瑞星卡卡安全论坛瑞星2008全功能体验“我用瑞星2008保安全”征文[已关闭] 【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新

123   1  /  3  页   跳转

【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新

收藏
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:14 | 只看楼主 短消息 资料
字号: 1楼

【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新

TOM2000

主动防御是2008新增的亮点,而且该功能非常强大可编辑性更是有极大拓展空间。通过我这一段时间的测试摸索出一点经验这里和大家分享,但在这里我只是涉及其中的一部分更多内容则需要和大家在以后一起探索!

在设置主动防御前请最好确保不在安装其它软件,否则可能引发规则。(但是这种情况很少发生)

我们可以通过2种方法进入主动防御的设置界面:
1是通过主界面菜单(图1)

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

最后编辑2007-12-13 23:56:19
分享到:
gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:15 | 只看楼主 短消息 资料
字号: 2楼

2是通过系统托盘右键菜单(图2)®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:16 | 只看楼主 短消息 资料
字号: 3楼

这就是主动防御的组界面(图3)在这里我们就可以对主动防御(一下简称HIPS)所有的功能进行设置。®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:17 | 只看楼主 短消息 资料
字号: 4楼

右下角的“主动防御白名单”(图4),应该是大家在测试时期用的最多的一个功能了,但是大家往往都是在烂用这个功能了。®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:17 | 只看楼主 短消息 资料
字号: 5楼

因为只要2008的HIPS一出现提示用户就不管三 七 二十一的全部都加入到了白名单中了(图5),这十分危险和错误的。因为在白名单的文件/进程等都不在受HIPS功能的保护,所以在你100%确定你要添加的对象没有危险之前请慎重使用该名单!®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:18 | 只看楼主 短消息 资料
字号: 6楼

系统加固
系统加固模块(图6)点击“自定义级别”进入详细设置!®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:19 | 只看楼主 短消息 资料
字号: 7楼

1系统动作监控(图7)
默认设置中2008只选中最后的“修改内核内存数据”,我建议各位把“挂全局钩子”(有很多测试都说2008对钩子不是很理想,其实这完全十因为测试用户设置的问题造成的)和“加载驱动程序”(要安装或更新驱动请取暂时消该设置)也选择。出发规则时我们选择“提示”

在这里我必须说明二点,
                      1瑞星2008HIPS的默认设置是最为宽松的设置,它在保护系统安全的最低前提下最大限度的减少HIPS的提示次数,如果用户对2008提示“过敏”的话,我下面的内容就不要看,因为HIPS本身就是靠和用户交互操作来达到系统安全的目的。如果你想要一个没有提示绝对智能的HIPS的话SNS,SSM,EQ,S3和瑞星以及世界上任何一款HIPS都做不到。要真是这样的话请放弃HIPS回归Ghost和黑盒流吧
                      2出发规则时之所以择“提示”而不是拒绝,是因为用户在安装软件或某些操作的时候可能会触发规则直接“拒绝”用户的操作就无法完成,所以我们选择“提示”一旦触发用户决定下一步的行动。
®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:20 | 只看楼主 短消息 资料
字号: 8楼

2注册表监控(图8)
全部选择当然是安全性能最高的,但是提示数量也是用户无法接受的,在这里我只是给出一个我自己认为应该添加的内容,因为2008的说明非常详细大家到时候可以根据自己的要求设置。
文件关联:
“INI/文件默认打开方式”和“INI文件关联”全部选择,触发动作:提示
系统配置:
“浏览器辅助对象”和“引导执行”全部选择,触发动作:拒绝(“浏览器辅助对象”后4个SHELL壳以及引导执行也可以选上,用户酌情。拿步准又想要安全请把触发动作设置为“提示”)
IE配置:
如果你使用IE为浏览器而且又经常被恶意软件劫持,你最好将IE配置全部选中!触发动作:拒绝®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:20 | 只看楼主 短消息 资料
字号: 9楼

3关键进程保护(图9)
系统进程保护:
“EXPLORER*.EXE”全部选择,触发动作:提示®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-03 13:21 | 只看楼主 短消息 资料
字号: 10楼

4系统文件保护(图10)
系统关键目录:
前4项脚本全部选择,触发动作:提示
后面的因为对于经常安装/卸载软件的用户经常要写入这些目录所以,大家根据自己情况设置。
系统配置文件:
“用户策略脚本文件”和计算机组策略脚本文件” 全部选择,触发动作:拒绝
“SYSTEM.INI文件”和“WIN.INI文件” 触发动作:提示®WA^Ò4ÃjÈébbs.ikaka.com3pjøRIFØ

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT