麦咖啡McAfee 企业版 8.8规则设置(初级篇)

mcafee是杀毒软件，访问保护是辅助的，所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是：杀毒强于规则，文件规则强于注册表规则，注册表规则强于端口规则，但四者各有所长，相互配合，才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。

一、通配符
mcafee 8.8 规则设置之难，难于通配符而已。通配符之难，难于8.8不支持“？：\”表示任意盘符。以windows和program files文件夹为例，下面是文件夹的表示方法：
*\windows：表示任意盘符下的windows文件夹（在“要阻止的进程”中无效）。
**\windows：表示任意盘符下的windows文件夹（所有进程有效）。
*\**\windows：表示任意盘符下的windows文件夹（所有进程有效）。
文件的通配符表示方法：
*\windows\**：表示任意盘符windows文件夹下多级目录中的所有文件（在“要阻止的进程”中无效）。
**\windows\**：表示任意盘符windows文件夹下多级目录中的所有文件（所有进程有效）。
*\**\windows\**：表示任意盘符windows文件夹下多级目录中的所有文件（所有进程有效）。
*\windows\**\*.*：表示任意盘符windows文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）。
**\windows\**\*.*：表示任意盘符windows文件夹下多级目录中的所有带后缀的文件（所有进程有效）。
*\**\windows\**\*.*：表示任意盘符windows文件夹下多级目录中的所有带后缀的文件（所有进程有效）。
文件夹名的通配符表示方法：
program files*：表示program files文件夹以及其后有多个任意字符的文件夹，当然包括program files (x86)。
progra~?：？表示任意单个字符，当然包括1、2、3、4等。关于progra~1，百度一下就知道了。
*\program files*\**\*.*：表示任意盘符program files和program files (x86)文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）
**\program files*\**\*.*：表示任意盘符program files和program files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）
*\**\program files*\**\*.*：表示任意盘符program files和program files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）
要包含的进程通配符表示方法：
*：表示所有进程。
**：表示所有进程。
*.*：表示所有带后缀的进程（解决sestem进程无法排出的问题）。
其它：?:\*：单独表示根目录继续有效。
　　说明：经实践，以上语法在8.7i中同样有效。

二、规则设置思路
规则是用来辅助杀毒软件防御未知病毒的，思路不同，规则的框架也就不同。下面是两种防御思路：
1、划分信任区，禁止非信任区程序非法运行，保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。
2、拟出绝对路径的白名单，白名单允许运行并禁止篡改，其它一律禁止。这种思路的关键是白名单必须找准。
说明：此思路的规则坛子里目前空白，有兴趣的可以一试。系统白名单提取思路——纯系统（不同系统）安装咖啡，去掉咖啡所有默认排除如法炮制名单，所有规则不保护、只勾选报告，进行各种运行和操作，最后从报告中整理出绝对路径的白名单，这个名单是通用的。然后在装好应用软件的系统里如法炮制，又可以得到其它白名单，这个名单是个性的的，常用软件还是通用的。
3、干净pc，入口防御。即在本机无毒的前提下，禁止可移动设备的程序非法运行和浏览器非法下载。
以上每一种思路下都可以做到非常严格和相对宽松。
下面就以第一种思路为例来设置mcafee 8.8 规则。

三、前期准备
1、安装mcafee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。
2、划分信任区。我的划分比较严格：
*\**工具\**\*.*, *\**电子书\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
说明：信任区包括任意盘符下带后缀的系统程序，安装在program files、program files (x86)以及非program files下的应用软件，32、64位通用，加入*\progra~?\**\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行（虽然99.99%用不着）。4kbrowser四库全书，alonesbck四部丛刊，empire earth地球帝国，kangxidict康熙字典，没有的这些的在下面的设置中去掉即可。
3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。
4、安排规则框架。
（1）禁止非信任区程序非法运行：理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口，其中，“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是，这是咖啡的极致规则，“阻止对所有共享资源的读写访问”开启，非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以，其它三个规则在用户定义的规则中加不加两可。
（2）保护信任区程序不被非法篡改：需要两类规则——保护系统程序、应用软件程序
（3）禁止其它风险运行：例如防映像劫持、防u盘病毒、保护根目录等。

万事俱备，下面就实践吧！

四、规则设置（mcafee 8.8 天诺规则 文字版）
（一）默认规则设置
《防间谍程序标准保护》
规则名称：保护internet explorer收藏夹和设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

《防间谍程序最大保护》
规则名称：禁止安装新的 clsid、appid 和 typelib
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：禁止所有程序从 temp 文件夹运行文件
要包含的进程：*
要排除的进程：*\program files*\**\*.*
规则名称：禁止从 temp 文件夹执行脚本
要包含的进程：?script.exe
要排除的进程：无

《防病毒标准保护》
规则名称：禁止禁用注册表编辑器和任务管理器
要包含的进程：*
要排除的进程：无

规则名称：禁止更改用户权限策略
要包含的进程：*
要排除的进程：*\windows\**\*.*

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*（win7下应为*.*，否则可能导致系统正版验证失败）
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止远程创建自动运行文件
要包含的进程：*
要排除的进程：无

规则名称：禁止拦截 .exe 和其他可执行文件扩展名
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：禁止伪装 windows 进程
要包含的进程：*
要排除的进程：*\windows\explorer.exe

规则名称：禁止群发邮件蠕虫发送邮件
要包含的进程：*
要排除的进程：*\program files*\**\*.*
规则名称：禁止 irc 通信
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：禁止使用 tftp.exe
要包含的进程：*
要排除的进程：无

《防病毒最大保护》
规则名称：禁止 svchost 执行非 windows 可执行文件
要包含的进程：svchost.exe
要排除的进程：无

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止更改所有文件扩展名的注册
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*
《防病毒爆发控制》

规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无

规则名称：阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程：*.*
要排除的进程：*\**工具\**\*.*, *\**电子书\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
说明：这条规则的作用即“禁止非信任区程序访问-文件”。

《通用标准保护》
规则名称：禁止修改 mcafee 文件和设置
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*, *\windows\**\system32\lsass.exe, *\windows\**\system32\services.exe, *
\windows\**\system32\smss.exe, *\windows\**\system32\winlogon.exe, *\windows\regedit.exe, *\windows\system32\svchost.exe

规则名称：禁止修改 mcafee common management agent 文件和设置
要包含的进程：*
要排除的进程：*\windows\**\system32\lsass.exe, *\windows\**\system32\services.exe, *\windows\**\system32\smss.exe, *\windows\**\system32\winlogon.exe, *\windows\system32\svchost.exe, *\program files*\**\mcafee\**\*.*

规则名称：禁止修改 mcafee 扫描引擎文件和设置
要包含的进程：*
要排除的进程：*\windows\**\system32\lsass.exe, *\windows\**\system32\services.exe, *\windows\**\system32\smss.exe, *\windows\**\system32\winlogon.exe, *\windows\system32\svchost.exe, *\program files*\**\mcafee\**\*.*, *\windows\explorer.exe

规则名称：保护 mozilla 及 firefox 文件和设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：保护 internet explorer 设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：禁止安装 browser helper objects 和 shell extensions
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：保护网络设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止公用程序从 temp 文件夹运行文件
要包含的进程：iexplore.exe
要排除的进程：无

规则名称：在 internet explorer 中禁用 hcp url
要包含的进程：*
要排除的进程：无

规则名称：防止终止 mcafee 进程
要包含的进程：*
要排除的进程：无
《通用最大保护》

规则名称：禁止将程序注册为自动运行
要包含的进程：*
要排除的进程：*\program files*\**\*.*

规则名称：禁止将程序注册为服务
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止在 windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：无

规则名称：禁止在 program files* 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：*\program files*\mcafee\common framework\frameworkservice.exe

规则名称：禁止从 downloaded program files 文件夹启动文件
要包含的进程：*
要排除的进程：无

规则名称：禁止 ftp 通信
要包含的进程：*
要排除的进程：agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

规则名称：禁止 http 通信
要包含的进程：*.*
要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, c+wclient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, firesvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, insfiretdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, kswebshield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, mapisp32.exe, mcafeehip_clie*, mcsacore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, resrcmon.exe, runscheduled.exe, saedisable.exe, saeuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setup_sae.exe, sevinst.exe, siteadv.exe, spsnotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, vmimb.exe, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, winmail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
《虚拟机保护》

规则名称：防止终止 vmware 进程
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止修改 vmware workstation 文件和设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止修改 vmware server 文件和设置
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

规则名称：禁止修改 vmware 虚拟机文件
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\windows\**\*.*

（二）用户定义的规则运行（此部分可以选择性设置，不必求全）
1、禁止非信任区程序（此部分可以没有，原因见前“规则框架”）
1.01 规则名称：禁止非信任区程序访问-文件
要包含的进程：*
要排除的进程：*\**工具\**\*.*, *\**电子书\**\*.*, *\windows\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*
要阻止的文件或文件夹名：**\*
要禁止的文件：读取 写入 执行 创建 删除

1.01 规则名称：禁止非信任区程序访问-注册表(项)
要包含的进程：*
要排除的进程：*\**工具\**\*.*, *\**电子书\**\*.*, *\windows\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*
要保护的注册表项目或注册表值：hkall /**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

1.02 规则名称：禁止非信任区程序访问-注册表(值)
要包含的进程：*
要排除的进程：*\**工具\**\*.*, *\**电子书\**\*.*, *\windows\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*
要保护的注册表项目或注册表值：hkall /**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

1.03 规则名称：禁止非信任区程序访问-端口
要包含的进程：*.*
要排除的进程：c+wclient.exe, cmdagent.exe, firesvc.exe, frameworkservice.exe, iexplore.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, sppsvc.exe, svchost.exe, thunder*.exe
要阻止的端口：1-65535
方向：入站 出站

2、保护信任区关键部位（此部分必须有）
2.01 规则名称：保护windows下的com文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.com
要禁止的文件：写入 创建

2.02 规则名称：保护windows下的vxd驱动
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.vxd
要禁止的文件：创建

2.03 规则名称：保护windows下的drv驱动
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.drv
要禁止的文件：创建

2.04 规则名称：保护windows下的ocx控件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.ocx
要禁止的文件：写入 创建

2.05 规则名称：保护windows下的exe文件
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*, *\windows\system32\rundll32.exe
要阻止的文件或文件夹名：**\windows\**\*.exe
要禁止的文件：写入 创建

2.06 规则名称：保护windows下的dll文件
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*
要阻止的文件或文件夹名：**\windows\**\*.dll
要禁止的文件：写入 创建

2.07 规则名称：保护windows下的pif文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.pif
要禁止的文件：写入 创建

2.08 规则名称：保护windows下的scr文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.scr
要禁止的文件：写入 创建

2.09 规则名称：保护windows下的sys驱动
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\windows\**\*.sys
要禁止的文件：创建

2.10 规则名称：保护program files*下的com文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\program files*\**\*.com
要禁止的文件：写入 创建

2.11 规则名称：保护program files*下的com文件2
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：e:\**\*.com
要禁止的文件：写入 创建
　　说明：我的四库全书大型软件等都装在ｅ盘，阻止e:\**\*.com可以全覆盖，没有的去掉这类即可。下同。

2.12 规则名称：保护program files*下的scr文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\program files*\**\*.scr
要禁止的文件：写入 创建

2.13 规则名称：保护program files*下的scr文件2
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：e:\**\*.scr
要禁止的文件：写入 创建

2.14 规则名称：保护program files*下的pif文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\program files*\**\*.pif
要禁止的文件：写入 创建

2.15 规则名称：保护program files*下的pif文件2
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：e:\**\*.pif
要禁止的文件：写入 创建

2.16 规则名称：保护program files*下的exe文件
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*
要阻止的文件或文件夹名：**\program files*\**\*.exe
要禁止的文件：创建

2.17 规则名称：保护program files*下的exe文件2
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*
要阻止的文件或文件夹名：e:\**\*.exe
要禁止的文件：创建

2.18 规则名称：保护program files*下的dll文件
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*
要阻止的文件或文件夹名：**\program files*\**\*.dll
要禁止的文件：写入 创建

2.19 规则名称：保护program files*下的dll文件2
要包含的进程：*
要排除的进程：*\program files*\**\mcafee\**\*.*
要阻止的文件或文件夹名：e:\**\*.dll
要禁止的文件：写入 创建

3、其它保护（此部分可以选择）
3.01 规则名称：保护根目录
要包含的进程：*
要排除的进程：*\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
要阻止的文件或文件夹名：?:\*
要禁止的文件：写入 创建 删除

3.02 规则名称：禁止在本机非法修改exe文件
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\progra~?\**\*.*, *\alonesbck\**\*.*, *\kangxidict\**\*.*, *\4kbrowser\**\*.*, *\empire earth\**\*.*
要阻止的文件或文件夹名：**\*.exe
要禁止的文件：写入

3.03 规则名称：禁止在本机非法执行tmp文件
要包含的进程：*
要排除的进程：*\program files*\**\*.*, *\progra~?\**\*.*, *\windows\system32\svchost.exe, *\alonesbck\**\*.*, *\kangxidict\**\*.*, *\4kbrowser\**\*.*, *\empire earth\**\*.*
要阻止的文件或文件夹名：**\*.tmp
要禁止的文件：执行

3.04 规则名称：禁止在本机非法创建bat文件
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\*.bat
要禁止的文件：创建

3.05 规则名称：禁止在本机非法执行脚本文件
要包含的进程：?script.exe
要排除的进程：无
要阻止的文件或文件夹名：**\**
要禁止的文件：执行

3.06 规则名称：禁止在本机非法创建cpi文件
要包含的进程：*
要排除的进程：*\windows\explorer.exe, *\**\program files*\winrar\winrar.exe
要阻止的文件或文件夹名：**\*.cpl
要禁止的文件操作：写入 创建 删除

3.07 规则名称：禁止在本机非法创建ini文件
要包含的进程：*
要排除的进程：*\**工具\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files*\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
要阻止的文件或文件夹名：**\*.ini
要禁止的文件操作：写入 创建 删除
说明：该规则有些特殊，需要排除frameworkservice.exe与mcscript_inuse.exe进程，目的是允许mcafee升级病毒库；除此，还需要排除一些常用的应用软件，许多应用软件在使用中都需要写入ini文件，为方便日常使用，因此加以排除。

3.08 规则名称：禁止在本机非法创建msc文件
要包含的进程：*
要排除的进程：*\windows\explorer.exe, *\**\program files*\winrar\winrar.exe
要阻止的文件或文件夹名：**\*.msc
要禁止的文件操作：写入 创建 删除

3.09 规则名称：禁止在本机非法创建msi文件
要包含的进程：*
要排除的进程：*\windows\explorer.exe, *\**\program files*\winrar\winrar.exe
要阻止的文件或文件夹名：**\*.msi
要禁止的文件操作：写入 创建 删除

3.01 规则名称：禁止在本机非法创建vbs文件
要包含的进程：*
要排除的进程：*\windows\explorer.exe, *\**\program files*\winrar\winrar.exe
要阻止的文件或文件夹名：**\*.vbs
要禁止的文件操作：写入 创建 删除

3.11 规则名称：禁止*autorun*.*任何操作
要包含的进程：*
要阻止的文件或文件夹名：**\*autorun*.*
要禁止的文件操作：读取 写入 执行 创建 删除
说明：该规则不同于该系列规则中的其他规则，目的是禁止某些病毒的自动运行

3.12 规则名称：禁止修改gho文件
要包含的进程：*
要阻止的文件或文件夹名：**\*.gho
要禁止的文件操作：读取 写入 执行 创建 删除

3.13 规则名称：保护安全模式设置
要包含的进程：*
要排除的进程：无
要保护的注册表项目或注册表值：hklm /system/*controlset*/control/safeboot/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

3.14 规则名称：防止映像劫持
要包含的进程：*
要排除的进程：无
要保护的注册表项目或注册表值：hklm /software/microsoft/windows nt/currentversion/image file execution options/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

3.15 规则名称：禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\regedit.exe
要禁止的文件操作：读取 写入 执行 创建 删除
说明：只此一条，就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作，通过文件访问对注册表外部进行保护。

3.16 规则名称：禁止管理工具的操作
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\mmc.exe
要禁止的文件操作：读取 写入 执行 创建 删除
说明：管理工具里都是重要的系统工具

3.17 规则名称：禁止格式化命令format的运行
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\format.*
要禁止的文件操作：读取 写入 执行 创建 删除
说明：针对一些格式化病毒的防护措施

3.18 规则名称：禁止net命令的运行
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\net*.exe
要禁止的文件操作：读取 写入 执行 创建 删除
说明：对远程攻击的防护措施

3.19 规则名称：禁止at命令的运行
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：**\at.exe
要禁止的文件操作：读取 写入 执行 创建 删除
说明：对远程攻击的防护措施

3.20 规则名称：禁止任何远程操作
要包含的进程：system:remote
要排除的进程：无
要阻止的文件或文件夹名：**\*
要禁止的文件操作：读取 写入 执行 创建 删除
说明：通过文件保护禁止了远程的一切行为

五、规则导出
运行——regedit——behaviourblocking——导出。微软不同操作系统behaviourblocking的位置：
xp及更高版本32位：[hkey_local_machine\software\mcafee\systemcore\vscore\on access scanner\behaviourblocking]
64位：[hkey_local_machine\software\wow6432node\mcafee\systemcore\vscore\on access scanner\behaviourblocking]

六、规则分享

64位规则（在windows server 2008 r2 下设置而成）：

mcafee 8.8 天诺规则正式版 64位.rar

32位规则（修改64位规则注册表位置而成）：

mcafee 8.8 天诺规则正式版 32位.rar

xp规则（在windows xp 下设置而成）：

mcafee 8.8 天诺规则正式版 xp.rar

上面的几个文件移动技术网小编已经给打包好了。


更新说明：

1、删除重复规则；
2、调整部分通配符，运行更流畅，保护更全面；
3、修订少数规则，安全性有所提升；
4、端口规则变化较大，请善用之；
5、绿色软件、电子书请分别放到任意位置的“**工具”和“**电子书”文件夹中，可以正常运行，不干坏事不会触红；
6、保持风格：中规中矩，稳重细腻，安全易用；
7、帖子中的文字版未作大的改动。
　　
　　规则导入：关闭访问保护，双击规则文件。
　　规则修改：导入规则，在 控制台——访问保护 中增加、减少或修改包含、排除、阻止的进程以及操作、报告等，完毕再导出，这规则就是你的了。

如对本文有疑问， 点击进行留言回复！！