的进程:**要排除的进程:无是否勾选报告:是------------------------------------说明:保护Windows注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用.不用排除.规则名称:禁止更改用户权限策略要包含的进程:**要排除的进程:C:\Windows\system32\lsass.exe是否勾选报告:是------------------------------------说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限.排除应该极少.规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\system32\ winlogon.exe,C:\Windows\Explorer.EXE,C:\Windows\\Framework64\**\msc orsvw.exe,C:\Windows\\Framework\**\mscorsvw.exe,C:\WINDOWS\regedit. exe,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Do wnload\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WINDOWS\system32\defrag .exe,C:\WINDOWS\system32\imapi.exe,C:\Windows\system32\lsass.exe,C:\Windows\Syst em32\msdtc.exe,C:\Windows\System32\rundll32.exe,C:\Windows\system32\services.exe ,C:\Windows\system32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\syste m32\wbem\WMIADAP.EXE,C:\WINDOWS\system32\wbem\wmiprvse.exe,C:\Windows\system32\w uapp.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Windows\SysWOW64\rundll32.exe,E:\4KB rowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer\Sbc kServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe是否勾选报告:是--------------------------------说明:该规则是规则"将所有共享项设为只读"的阉割版.保护了*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini不被修改.按绝对路径排除已知的安全程序,全局有效防止了对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.只此一条,就涵盖了坛子里原有规则自定义规则的N条.还有com、sys、drv、vxd、bat等,交给自定义规则补充吧.此处排除的是系统组进程,软件组在自定义中补充.(友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同.)规则名称:禁止远程创建自动运行文件要包含的进程:**要排除的进程:无要阻止的文件或文件夹名:autorun.inf是否勾选报告:是--------------------------------说明:禁止创建所有自动播放.规则名称:禁止拦截.EXE和其他可执行文件扩展名要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------------说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件.规则名称:禁止伪装Windows进程要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------------说明:禁止针对Windows核心进程svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.ex e,smss.exe的任何操作,防止浑水摸鱼.启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的Windows文件不受该规则限制.切记不用排除.规则名称:禁止群发邮件蠕虫发送邮件要包含的进程:**要排除的进程:无是否勾选报告:是----------------------------说明:邮件客户端,禁止通过SMTP端口(25和587)出站发送email.需要排除所用邮件软件的进程,否则软件将无法使用.规则名称:禁止IRC通信要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令.规则名称:禁止使用tftp.exe要包含的进程:**要排除的进程:无是否勾选报告:是---------------------------------说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒.使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除.《防病毒最大保护》规则名称:禁止Svchost执行非Windows可执行文件要包含的进程:svchost.exe要排除的进程:无是否勾选报告:否---------------------------------说明:禁止Svchost.exe加载非Windows服务.DLL文件.用则不要排除,也不用勾选报告.否则可以不用.规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\ChinatelecomC+W \C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\Program Files\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPreventi on\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\Pr ogramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\Explorer.EXE ,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Downl oad\**\update.exe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\svchost.e xe,C:\Windows\SysWOW64\rundll32.exe,E:\ProgramFiles\CCleaner\CCleaner*.exe,E:\Pr ogramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80 \HWPDFOCR80.exe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\ Kingsoft\webshield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.ex e,E:\ProgramFiles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshi eld\kwsupd.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\Pr ogramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonF ramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\Progr amFiles\ThunderNetwork\Thunder\Program\Thunder.exe是否勾选报告:是------------------------------------------说明:隐私保护规则.保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码.排除已知的安全程序.规则名称:禁止更改所有文件扩展名的注册要包含的进程:**要排除的进程:C:\WINDOWS\explorer.exe是否勾选报告:否------------------------------说明:这是一个严格的版本"反病毒标准保护:防止其他可执行的EXE和扩展劫持"规则,而不是只保护的.EXE.这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键.排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名.不勾选报告,否则日志量大.规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击要包含的进程:**要排除的进程:C:\ProgramFiles\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFiles\Chinat elecomC+W\C+WClient.exe,C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntr usionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAf eeFire.exe,C:\ProgramFiles\WindowsMediaPlayer\wmplayer.exe,C:\Windows\Explorer.E XE,C:\Windows\servicing\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\Dow nload\**\update.exe,C:\Windows\System32\cleanmgr.exe,C:\WINDOWS\system32\dwwin.e xe,C:\Windows\System32\rundll32.exe,C:\Windows\System32\svchost.exe,C:\Windows\S ysWOW64\rundll32.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe,E:\ProgramFiles\CCleaner\CCleaner*.exe,E:\ProgramFiles \COMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\COMODO\COMODOInternetSecu rity\cmdagent.exe,E:\ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\King soft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe,E :\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingsoft\webshield \kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ProgramFiles\McAfe e\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\Mc ScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\ McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\ProgramFiles\HWPDFOCR80\HWPD FOCR80.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe是否勾选报告:是--------------------------------------说明:隐私保护规则.防止病毒、木马读取上网隐私.排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为).《防病毒爆发控制》规则名称:将所有共享项设为只读(系统组)要包含的进程:**(Win7下用*.*)要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\system32\WBEM\WMIADAP.EXE,*\WINDOWS\system32\ winlogon.exe,C:\WINDOWS\Explorer.EXE,C:\Windows\\Framework64\**\msc orsvw.exe,C:\Windows\\Framework\**\mscorsvw.exe,C:\Windows\servicin g\TrustedInstaller.exe,C:\WINDOWS\SoftwareDistribution\**\update.exe,C:\Windows\ System32\cleanmgr.exe,C:\Windows\System32\csrss.exe,C:\WINDOWS\system32\defrag.e xe,C:\Windows\system32\DeviceDisplayObjectProvider.exe,C:\WINDOWS\system32\drwts n32.exe,C:\WINDOWS\system32\dwwin.exe,C:\WINDOWS\system32\imapi.exe,C:\Windows\s ystem32\lsass.exe,C:\Windows\system32\mmc.exe,C:\Windows\System32\msdtc.exe,C:\W indows\system32\notepad.exe,C:\WINDOWS\regedit.exe,C:\Windows\System32\rundll32. exe,C:\Windows\System32\services.exe,C:\Windows\System32\smss.exe,C:\Windows\sys tem32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\system32\wbem\WMIADA P.EXE,C:\WINDOWS\system32\wbem\wmiprvse.exe,C:\WINDOWS\system32\WindowsPowerShel l\v1.0\powershell.exe,C:\WINDOWS\system32\wuauclt.exe,C:\Windows\SysWOW64\notepa d.exe,C:\Windows\SysWOW64\rundll32.exe,C:\Windows\SysWOW64\runonce.exe,C:\Window s\SysWOW64\WerFault.exe,E:\4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.e xe,E:\AloneSbck\SbckServer\SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\ KangXiDict\eKangXi.exe是否勾选报告:是---------------------------------------说明:这是非常强大的全局禁改规则.按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了.有效防止信任区病毒爆发.软件组在自定义中补充.规则名称:阻止对所有共享资源的读写访问(即禁止非信任区程序访问-文件)要包含的进程:**(Win7下用*.*)要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是------------------------------------------------说明:这是非常强大的全局禁运规则.排除信任区后,非信任区一切程序的所有操作都无法进行.有效防止非信任区病毒爆发.注册表在自定义中补充.《通用标准保护》规则名称:禁止修改McAfee文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\system32\services.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe是否勾选报告:是-------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfeeCommonManagementAgent文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,C:\Windows\system32\services.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McTray.exe是否勾选报告:是------------------------------------------说明:只排除了咖啡本身和C:\Windows\system32\services.exe.规则名称:禁止修改McAfee扫描引擎文件和设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\McAfeeFire.exe,E:\ProgramFiles\McAfee\CommonFramewo rk\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe是否勾选报告:是----------------------------------------说明:只排除了咖啡本身.规则名称:保护Mozilla及FireFox文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*是否勾选报告:是-------------------------------说明:本人不用,常规排除.规则名称:保护InternetExplorer设置要包含的进程:**要排除的进程:C:\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE是否勾选报告:是----------------------------------说明:排除*\ProgramFiles\InternetExplorer\iexplore.exe,C:\Windows\Explorer.EXE是为了自己能修改IE设置.规则名称:禁止安装BrowserHelperObjects和ShellExtensions要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService. exe,E:\ProgramFiles\McAfee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfe e\CommonFramework\McTray.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe 是否勾选报告:是-----------------------------------------说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等.只给咖啡这个权利.规则名称:保护网络设置要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,C:\Windows\system32\svchost.exe,E:\ProgramFiles\McAfee\C ommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\McSca nCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFiles\McA fee\CommonFramework\UdaterUI.exe是否勾选报告:是----------------------------------------说明:反广告规则.禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据.只给咖啡和svchost.exe这个权利.规则名称:禁止公用程序从Temp文件夹运行文件要包含的进程:eudora.exe,explorer.exe,firefox.exe,iexplore.exe,MAPISP32.exe,mozilla.exe,msi mn.exe,msn6.exe,msnmsgr.exe,neo20.exe,netscp.exe,nlnotes.exe,opera.exe,outlook.e xe,Owstimer.exe,packager.exe,pine.exe,poco.exe,RESRCMON.EXE,SPSNotific*,thebat.e xe,thunde*.exe,VMIMB.EXE,WinMail.exe,winpm-32.exe,winrar.exe,winzip32.exe要排除的进程:无是否勾选报告:是---------------------------说明:官方默认.规则名称:在InternetExplorer中禁用HCPURL要包含的进程:iexplore.exe,wmplayer.exe要排除的进程:无是否勾选报告:是------------------------------------------------说明:官方默认.规则名称:防止终止McAfee进程要包含的进程:**要排除的进程:/system32/csrss.exe,/system32/drwtsn32.exe,/system32/lsass.exe,/syswow64/lsas s.exe,amgrcnfg.exe,C:\ProgramFiles\CommonFiles\McAfee\SystemCore\csscan.exe,C:\P rogramFiles\CommonFiles\McAfee\SystemCore\dainstall.exe,C:\ProgramFiles\CommonFi les\McAfee\SystemCore\mcshield.exe,cleanup.exe,cmdagent.exe,dbinit.exe,E:\Progra mFiles\McAfee\VirusScanEnterprise\mcadmin.exe,E:\ProgramFiles\McAfee\VirusScanEn terprise\mcconsol.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\mcupdate.exe,E: \ProgramFiles\McAfee\VirusScanEnterprise\restartVSE.exe,E:\ProgramFiles\McAfee\V irusScanEnterprise\scan32.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\scncfg3 2.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\shcfg32.exe,E:\ProgramFiles\McA fee\VirusScanEnterprise\shstat.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\VS Core\dainstall.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\VSCore\x64\dainsta ll.exe,E:\ProgramFiles\McAfee\VirusScanEnterprise\vstskmgr.exe,E:\ProgramFiles\M cAfee\VirusScanEnterprise\x64\scan64.exe,EngineServer.exe,fcag.exe,fcags.exe,FCA GT.exe,fcagte.exe,firesvc.exe,FireTray.exe,framepkg.exe,framepkg_upd.exe,framewo rks*,frameworks*.exe,frminst.exe,HipManage.exe,hipsvc.exe,McAfeeFire.exe,mcscanc heck.exe,mcscript*,mcscript_inuse.exe,mctray.exe,mfeann.exe,mfefire.exe,mfehidin .exe,MPEScanner.exe,mue_inuse.exe,naimserv.exe,naprdmgr.exe,naprdmgr64.exe,narep l32.exe,ncdaemon.exe,RPCServ.EXE,RSSensor.exe,SAFeService.exe,scanner.exe,setlic ense.exe,SiteAdv.exe,TBMon.exe,udaterui.exe,updaterui.exe,VirusScanAdvancedServe r.exe,vmscan.exe,WerFault.exe是否勾选报告:是------------------------------说明:官方默认.《通用最大保护》规则名称:禁止将程序注册为自动运行要包含的进程:**要排除的进程:C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\Mc Afee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPr evention\McAfeeFire.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.e xe,E:\ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webs hield\KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramF iles\Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.ex e,E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\Mc Afee\CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTr ay.exe,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-------------------------------------说明:安全软件给这个权利.规则名称:禁止将程序注册为服务要包含的进程:**要排除的进程:C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\InternetExplore r\iexplore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\Pro gramFiles\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\Hos tIntrusionPrevention\McAfeeFire.exe,C:\Windows\servicing\TrustedInstaller.exe,C: \WINDOWS\SoftwareDistribution\Download\**\update.exe,C:\Windows\system32\mmc.exe ,C:\Windows\System32\rundll32.exe,C:\Windows\system32\services.exe,C:\Windows\sy stem32\sppsvc.exe,C:\Windows\system32\svchost.exe,C:\Windows\SysWOW64\rundll32.e xe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\ProgramFiles\Ki ngsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWebShield.exe ,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingsoft\webshie ld\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ProgramFiles\McA fee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\CommonFramework\ McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\ProgramFile s\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Pro gram\Thunder.exe是否勾选报告:是---------------------------------------说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护.严格排除已知的安全进程.规则名称:禁止在Windows文件夹中创建新的可执行文件要包含的进程:**要排除的进程:C:\Windows\\Framework64\v4.0.30319\mscorsvw.exe,C:\Windows\Micro \Framework\v4.0.30319\mscorsvw.exe是否勾选报告:是------------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止在ProgramFiles文件夹中创建新的可执行文件要包含的进程:**要排除的进程:E:\ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\M cAfee\CommonFramework\UdaterUI.exe是否勾选报告:是-----------------------------说明:只防了EXE和DLL的创建,自定义规则还需要补充.规则名称:禁止从DownloadedProgramFiles文件夹启动文件要包含的进程:**要排除的进程:无是否勾选报告:是--------------------------------说明:"要包含的进程"改成**,禁止所有程序从DownloadedProgramFiles文件夹启动文件.规则名称:禁止FTP通信要包含的进程:**要排除的进程:agentnt.exe,ahnun000.tmp,alg.exe,amgrsrvc.exe,apache.exe,autoup.exe,avtask.ex e,boxinfo.exe,cfgeng.exe,cleanup.exe,cmdagent.exe,dstest.exe,earthagent.exe,expl orer.exe,f-secu*,f-secureautoma*,firefox.exe,fnrb32.exe,framepkg.exe,framepkg_up d.exe,frameworks*,frminst.exe,fspex.exe,ftp://ftp.exe/,getdbhtp.exe,giantantispy wa*,google*,idsinst.exe,iexplore.exe,ii_nt86.exe,ilaunchr.exe,inetinfo.exe,inodi st.exe,iv_nt86.exe,lsetup.exe,lucoms*,luupdate.exe,mcscancheck.exe,mcscript*,mct ray.exe,mozilla.exe,msexcimc.exe,msn6.exe,mue_inuse.exe,naimserv.exe,naprdmgr.ex e,naprdmgr64.exe,narepl32.exe,netscp.exe,nv11esd.exe,ofcservice.exe,opera.exe,pa ddsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pskmssvc.exe,setlicense.exe,sevinst. exe,sucer.exe,supdate.exe,thunde*.exe,tmlisten.exe,tomcat.exe,tomcat5.exe,tomcat 5w.exe,tsc.exe,udaterui.exe,updaterui.exe,v3cfgu.exe,webproxy.exe是否勾选报告:是------------------------------说明:默认,到自定义规则中去详细控制.规则名称:禁止HTTP通信要包含的进程:**要排除的进程:???setup.exe,??setup.exe,?setup.exe,acrobat.exe,acrord32.exe,agentnt.exe,ahnu n000.tmp,alg.exe,amgrsrvc.exe,apache.exe,autoup.exe,avtask.exe,backweb-*,boxinfo .exe,C+WClient.exe,ccmexec.exe,cfgeng.exe,cleanup.exe,cmdagent.exe,console.exe,d evenv.exe,dstest.exe,dwwin.exe,earthagent.exe,eudora.exe,explorer.exe,f-secu*,f-secureautoma*,firefox.exe,FireSvc.exe,fnrb32.exe,framepkg.exe,framepkg_upd.exe,f rameworks*,frminst.exe,fspex.exe,getdbhtp.exe,giantantispywa*,google*,idsinst.ex e,iexplore.exe,ii_nt86.exe,ikernel.exe,ilaunchr.exe,inetinfo.exe,inodist.exe,Ins FireTdi.exe,iv_nt86.exe,javaw.exe,jucheck.exe,KSWebShield.exe,kwsmain.exe,kwsupd .exe,lsetup.exe,lucoms*,luupdate.exe,MAPISP32.exe,McAfeeHIP_Clie*,McSACore.exe,m cscancheck.exe,mcscript*,mctray.exe,mmc.exe,mobsync.exe,mozilla.exe,msexcimc.exe ,mshta.exe,msi*.tmp,msiexec.exe,msimn.exe,msn6.exe,msnmsgr.exe,mue_inuse.exe,nai mserv.exe,naprdmgr.exe,naprdmgr64.exe,narepl32.exe,neo20.exe,netscp.exe,nlnotes. exe,ntaskldr.exe,nv11esd.exe,ofcservice.exe,opera.exe,outlook.exe,Owstimer.exe,p addsupd.exe,pasys*,pavagent.exe,pavsrv50.exe,pine.exe,poco.exe,pskmssvc.exe,quic ktimeplaye*,realplay.exe,RESRCMON.EXE,runscheduled.exe,SAEDisable.exe,SAEuninsta ll.exe,setlicense.exe,setup*.exe,setup.exe,Setup_SAE.exe,sevinst.exe,SiteAdv.exe ,SPSNotific*,sucer.exe,supdate.exe,svchost.exe,thebat.exe,thunde*.exe,tmlisten.e xe,tomcat.exe,tomcat5.exe,tomcat5w.exe,tsc.exe,udaterui.exe,uninstall.exe,update .exe,updaterui.exe,v3cfgu.exe,VMIMB.EXE,vmnat.exe,waol.exe,webproxy.exe,wfica32. exe,winamp.exe,windbg.exe,WinMail.exe,winpm-32.exe,wmplayer.exe,wuauclt.exe,_ins *._mp是否勾选报告:是--------------------------------说明:默认加简单排除,到自定义规则中去详细控制.《虚拟机保护》规则名称:防止终止VMWare进程要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是--------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareWorkstation文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是----------------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWareServer文件和设置要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是-----------------------------------说明:本人不用,常规排除.规则名称:禁止修改VMWare虚拟机文件要包含的进程:**要排除的进程:*\ProgramFiles\**\*.*,*\WINDOWS\**\*.*是否勾选报告:是---------------------------------说明:本人不用,常规排除.----------------------------用户定义的规则-----------------------------------------01规则名称:禁止非信任区程序访问注册表_项要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.02规则名称:禁止非信任区程序访问注册表_值要包含的进程:**要排除的进程:*\*工具\**\*.*,*\*电子书\**\*.*,*\4KBrowser\**\*.*,*\AloneSbck\**\*.*,*\EMPIREEARTH\**\*.*,*\KangXiDict\ **\*.*,*\ProgramFiles\**\*.*,*\PROGRA~?\**\*.*,*\WINDOWS\**\*.*要保护的注册表项目或注册表值:HKALL/**要保护的注册表项或注册表值:项要阻止的注册表:写入创建删除是否勾选报告:是-------------------------------------------------说明:对"阻止对所有共享资源的读写访问"规则的补充.03规则名称:禁止未知程序访问端口_入站要包含的进程:**(Win7下用*.*)要排除的进程:cmdagent.exe,FrameworkService.exe,iexplore.exe,KSWebShield.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUse.exe,svchost.exe要阻止的端口:1-65535方向:入站是否勾选报告:是-------------------------------------------------说明:程序入站自己控制.04规则名称:禁止未知程序访问端口_出站要包含的进程:**(Win7下用*.*)要排除的进程:C+WClient.exe,cmdagent.exe,FireSvc.exe,FrameworkService.exe,iexplore.exe,KSWe bShield.exe,kwsmain.exe,kwstray.exe,kwsupd.exe,McScript_InUse.exe,sppsvc.exe,svc host.exe,Thunder*.exe要阻止的端口:1-65535方向:出站是否勾选报告:是-------------------------------------------------说明:程序出站自己控制.05规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组要包含的进程:**(Win7下用*.*)要排除的进程:**\Windows\**\*.*,C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFil es\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe,C:\ProgramFiles\InternetExplorer\iexpl ore.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFil es\McAfee\HostIntrusionPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrus ionPrevention\Helper.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFi re.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\system32\svchost.exe,E:\4KBrowser\4KSe rver\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer\SbckServer.exe ,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe,E:\ProgramFiles\AC DSystems\ACDSee\10.0\ACDSee10.exe,E:\ProgramFiles\Adobe\PhotoshopCS\Photoshop.ex e,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32.exe,E:\ProgramFiles\CCleaner\C Cleaner.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdagent.exe,E:\Progra mFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\HYDCGB.V20\HYDCV20.EXE,E:\Progr amFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield\KSWeb Shield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\Kingso ft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\Progra mFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\Common Framework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.exe,E:\P rogramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\MicrosoftOffice\ OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11\POWERPNT.EXE,E:\Prog ramFiles\MicrosoftOffice\OFFICE11\WINWORD.EXE,E:\ProgramFiles\MicrosoftVirtualPC \VirtualPC.exe,E:\ProgramFiles\ThunderNetwork\Thunder\Program\Thunder.exe,E:\Pro gramFiles\ZRM2000\ZRW32.EXE要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"禁止远程创建/修改可执行文件和配置文件"规则的软件组.全局防止对*.exe,*.scr,*.ocx,*.dll,*.pif,%systemdrive%\*.ini的创建、写入、删除.06规则名称:防病毒爆发_将所有共享项设为只读_软件组要包含的进程:**(Win7下用*.*)要排除的进程:*\WINDOWS\**\*.*,c:\ProgramFiles\ATITechnologies\ATI.ACE\Core-Static\ccc.exe, C:\ProgramFiles\ChinatelecomC+W\C+WClient.exe,C:\ProgramFiles\CommonFiles\Adobe\ ARM\1.0\AdobeARM.exe,C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE,C:\ProgramFil es\McAfee\HostIntrusionPrevention\FireSvc.exe,C:\ProgramFiles\McAfee\HostIntrusi onPrevention\FireTray.exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\Helper. exe,C:\ProgramFiles\McAfee\HostIntrusionPrevention\McAfeeFire.exe,C:\ProgramFile s\WindowsDefender\MSASCui.exe,C:\ProgramFiles\WindowsMediaPlayer\wmplayer.exe,E: \4KBrowser\4KServer\4KServer.exe,E:\4KBrowser\4kText.exe,E:\AloneSbck\SbckServer \SbckServer.exe,E:\AloneSbck\SBCKSVR\SBCKALONE.EXE,E:\KangXiDict\eKangXi.exe,E:\ ProgramFiles\ACDSystems\ACDSee\10.0\ACDSee10.exe,E:\ProgramFiles\Adobe\Photoshop CS\Photoshop.exe,E:\ProgramFiles\Adobe\Reader9.0\Reader\AcroRd32.exe,E:\ProgramF iles\Adobe\Reader9.0\Reader\AcroRd32Info.exe,E:\ProgramFiles\ATITechnologies\ATI .ACE\Core-Static\CCC.exe,E:\ProgramFiles\CCleaner\CCleaner.exe,E:\ProgramFiles\C OMODO\COMODOInternetSecurity\cfp.exe,E:\ProgramFiles\COMODO\COMODOInternetSecuri ty\cmdagent.exe,E:\ProgramFiles\COMODO\COMODOInternetSecurity\cmdinstall.exe,E:\ ProgramFiles\HWPDFOCR80\HWPDFOCR80.exe,E:\ProgramFiles\HYDCGB.V20\HYDCV20.EXE,E: \ProgramFiles\Kingsoft\webshield\kisaddin.exe,E:\ProgramFiles\Kingsoft\webshield \KSWebShield.exe,E:\ProgramFiles\Kingsoft\webshield\kwsmain.exe,E:\ProgramFiles\ Kingsoft\webshield\kwstray.exe,E:\ProgramFiles\Kingsoft\webshield\kwsupd.exe,E:\ ProgramFiles\McAfee\CommonFramework\FrameworkService.exe,E:\ProgramFiles\McAfee\ CommonFramework\McScanCheck.exe,E:\ProgramFiles\McAfee\CommonFramework\McTray.ex e,E:\ProgramFiles\McAfee\CommonFramework\UdaterUI.exe,E:\ProgramFiles\MicrosoftO ffice\OFFICE11\EXCEL.EXE,E:\ProgramFiles\MicrosoftOffice\OFFICE11\POWERPNT.EXE,E :\ProgramFiles\MicrosoftOffice\OFFICE11\WINWORD.EXE,E:\ProgramFiles\MicrosoftVir tualPC\VirtualPC.exe,E:\ProgramFiles\ProgramFiles\AngryBirds\AngryBirds\AngryBir ds.exe,E:\ProgramFiles\ProgramFiles\WinRAR\WinRAR.exe,E:\ProgramFiles\ThunderNet work\Thunder\Program\Thunder.exe,E:\ProgramFiles\UltraISO\UltraISO.exe,E:\Progra mFiles\ZRM2000\ZRW32.EXE要阻止的文件或文件夹名:**要禁止的文件:写入创建删除是否勾选报告:是-------------------------------------------------说明:"将所有共享项设为只读"规则的软件组.防止信任区病毒爆发.。

McAfee数据保护---端点加密解决方案

Simple Architecture
SafeBoot Client SafeBoot Client
Dynamic IP address Listening Port: 5556 (configurable)
Dynamic IP address Listening Port: 5556 (configurable)
Financial Services / Insurance Technology Manufacturing Telecoms / Utilities Business Services and Consulting Retail Healthcare
Note: * Based on Forbes Global Top 2000 list as of 2007
Windows Boot Up
SafeBoot Client Agent starts
Load User Profile
SB Client tries contacting the SafeBoot Server
SafeBoot® on the PC/Laptop

Client Boot Sequence
SafeBoot PreBoot Screen
Username: Jiexin256 Password: *******
Authentication takes place
SafeBoot Key loaded
SafeBoot loads Original MBR
Microsoft PKI Entrust PKI Active Directory Novell NDS LDAP
SafeBoot® Administration

迈克菲(麦咖啡)8.7i企业版安装说明书

删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用安装实用程序删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用命令行删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 使用“添加/删除程序”实用工具删除程序文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
测试安装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 已安装的文件的位置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

McAfee Total Protection 说明书

McAfee Privacy Service ............................................................................................................137 Privacy Service 功能 ......................................................................................................138 设置家长监控 .................................................................................................................139 在 Web 上保护信息......................................................................................................153 保护密码 .........................................................................................................................155
McAfee VirusScan .......................................................................................................................25 VirusScan 功能.................................................................................................................26 启动实时病毒防护 ...........................................................................................................27 启动附加防护 ...................................................................................................................29 设置病毒防护 ...................................................................................................................33 扫描计算机 .......................................................................................................................49 处理扫描结果 ...................................................................................................................51

mcafee规则设置

mcafee规则设置Mcafee（麦咖啡）8.5i 使用设置图解》Mcafee（麦咖啡）与Norton（诺顿）、Kaspersky（卡巴斯基）并称为世界三大杀毒软件，是一款非常优秀的杀软。

其监控能力和保护规则相当强大，是同类软件中最好的。

是我非常推崇的一款杀软。

Mcafee的精髓就在于规则设置。

只要访问保护规则设置得好，几乎可以说是能够做倒百毒不侵。

但它却是所有杀软中设置最为复杂，软件界面也不太符合我们的使用习惯的软件。

不过由于它的异常优秀的防毒杀毒效果，却值得推荐。

下面将逐步介绍McAfee VirusScan Enterprise 8.5i（最新的企业版本）的安装、使用、及规则设置。

一、安装与其它软件的安装相似，双击安装包中的setup.exe可执行文件，一路下一步即可完成安装。

其中有几点需要注意一下：图1如（图1）所示，在这里“许可期限类型”可以选择使用期限，点击右侧倒三角型按钮，可以从下拉列表中进行选择“一年、二年或者永久”。

在“请选择购买和使用的国家或地区”的下拉列表中可以选择所在国家。

图2可以选择典型安装或者自定义安装，典型安装默认进行所有功能组件的最大化安装。

自宝义安装，可以选择安装相关的组件，如（图2）所示。

两种安装方式都可以自定义安装目录。

图3如（图3）所示，安装过程到这一步的时候，可以选择按访问保护的级别，标准保护或者最大保护。

在这里推荐选择标准保护，在软件安装成功后，访问保护规则仍然可以自行定义和修改的。

图4该软件安装完成后，不需要重新启动电脑，即能使用。

这是我第一个次碰到安装完成无需重启是杀毒软件，觉得这真是一个进步。

之前的8.0i版本安装完成后需要重启。

如（图4）所示，显示的是“VirusScan Enterprise 8.5i”。

图5推荐安装与之配套的Anti-Spyware Enterprise 8.5i 反间谍插件。

安装过程比较简单，双击安装包中的setup.exe一路点击“下一步”即可完成安装。

McAfee企业版杀毒软件8.5、8.7的简单说明和一些思路(精)

本人玩杀毒软件已经有 1年多了, 刚开始是个不折不扣的杀毒软件狂热者, 装遍无数杀毒软件,现在想想实在是阅历丰富啊…… ,但是后来接触到了 McAfee 企业版,和 HIPS 概念,防毒观念立马转变了过来, 接着就是不断地学习和试验。

使用麦咖啡系列软件已经有大半年了, 一直很坚定,对它很有信心,从 8.5开始,到 8.7,后来又试了 8.0,后来又回到 8.5,总算是对这 3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。

先给新手补个课吧:首先介绍下 HIPS 也就是主动防御:HIPS 可以分为 3D :AD(Application Defend应用程序防御体系 RD(Registry Defend 注册表防御体系 FD(File Defend 文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee 的访问保护个人觉得是一个相对不完整 (当然是相对于专业 HIPS 如PS 和 EQ 等但是功能强大的主动防御体系, 大家所谓的规则就是访问保护部分。

最然说不完整, 但是还是很安全。

为什么这么说呢, McAfee 企业版有和专业 HIPS 一样完整的 FD 和 RD ,只是 AD 部分没有专业 HIPS 软件细化,专业 HIPS 软件的AD 有很多细致的条目可以供选择,过于细化好处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。

而 McAfee 企业版的 AD 仅包括了“ 执行”一个功能,不要小看它,这个功能可以防止程序的运行,防止了它的运行何谈插入线程,全局钩子一类的?其实 McAfee 实现了 AD 的主要功能,但是这种单一的功能有种一刀切的感觉, 对于高手来说是一种限制但是对于大众来说, 就如我们这类菜鸟来说其实功能完全能达到要求了, 对于我们防毒, 规范软件行为才是我们想要的, 而不是繁琐的规则制定, 简单有效的规则制定不但能道道目的, 而且不会使我们感到厌烦, 在学习规则,编辑规则时也会乐在其中。

McAfee企业版杀毒软件8.5、8.7的简单说明和一些思路

本人玩杀毒软件已经有1年多了，刚开始是个不折不扣的杀毒软件狂热者，装遍无数杀毒软件，现在想想实在是阅历丰富啊……，但是后来接触到了McAfee企业版，和HIPS概念，防毒观念立马转变了过来，接着就是不断地学习和试验。

使用麦咖啡系列软件已经有大半年了，一直很坚定，对它很有信心，从8.5开始，到8.7，后来又试了8.0，后来又回到8.5，总算是对这3款软件的属性比较熟悉了，当然之间也学习了很多高手的文章和经验。

先给新手补个课吧：首先介绍下HIPS也就是主动防御：HIPS可以分为3D：AD(Application Defend)应用程序防御体系RD(Registry Defend)注册表防御体系FD(File Defend)文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee的访问保护个人觉得是一个相对不完整（当然是相对于专业HIPS如PS和EQ等）但是功能强大的主动防御体系，大家所谓的规则就是访问保护部分。

最然说不完整，但是还是很安全。

为什么这么说呢，McAfee企业版有和专业HIPS一样完整的FD和RD，只是AD部分没有专业HIPS软件细化，专业HIPS软件的AD有很多细致的条目可以供选择，过于细化好处当然有，但是对于新手和菜鸟来说简直就不知所云，那些条目都不知道。

而McAfee企业版的AD仅包括了“执行”一个功能，不要小看它，这个功能可以防止程序的运行，防止了它的运行何谈插入线程，全局钩子一类的？其实McAfee实现了AD的主要功能，但是这种单一的功能有种一刀切的感觉，对于高手来说是一种限制但是对于大众来说，就如我们这类菜鸟来说其实功能完全能达到要求了，对于我们防毒，规范软件行为才是我们想要的，而不是繁琐的规则制定，简单有效的规则制定不但能道道目的，而且不会使我们感到厌烦，在学习规则，编辑规则时也会乐在其中。

主动防御的精髓在于规则，乐趣也在于规则，用恰当了不但能防毒还可以防止软件的不轨行为。

McAfee（麦咖啡）杀毒规则设置方法

McAfee（麦咖啡）杀毒规则设置⽅法1、McAfee的杀毒凌驾于⼀切规则之上！即设置规则禁⽌对染毒⽂件做任何操作，在McAfee杀毒时，该规则失效。

所以不要介意将规则中的“删除”选项选中，因为即使禁⽌删除该⽂件，若该⽂件染毒，McAfee⼀样照杀不误。

2、“访问保护”⽀持绝对路径。

通鉴中所有规则均以系统盘为C盘编写。

3、双星号(**)表⽰在反斜线(\)字符前后任意多个层级的⽬录，即⽂件夹可以新建，但任何⽂件夹中的⽂件均被保护。

⼀个星号(*)表⽰任意⼀个或部分⽬录名称，（*.*）表⽰任何⽂件，不包括⽂件夹，即只有⼀层⽂件夹内的⽂件被保护。

（\**）与（\**\*）均表⽰在当前⽬录下任意多个层级⽬录⾥的任何⽂件和⽂件夹。

4、在“要禁⽌的⽂件操作”⾥，除了“创建”外，其余四项都是对已有的⽂件进⾏操作，⼀般情况下，“写⼊”、“创建”和“删除”可以⼀同禁⽌，⽽且禁⽌“写⼊”有时需要禁⽌“创建”，否则系统会在此⽂件夹中创建TMP*.tmp的临时⽂件（垃圾⽂件）。

5、读取：对已有的⽂件进⾏读取操作，但不执⾏⽂件的内容；写⼊：对已有的⽂件进⾏写⼊操作，即对⽂件的内容进⾏修改，删除等；执⾏：对已有的⽂件进⾏执⾏操作，即执⾏⽂件的内容；创建：在⽂件夹中创建⼀个新的⽂件；删除：对已有的⽂件进⾏删除操作，包括修改⽂件名。

6、对注册表保护中“要保护的注册表项或注册表值”⾥⾯主键的说明：空⽩项：默认状态，⽆任何意义。

HKLM：表⽰HKEY_LOCAL_MACHINE主键。

HKCU：表⽰HKEY_CURRENT_USER主键。

HKCR：表⽰HKEY_CLASSES_ROOT主键。

HKCCS：表⽰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。

HKULM：表⽰HKCU+HKLM+HKEY_USER三⼤主键。

HKALL：表⽰所有主键。

可以近似地当作⾃定义项来使⽤。

McAfee 8.7i企业版新手规则

McAfee 8.7i企业版新手规则McAfee 8.7i企业版新手规则是为那些初次使用McAfee 8.7i的用户而设计的一套规则，此规则涉及到了一些常用的软件和系统操作，既能很好的确保安全，又不至于太严厉。

个人使用环境：windows XP SP3 McAfee 8.7i+系统防火墙网络环境：ADSL拨号上网，外网主要应用软件：浏览器IE、火狐、谷歌，下载工具快车，聊天工具QQ，网络游戏QQ 游戏，网络影视PPS，音乐播放器酷我音乐盒、千千静听，视频播放器系统自带播放器和影音先锋，文档软件office2003，压缩软件RAR。

自带规则——A、防间谍标准保护：勾选“保护Internet Explorer 收藏夹和设置”B、防间谍程序最大保护：全部勾选C、防病毒标准保护：除了“禁止拦截.EXE和其它可执行文件扩展名”外全部勾选D、防病毒最大保护：全部勾选【最后一项“保护缓存文件免受密码和电子邮件地址窃贼的攻击”勾选后日志稍多，忍耐即可，不喜欢见红可以不勾】E、防病毒爆发控制：全部勾选F、通用标准保护：全部勾选G、通用最大保护：除了最后两个“禁止FTP通信”、“禁止HTTP通信”外全部勾选H、虚拟机保护：不用虚拟机，不管它，默认。

个人自定义规则部分——个人理解，上面自带规则已有的就不要重复了，适当补充一下即可。

规则名称尽量写得清楚明白一点，方便日后按日志查找原因和排除。

按规则类型:一、端口阻止规则1、规则名称：ND-禁止连接23端口要包含的进程：*要排除的进程：无要阻止的端口：开始端口23，结束端口23方向：入站2、规则名称：ND-禁止连接135端口要包含的进程：*要排除的进程：无要阻止的端口：开始端口135，结束端口135方向：入站3、规则名称：ND-禁止连接139端口要包含的进程：*要排除的进程：无要阻止的端口：开始端口139，结束端口139方向：入站【局域网共享本机资料不能使用该条】4、规则名称：ND-禁止连接445端口要包含的进程：*要排除的进程：无要阻止的端口：开始端口445，结束端口445方向：入站【局域网共享本机资料或打印机不能使用该条】5、规则名称：ND-禁止连接3389端口要包含的进程：*要排除的进程：无要阻止的端口：开始端口3389，结束端口3389方向：入站6、规则名称：ND-禁止指定外的所有程序上网要包含的进程：*要排除的进程：C:\Documentsand Settings\用户名\Local Settings\ApplicationData\Google\Chrome\Application\chrome.exe, C:\Program Files\FlashGetNetwork\FlashGet 3\Flashget3.exe, C:\Program Files\Google\Google Pinyin2\GooglePinyinDictionary.exe, C:\Program Files\Internet Explorer\iexplore.exe,C:\Program Files\KWMUSIC\KwMusic.exe, C:\Program Files\McAfee\CommonFramework\FrameworkService.exe, C:\Program Files\McAfee\CommonFramework\McScript_InUse.exe, C:\Program Files\McAfee\VirusScanEnterprise\SCAN32.EXE, C:\Program Files\Mc Afee\VirusScan Enterprise\Mcshield.exe,C:\Program Files\Mozilla Firefox\firefox.exe, C:\Program Files\MozillaFirefox\updater.exe, C:\Program Files\PPStream\PPSAP.exe, C:\ProgramFiles\PPStream\PPStream.exe, C:\Program Files\Tencent\QQ\Bin\QQ.exe, C:\ProgramFiles\TTPlayer\TTPlayer.exe, C:\Program Files\Windows MediaPlayer\wmplayer.exe, C:\Program Files\yyxfplayer\yyxfplayer.exe, C:\ProgramFiles\腾讯游戏\QQGAME\QQGame.exe,C:\WINDOWS\system32\alg.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\system32\svchost.exe, System【根据自己使用情况，添加允许上网的程序，使用该条规则对于系统防火墙这种不提供防内功能的相当于补充了一个防内功能，用第三方防火墙的该条就没必要】要阻止的端口：开始端口1，结束端口65535方向：入站出站网络规则基本上就是这几条，其它的交给系统防火墙处理。

mcafee安装后设置

最后一个用户自定义规则，是mcafee的高级设置，
你可以限制访问网络的文件，就在“添加”里面添加，添加后你再加先不要阻挡，只是报告就好了，然后查看“访问保护日志文件”，就可以看到哪些在入网了，然后把你允许入网的加入“排除的进程”里面就可以了，每个文件用英文的逗号隔开。
“访问保护日志文件”你可以在这里查看：
部分规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地任何地方创建、写入任何exe文件
阻挡对象：*
要阻挡的文件或文件名：**\*.exe
要阻止的文件作：在创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
其他的类似规则，参照设置即可。
用咖啡杀软来防止未知木马病毒
1.右键点击McAfee右下角图标出现下图，然后点击“打开访问日志文件（E）”
2.就是在访问保护属性中，点击“报告”选项卡，就可以查看日志。如下图：
1用咖啡杀软来防止未知木马病毒
我查了下相关资料，就目前来说，木马、病毒基本都是三种类型的，exe、dll、vxd
类型。好了，只要我们创建如下三种保护机制：
2.防病毒最大保护
图12
设置如（图12）所示，“保护缓存文件免受密码和电子邮件地址窃贼的攻击”这一规则，如果启用，可能会造成傲游浏览器等程序运行变慢，可以排除项中排除相关进程。
⑷防病毒爆发控制
图13
⑸通用最大保护
图14
该项中的规则设置如（图14）所示。“禁止程序注册为服务”规则，如果启用，需要在排除项中排除相关进程。相当部分的程序需要将自己注册为服务才能正常使用，我没有设置启用。“禁止HTTP通讯”规则，如果启用，同样需要在排除项中排除相关进程，否则，将不能进行浏览网页等很多网络操作。所以我也没有阻挡。

mcafees设置

超强杀软MCAFEE 8.5I 详细安装、设置编辑: 天马行空发表日期: 2008-08-02 13:41如果你认真地看了我做的超强杀软MCAFEE8.5I的教程，我保证你的电脑不会被黑客入侵，中病毒，木马等风险程序。

本次的教程不仅仅是让你了解软件的应用，而且还可以或多或少的学习些电脑知识一石二鸟！如果你一昧的看杀毒质量的高低，那劝你别看下去，继续用你的卡巴 (因为这是世界第一的杀软嘛！)找到适合自己的杀毒软件不容易！但是能DIV个,那何乐而不为之！适用人群：对电脑有基本知识电脑爱好者学习！安装简单的内容就步过安装方法1、打开压缩包，解压VSE850LML ASEM850LALL两个文件夹2、安装VSE850LML里的SETUP.exe安装完成后，提示要更新3、然后安装ASEM850LALL里的VSE85MAS.Exe (这是一个插件)更新，一般需要10多分钟，看你的网络情况啦！这是正常情况下MCAFEE的托盘图标MCAFEE的进程有7个frameworkservice.exe 框架进程Mcshieid.exe 主要(关键)进程maPrdmgr 管理进程Tbmon.exe 错误报告进程可以停止掉shstat.exe 图标进程Updataul.exe 升级进程进程虽然很多，但是占用CUP率不是很大机器配置不好的朋友，可以仅保留主要进程如果不小心把Mcshieid.exe关了，会出现这样的情况到服务里把它启动即可平时在设置里把禁止McAfee服务被停止选上。

先看一下托盘图标右键属性然后再看一下控制台设置MCAFEE8.5I的关键重中之重，就在于设置！那些说MCAFEE不好的网友，其实就是不懂得设置，看了下面的介绍，应该谁都能会！我重点介绍这一大部分内容防间谍程序标准保护与防间谍程序最大程序什么是间谍程序呢游戏木马远控窃取个人信息等程序两大传播木马通道1、IE浏览器 2、自行安装所以把这两大项目设置好了，那么那些流氓网站:带有恶意插件，未经许可修改主页被挂了木马弹窗等等的网页对你的电脑无计可施了[img]/images/11(2).jpg width=580>来实际得操作下！我在IE属性--常规选项卡中修改IE主页会有什么情况呢？迈克菲的警报出现！1看到没有被迈克菲拦截了下来主页还是about:blank防间谍程序最大保护什么是CLSIDCLSID是class ID的缩写，对于每个组件类，都需要分配一个唯一表示它的代码，就是ID，为了避免冲突，微软使用GUID作为CLSID，有生成GUID的函数，主要是根据当前的时间，机器地址等信息动态产生，理论上可保证全球唯一。

McAfee可移动介质设备安全保护方案

通过 McAfee ePO 进行集中式管理
通过可移动存储设备外泄据通过移动介质外泄全面的可见性
• 集中部署和管理安全策略，防止机密数
• 向审核人员、董事会成员以及其他利益
相关者证明自己遵从了内部安全策略和相关法规
Mc Af ee
De
vi ce
1 McAfee.《The Threats Within Volume II: Data Loss Disaster》。2007 年 2 月。 2 Ponemon Institute 的《2008 Cost of Data Breach Study》。
产品简介
销售服务热线13466604510
McAfee Device Control
防止未经授权在企业网络中使用可移动介质设备 U 盘、MP3 播放器、CD、DVD 以及其他可移动介质虽然很实用，但也会给您的企业带来安全隐患。这些设备体积小巧，但存储容量巨大，这些特点使它们非常容易被带出工作场所，而一旦丢失或被盗，其中存储的机密客户数据和知识产权就很容易流出公司，从而落入别有用心的人手中。迈克菲公司进行的一项调查显示，超过半数（大约 55%）的被调查者承认，他们每周都会使用便携式设备将一些机密文档带出企业。1 您如何知道哪些人将哪些信息存储到哪类设备上了？即使他们有权限使用某些数据，您又如何确定他们是否能够确保这些数据的安全？
功能无与伦比的数据保护 • 规范用户将数据复制到 U 盘、iPod、可刻录 CD 和 DVD、软盘、蓝牙和 IrDA 设备、成像设备、COM 和 LPT 端口等可移动设备或介质的行为
• 保护所有数据、格式和衍生品，即使数据在修
• 按用户、组或部门设置设备和数据策略 • 根据 Windows 设备参数（包括产品 ID、供应商

被忽视的防护王者：McAfee Host Intrusion Prevention

IPS 行为规则仅仅上文谈及的防火墙的基本功能出色，当然还不能说HIP 是王者，那么令它堪称王者的超凡之处又是什么呢？人们一般有一个共识：防毒最强的杀毒软件是VSE，因为它拥有强大的访问保护规则，通过内置和自定义的规来实现对指定文件/文件夹、注册表和端口等的保护。

而事实上，这些功能在HIP 的IPS 中都可以轻易实现，并更强大更方便管理。

让我们先简略介绍什么是IPS。

IPS 是“入侵防护系统”的简称，它通过设定一些行为规则并以此判断进程的行为或访问网络行为是否可疑，如果违反了指定的行为规则设定，则自动阻止并报警。

可以说，行为规则是IPS 的核心，就如同访问保护规则对于VSE 的意义。

以下说明摘自HIP 7.0 产品指南：行为规则：行为规则可定义合法活动的配置文件。

与配置文件不符的活动会触发事件。

例如，您可以设定一个规则，声明只有网页服务器处理程序才可以存取网页档案。

如果其他处理程序尝试存取网页档案，此行为规则便会触发事件。

Host Intrusion Prevention 结合了签章规则与硬件连接行为规则的使用。

这种交互式的攻击识别方法可侦测到大多数的已知攻击，以及先前未知的攻击或零时差攻击。

IPS 规则原则包含三种签章类型：主机签章：主机型的入侵防御签章(HIPS) 可侦测并防止系统作业活动攻击，包括档案、登录、服务与HTTP 类型等规则。

它们是由Host Intrusion Prevention 的安全性专家所开发，并与产品同时发布。

自定义的主机签章：自定义签章是主机型签章，您可以针对自己的需求建立签章以提供额外的保护。

例如，当您建立重要档案的新目录时，可以建立一个自定义签章来加以保护。

网络签章：网络型入侵防御签章(NIPS) 可侦测并防止抵达主机系统的已知网络型攻击。

每个签章均有说明与默认的严重性等级。

取得适当的权限等级后，系统管理员即可修改签章的严重性等级或停用签章。

我们如何来设定和修改签章呢？在ePO 中你可以直接对预设签章进行复制和修改，或通过签章新建精灵来新建一个签章，此时会出现提示，就像我们在VSE 中编写访问保护规则一样简单。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

mcafee8.0i设置图解完善版最近在论坛上看到了几篇关于mcafee设置的文章,觉得还欠缺完善.,重新写了一篇关于mcafee8.0i企业版设置的文章首先讲一下mcafee控制台.打开控制台可以看到如下界面.控制台默认分为7个项目,我是按照普通用户的标准来设置.大家可以根据自己的个人喜好进行改动.建议大家不要从网站直接导入规则包,这样会让你对你的mcafee设置感到陌生,自己动手学习一下设置,更好地发挥出mcafee的作用.接下来我们从mcafee的”访问保护”这个项目说起一.访问保护1.端口阻挡这个项目里面的端口阻挡,建议大家只漏掉”禁止从万维网上下载”这个项目,其他的都打上勾,可以有效地阻挡恶意程序和木马.这里可以设置新的规则.建议自行设置将所有的端口都关闭,就是在点击”添加”之后,将设置设置为下两图所示.一个是出站的设置,一个是入站的设置.这里设置的规则相当于mcafee的防火墙,可以屏蔽大量的木马和鸽子,避免帐号被盗.但是要注意的是,这样设置会把想要连接到互联网上的应用程序屏蔽掉,使得其无法正常连接到互联网上.mcafee监控这么厉害,当.看到下面”已排除进程”一项么,下面的空白项就是给你填写要排除的项目的名称.也就是说,通过这里设置的项目可以安全正常的连接到互联网上.如果想具体查看需要连接到互联网上的进程,可以在控制台右键点击”访问保护”,选择”查看日志”,里面会有因为某些规则被屏蔽的具体应用程序与屏蔽这个应用程序的规则,大家都可以自己设置.也可以在如下图所示打开”查看日志”进行查看.2.文件,共享资源和文件夹保护.这里是mcafee设置的核心,十分关键,具有个人选择的可塑性.普通用户根据我的设置进行.如有特殊需要可另行添加.共享资源这一项很清楚明了,自己进行选择与设置.是选择保持对所有共享资源的访问权限. 而要阻挡的文件和文件夹这个项目设置很重要.除以下项目其他的建议都打上勾这些不需要打勾的项目是禁止WinRAR 从Temp 文件夹启动任何项目禁止在Windows文件夹中创建新文件(.dll)禁止在Windows 文件夹中创建新文件(.exe)禁止在System32 文件夹中创建新文件(.dll)禁止在System32 文件夹中创建新文件(.exe)以下几个关于远程的选项可以根据自己对系统安全的需求进行取舍.建议也勾上去更加安全禁止远程创建/修改/删除文件(.exe)禁止远程创建/修改/删除文件(.scr)禁止远程创建/修改/删除文件(.ocx)此外还有一些设置,大家可以按照下面的内容的进行设置1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜等流氓软件。

目前，3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑，而且难以卸载干净。

用咖啡杀软可以阻止它们进入。

打开咖啡杀软访问保护，创建如下几个规则：1、禁止在本地创建、写入、执行、读取3721任何内容；2、禁止在本地创建、写入、执行、读取网络猪任何内容；3、禁止在本地创建、写入、执行、读取中文邮任何内容；4、禁止在本地创建、写入、执行、读取百度搜霸任何内容；5、禁止在本地创建、写入、执行、读取一搜任何内容。

好了，3721、网络猪、中文邮、百度搜霸、一搜等流氓软件没有理由呆在您的电脑里了。

附上部分设置方法。

比如，防止3721的方法：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止在本地创建、写入、执行、读取3721任何内容阻挡对象：*要阻挡的文件或文件名：**\3721*\**要阻止的文件操作：在创建文件、写入文件、执行文件、读取文件前全部打勾响应方式：阻止并报告访问尝试偶安装不少软件都捆绑3721，当咖啡打开此规则时，3721只见到一个鬼影子——空的3721文件夹2、用咖啡杀软来防止未知木马病毒我查了下相关资料，就目前来说，木马、病毒基本都是三种类型的，exe、dll、vxd类型。

好了，只要我们创建如下三种保护机制：1、禁止在本地任何地方创建、写入任何exe文件2、禁止在本地任何地方创建、写入任何dll文件3、禁止在本地任何地方创建、写入任何vxd文件这样，现在出现的各种木马病毒是进不来的。

当然，这条规则非常霸道，就是您更新咖啡病毒库，对其他软件进行升级，下载exe、dll、vxd类型文件，以及移动任何exe、dll、vxd 类型文件也不可能了。

所以，当您进行类似操作时，暂时取消此规则，等操作完成之后，再继续使用。

部分规则创建如下所示：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止在本地任何地方创建、写入任何exe文件阻挡对象：*要阻挡的文件或文件名：**\*.exe要阻止的文件操作：在创建文件、写入文件前打勾响应方式：阻止并报告访问尝试其他的类似规则，参照设置即可。

3、阻挡肆意删除文件的行为现在出现许多删除mp3格式的病毒。

好了，为了杜绝此类事件发生，可以这样做。

打开咖啡访问保护，创建如下规则：禁止删除本地任何mp3文件。

好了，那些病毒想删除mp3是不可能的了。

即便是您自己也删不掉mp3了！除非解禁！为了杜绝类似删除某些文件的病毒、木马。

我们再创建一条规则：禁止删除本地任何内容。

好了，那些肆意删除各种文件的病毒、木马，根本起不了什么作用。

当然，如果这条规则起作用，您自己也不可能删除任何东西了。

当您自己需要删除某些内容，暂时取消这条规则，等删除操作完成了，再打开就是了。

这条规则保护自己电脑不被别人删除任何东西非常管用哦。

而且别人莫名其妙的，他根本不会想到是咖啡在阻止删除操作哦！规则创建如下所示：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止删除本地任何mp3文件阻挡对象：*要阻挡的文件或文件名：**\*.mp3要阻止的文件操作：在删除文件前打勾响应方式：阻止并报告访问尝试咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止删除本地任何内容阻挡对象：*要阻挡的文件或文件名：**\*\**要阻止的文件操作：在删除文件前打勾响应方式：阻止并报告访问尝试个人也可以使用类似方法保护任何一个文件不被删除。

比如rm文件等。

4、用咖啡杀软保护注册表。

目前许多木马、病毒都喜欢在注册表驻留。

好了。

我们用咖啡创建这样一条规则。

禁止对本地注册表进行创建、写入活动。

好了。

除非您同意，否则，注册表是不会无缘无故的被修改的。

包括安装软件在内，如果咖啡依然开启这条规则，哈哈，软件虽然安装完了，注册表里却没有写入什么东西。

虽然不少软件需要写入注册表里才成，可注册表里没有被写入也可以用的哦——不信的可以实验下！当然，不写入注册表，软件功能上会打折扣，尤其是杀软、防火墙之类。

我曾做过类似实验。

不让反间谍软件写入注册表里，结果它只能查到间谍，却不能清除间谍（查到间谍数量与反间谍软件安装时是否写入注册表无关）。

对比一下金山、瑞星的注册表监视功能，金山、瑞星简直差远了。

他们对注册表的监视不但烦人，而且意义不是很大。

比如，安装一个软件，点击阻止写入注册表，那您就一直点下去吧。

规则创建如下所示：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止对本地注册表进行创建、写入活动阻挡对象：*要阻挡的文件或文件名：**\*.reg要阻止的文件操作：在创建文件、写入文件前打勾响应方式：阻止并报告访问尝试5、用咖啡来保护主页。

通过咖啡杀软来防护浏览器主页被修改完全可以(恶意网站不能在更改您的主页了)。

这样不用在安装其他软件进行防护了。

其他浏览器防护软件不但占用一定资源，而且效果不一定好。

而咖啡防护效果相当理想。

具体方法如下：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止在本地创建/修改hosts文件阻挡对象：IEXPLORE.EXE，或者*要阻挡的文件或文件名：**\etc*\**要阻止的文件操作：在创建文件、写入文件、删除文件前打勾响应方式：阻止并报告访问尝试6、阻止恶意脚本入侵。

打开咖啡杀软访问保护中文件保护规则，创建这样一些规则：1、禁止在本地任何地方读取、执行、创建、写入任何js文件2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件3、禁止在本地任何地方读取、执行、创建、写入任何htm文件4、禁止在本地任何地方读取、执行、创建、写入任何html文件好了，恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。

部分规则创建如下所示：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止在本地任何地方读取、执行、创建、写入任何js文件阻挡对象：*要阻挡的文件或文件名：**\*.js要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾响应方式：阻止并报告访问尝试其他的类似规则，参照设置即可。

当然，这样有些严厉，可能防碍上网，可以将这些规则修改为阻止创建、写入即可。

7、用咖啡来防止插件入侵。

现在上网越来越不安全。

恶意插件越来越多了。

好了。

我们用咖啡来对付他们。

由于那些插件是绑架到Internet Explorer文件里的，好了，我们用咖啡把Internet Explorer文件保护起规则创建如下所示：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止在Internet Explorer文件夹中进行创建写入活动阻挡对象：*要阻挡的文件或文件名：**\Internet Explorer*\**要阻止的文件操作：在创建文件、写入文件前打勾响应方式：阻止并报告访问尝试好了，那些插件不能进来了。

8、防止黑客破坏活动。

目前，黑客越来越多，也越来越喜欢入侵个人主机。

黑客入侵个人主机不外乎两个原因：黑客入侵，很难阻挡。

那对于入侵的黑客破坏行为如何进行阻挡呢？看咖啡的手段。

我们用咖啡建立这样的规则：禁止远程行为对本地任何文件/文件夹进行任何操作。

这样，黑客即便入侵了您的主机，他所能做的还有什么呢？具体规则设置如下：咖啡控制台------访问保护------文件夹保护-----添加规则名称：禁止远程行为对本地任何文件/文件夹进行任何操作阻挡对象：System:Remote要阻挡的文件或文件名：**\*\**要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾响应方式：阻止并报告访问尝试如果还不放心，可以将系统盘里每个根目录文件夹都创建一个规则。

禁止黑客对他们进行任何操作。

具体就不一一列举里。

这样设置，除非黑客能破坏咖啡，或者黑客知道咖啡密码，更改咖啡设置，才能进行进一步破坏活动。

如果黑客想破坏咖啡，决非易事。

用过咖啡的人知道，咖啡不能被退出进程，只会持续工作。