【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛瑞星2008全功能体验 “我用瑞星2008保安全”征文[已关闭] 【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:14 \| 只看楼主短消息资料字号：小中大 1楼【征文】【原创】一起感受2008新特色---主动防御使用手册 2007-9-6更新 TOM2000 主动防御是2008新增的亮点，而且该功能非常强大可编辑性更是有极大拓展空间。通过我这一段时间的测试摸索出一点经验这里和大家分享，但在这里我只是涉及其中的一部分更多内容则需要和大家在以后一起探索！在设置主动防御前请最好确保不在安装其它软件，否则可能引发规则。（但是这种情况很少发生）我们可以通过2种方法进入主动防御的设置界面： 1是通过主界面菜单（图1） [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 附件: 您所在的用户组无法下载或查看附件 2007-12-13 23:56:19
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	分享到：

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:15 \| 只看楼主短消息资料字号：小中大 2楼 2是通过系统托盘右键菜单（图2）附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:16 \| 只看楼主短消息资料字号：小中大 3楼这就是主动防御的组界面（图3）在这里我们就可以对主动防御（一下简称HIPS）所有的功能进行设置。附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:17 \| 只看楼主短消息资料字号：小中大 4楼右下角的“主动防御白名单”（图4），应该是大家在测试时期用的最多的一个功能了，但是大家往往都是在烂用这个功能了。附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:17 \| 只看楼主短消息资料字号：小中大 5楼因为只要2008的HIPS一出现提示用户就不管三七二十一的全部都加入到了白名单中了（图5），这十分危险和错误的。因为在白名单的文件/进程等都不在受HIPS功能的保护，所以在你100%确定你要添加的对象没有危险之前请慎重使用该名单！附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:18 \| 只看楼主短消息资料字号：小中大 6楼系统加固系统加固模块（图6）点击“自定义级别”进入详细设置！附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:19 \| 只看楼主短消息资料字号：小中大 7楼 1系统动作监控（图7）默认设置中2008只选中最后的“修改内核内存数据”，我建议各位把“挂全局钩子”（有很多测试都说2008对钩子不是很理想，其实这完全十因为测试用户设置的问题造成的）和“加载驱动程序”（要安装或更新驱动请取暂时消该设置）也选择。出发规则时我们选择“提示” 在这里我必须说明二点， 1瑞星2008HIPS的默认设置是最为宽松的设置，它在保护系统安全的最低前提下最大限度的减少HIPS的提示次数，如果用户对2008提示“过敏”的话，我下面的内容就不要看，因为HIPS本身就是靠和用户交互操作来达到系统安全的目的。如果你想要一个没有提示绝对智能的HIPS的话SNS，SSM，EQ，S3和瑞星以及世界上任何一款HIPS都做不到。要真是这样的话请放弃HIPS回归Ghost和黑盒流吧！ 2出发规则时之所以择“提示”而不是拒绝，是因为用户在安装软件或某些操作的时候可能会触发规则直接“拒绝”用户的操作就无法完成，所以我们选择“提示”一旦触发用户决定下一步的行动。附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:20 \| 只看楼主短消息资料字号：小中大 8楼 2注册表监控（图8）全部选择当然是安全性能最高的，但是提示数量也是用户无法接受的，在这里我只是给出一个我自己认为应该添加的内容，因为2008的说明非常详细大家到时候可以根据自己的要求设置。文件关联： “INI/文件默认打开方式”和“INI文件关联”全部选择，触发动作：提示系统配置： “浏览器辅助对象”和“引导执行”全部选择，触发动作：拒绝（“浏览器辅助对象”后4个SHELL壳以及引导执行也可以选上，用户酌情。拿步准又想要安全请把触发动作设置为“提示”） IE配置：如果你使用IE为浏览器而且又经常被恶意软件劫持，你最好将IE配置全部选中！触发动作：拒绝附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:20 \| 只看楼主短消息资料字号：小中大 9楼 3关键进程保护（图9）系统进程保护： “EXPLORER*.EXE”全部选择，触发动作：提示附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组	发表于： 2007-09-03 13:21 \| 只看楼主短消息资料字号：小中大 10楼 4系统文件保护（图10）系统关键目录：前4项脚本全部选择，触发动作：提示后面的因为对于经常安装/卸载软件的用户经常要写入这些目录所以，大家根据自己情况设置。系统配置文件： “用户策略脚本文件”和计算机组策略脚本文件” 全部选择，触发动作：拒绝 “SYSTEM.INI文件”和“WIN.INI文件” 触发动作：提示附件: 您所在的用户组无法下载或查看附件
tom2000 版主帖子:3576 注册: 2001-07-13 来自:晶体测评小组

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT