原帖由
hotboy 于 2008-11-1 19:29:00 发表
看来楼主D+部分已经研究透了,最近着重研究防火部分了
可能我辜负你的期望了,请看:
http://bbs.ikaka.com/showtopic-8562849.aspx。好在我自己已经找到原因了。
昨天出现了一个新情况,摄像头无法在“我的电脑”界面显示图标。经过一番研究,发现给摄像头进程分配的权限是“All Application Trusted”这一预设“文件组”规则(参考卡饭高手帖进行了设置),而这个组规则中对“Device Driver Insrallations”项目直接设置为“BLOCK ”,且没有设置例外规则。通过对该“文件组”规则的“Device Driver Insrallations”项目选择“Modify”,在“Allowed Drivers(允许安装驱动器)”标签下中添加摄像头可执行文件(例外规则),问题解决。
目前对D+的理解还非常肤浅,一些问题还在思索中:
1、是否要将所有的经常运行的可执行文件都要在“Computer Security Policy”中分别设置规则(包括使用预设置“文件组”规则)?
2、“Computer Security Policy(计算机安全规则)”相对于“Predefined Security policy(预设安全规则)”而言,是否就是所谓的“自定义规则”?
3、“Computer Security Policy”如果是自定义规则,那么其的优先级应该大于“Predefined Security policy”。而“Computer Security Policy”和“Predefined Security policy”各自内部,又都有“Modify”的例外规则,它们之间的优先级别能否这样定位(如下,从上到下,优先级从高到低):
Computer Security Policy--Modify--Allow
Computer Security Policy--Modify--Block
Computer Security Policy--Allow
Computer Security Policy--Block
Computer Security Policy--Ask
Predefined Security Policy--Modify--Allow
Predefined Security Policy--Modify--Block
Predefined Security Policy--Allow
Predefined Security Policy--Block
Predefined Security Policy--Ask
4、“Computer Security Policy”中“All Applications * ”是否应该永远设置在规则树的最底层?这个项目究竟设置什么权限才能又安全又少弹窗?【目前为防止意外,我对该项的设置的为“Custom Policy(用户自定义规则)”,“Access Right(访问权限)”设置中除“Run an Excutable(运行外部可执行文件)”为“ASK(询问)”外,其它14项均设置为“Allow(允许)”,显然权限太高】
5、在“Defence+ Settings”设置为“Paranoid Mode”后,“Image Excution Control Settings”又该如何设置?【目前我设置的级别为最低的“Disabled”,否则会出现有大量对话框要求确认,即便是关机、重启、注销也是如此,这是否和D+的“自定义规则”及“预设规则”的设置存在缺陷有关?
经过研究,该问题已彻底解决:原因是我没有将一些绝对安全的文件(如WINLOGON.EXE、SMSS.EXE、LSASS.EXE、CSRSS.EXE、SERVICES .EXE、SVCHOST.EXE、ALG.EXE、CTFMON.EXE等)加入“MY OWN SAFE FILE(我的安全文件组)”,由于开启“IMAGE EXCUTION CONTROL SETTINGS”为“Aggressive(入侵)”级别,会在可执行文件加载进入内存时提前予以拦截并与“MY OWN SAFE FILE”中预设的文件列表中的对应文件比对HASH值,比对一致则放行,比对不一致则阻止。由于我没有在“MY OWN SAFE FILE”中预设任何可信文件,导致关机时,WINLOGON.EXE等文件运行后无法通过HASH校验,造成不能载入内存,文件被阻止运行,导致无法注销及关机。知道这一点后,结合D+的LOG,也同步把关机没有声音的问题解决了,呵呵……
】
6、c:\windows\system32目录下的SVCHOST.EXE、WUAUCLT,EXE这两个文件需要怎么设置权限,才不大量弹窗?【目前对它们的权限设置为CIS自带且未修改的“Windows System Applications”文件组预设规则,不用这个规则的话,我会崩溃的……】
暂时先问这6个问题吧,真是有点多啊……