瑞星卡卡安全论坛瑞星2008全功能体验 杀毒软件[已关闭] 【已反馈】[问题]主动防御白名单建议

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【已反馈】[问题]主动防御白名单建议

健康舞勺狮

帖子:219
注册: 2007-08-27
来自:

发表于： 2007-11-12 17:02 | 只看楼主 短消息资料

字号：小中大 1楼

【已反馈】[问题]主动防御白名单建议

清空白名单

复制 Process Explorer 到D盘根目录

运行,提示:

引用:

瑞星系统加固发现程序注册表访问违规

应用程序信息
文件名：D:\TEST.EXE
版本：10.11
厂商：Sysinternals
PID: 1932 TID: 2028

动作目标：HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\PROCEXP100\
动作：注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\PROCEXP100\
创建键:

规则信息
名称：服务
描述：

此时,加入白名单

(二楼续)

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; MAXTHON 2.0)

附件:

您所在的用户组无法下载或查看附件

2007-11-22 16:22:54

分享到：

majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:	发表于： 2007-11-12 17:07 \| 只看楼主短消息资料字号：小中大 2楼补充, Process Explorer 已经重命名为test.exe 删除 Process Explorer 复制ICESWORD到相同位置, 重命名为 test.exe 运行,主动防御无任何提示. 得知,白名单不会校验文件是否改变. 本来白名单的设计,已经不是十分安全,如果连文件是否改变都不校验,就更不安全了. 建议: 一程序规则优先于系统加固, 不然依靠白名单是不够安全的. (如我只想一个程序能够进行触犯系统加固的某操作, 而不想完全放任它在主动防御之外, 此时系统加固优先于程序规则会很麻烦) 二提示中加入"以后允许此操作"选项, 自动添加当前操作到规则. 这样可以减少白名单,而同时兼顾使用上的便利. 三主动防御加入文件校验. 望工程师考虑.
majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:

majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:	发表于： 2007-11-12 17:07 \| 只看楼主短消息资料字号：小中大 3楼补充, Process Explorer 已经重命名为test.exe 删除 Process Explorer 复制ICESWORD到相同位置, 重命名为 test.exe 运行,主动防御无任何提示. 得知,白名单不会校验文件是否改变. 本来白名单的设计,已经不是十分安全,如果连文件是否改变都不校验,就更不安全了. 建议: 一程序规则优先于系统加固, 不然依靠白名单是不够安全的. (如我只想一个程序能够进行触犯系统加固的某操作, 而不想完全放任它在主动防御之外, 此时系统加固优先于程序规则会很麻烦) 二提示中加入"以后允许此操作"选项, 自动添加当前操作到规则. 这样可以减少白名单,而同时兼顾使用上的便利. 三主动防御加入文件校验. 望工程师考虑.
majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:

majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:	发表于： 2007-11-13 19:25 \| 只看楼主短消息资料字号：小中大 4楼 UP~
majia001 健康舞勺狮帖子:219 注册: 2007-08-27 来自:

scarf 社区嘉宾帖子:1472 注册: 2007-10-17 来自:	发表于： 2007-11-14 17:07 \| 短消息资料字号：小中大 5楼已经反映了，感谢支持，感谢热心提供建议
scarf 社区嘉宾帖子:1472 注册: 2007-10-17 来自:

上杉丽绪奈飘泊而立狮帖子:289 注册: 2007-11-15 来自:	发表于： 2007-11-15 12:43 \| 短消息资料字号：小中大 6楼 1. 楼主的建议很好，尤其是主动防御和防御白名单加入文件校验，深表赞同 2. 至于增加"以后允许此操作"，在目前的提示框中，应该已经有了类似的功能设置项---即"重启计算机前，使用相同方式处理，不再提示"，这个是不加白名单的，不知是否与楼主的意思相符合 3. "程序规则优先于系统加固",我不敢苟同。或者是我理解有误，请详示，举个例子详细说明
上杉丽绪奈飘泊而立狮帖子:289 注册: 2007-11-15 来自:

健康舞勺狮

帖子:219
注册: 2007-08-27
来自:

发表于： 2007-11-17 17:17 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

2. 至于增加"以后允许此操作"，在目前的提示框中，应该已经有了类似的功能设置项---即"重启计算机前，使用相同方式处理，不再提示"，这个是不加白名单的，不知是否与楼主的意思相符合
3. "程序规则优先于系统加固",我不敢苟同。或者是我理解有误，请详示，举个例子详细说明

重启前不提示, 那就是重启后还提示. 不够便利.

以flashget为例, 当系统加固开高的时候, 每次打开flashget都会有一个触犯系统加固的注册表操作.

加入白名单那就完全在主动防御之外了. 我想只允许某特定操作比完全排除在主动防御之外安全.
如果选重启前不提示, 就是上面2的问题.

DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:	发表于： 2007-11-17 18:05 \| 短消息资料字号：小中大 8楼支持！
DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:

cdaxcy 快乐黄口狮帖子:157 注册: 2007-01-27 来自:	发表于： 2007-11-17 21:35 \| 短消息资料字号：小中大 9楼支持
cdaxcy 快乐黄口狮帖子:157 注册: 2007-01-27 来自:

上杉丽绪奈飘泊而立狮帖子:289 注册: 2007-11-15 来自:	发表于： 2007-11-19 16:18 \| 短消息资料字号：小中大 10楼【回复“majia001”的帖子】感谢楼主举例详示，完全明白了楼主的意思，就是设置单独项目的白名单（并非全局白名单），只放过指定的操作类别，其他类型的监控还是可以拦截的顶一个
上杉丽绪奈飘泊而立狮帖子:289 注册: 2007-11-15 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页