麥咖啡McAfee 企業版 8.8規則設置(初級篇)

McAfee是殺毒軟件，訪問保護是輔助的，所以他的殺毒凌駕於一切規則之上。其殺毒與規則之間的關系是：殺毒強於規則，文件規則強於注冊表規則，注冊表規則強於端口規則，但四者各有所長，相互配合，才能發揮它的綜合能力。任何單方面的、靜止的褒貶都是片面的。下面進入正題。

一、通配符
McAfee 8.8 規則設置之難，難於通配符而已。通配符之難，難於8.8不支持“？：\”表示任意盤符。以WINDOWS和Program Files文件夾為例，下面是文件夾的表示方法：
*\WINDOWS：表示任意盤符下的WINDOWS文件夾（在“要阻止的進程”中無效）。
**\WINDOWS：表示任意盤符下的WINDOWS文件夾（所有進程有效）。
*\**\WINDOWS：表示任意盤符下的WINDOWS文件夾（所有進程有效）。
文件的通配符表示方法：
*\WINDOWS\**：表示任意盤符WINDOWS文件夾下多級目錄中的所有文件（在“要阻止的進程”中無效）。
**\WINDOWS\**：表示任意盤符WINDOWS文件夾下多級目錄中的所有文件（所有進程有效）。
*\**\WINDOWS\**：表示任意盤符WINDOWS文件夾下多級目錄中的所有文件（所有進程有效）。
*\WINDOWS\**\*.*：表示任意盤符WINDOWS文件夾下多級目錄中的所有帶後綴的文件（在“要阻止的進程”中無效）。
**\WINDOWS\**\*.*：表示任意盤符WINDOWS文件夾下多級目錄中的所有帶後綴的文件（所有進程有效）。
*\**\WINDOWS\**\*.*：表示任意盤符WINDOWS文件夾下多級目錄中的所有帶後綴的文件（所有進程有效）。
文件夾名的通配符表示方法：
Program Files*：表示Program Files文件夾以及其後有多個任意字符的文件夾，當然包括Program Files (x86)。
PROGRA~?：？表示任意單個字符，當然包括1、2、3、4等。關於PROGRA~1，百度一下就知道了。
*\Program Files*\**\*.*：表示任意盤符Program Files和Program Files (x86)文件夾下多級目錄中的所有帶後綴的文件（在“要阻止的進程”中無效）
**\Program Files*\**\*.*：表示任意盤符Program Files和Program Files (x86)文件夾下多級目錄中的所有帶後綴的文件（所有進程有效）
*\**\Program Files*\**\*.*：表示任意盤符Program Files和Program Files (x86)文件夾下多級目錄中的所有帶後綴的文件（所有進程有效）
要包含的進程通配符表示方法：
*：表示所有進程。
**：表示所有進程。
*.*：表示所有帶後綴的進程（解決Sestem進程無法排出的問題）。
其它：?:\*：單獨表示根目錄繼續有效。
　　說明：經實踐，以上語法在8.7i中同樣有效。

二、規則設置思路
規則是用來輔助殺毒軟件防御未知病毒的，思路不同，規則的框架也就不同。下面是兩種防御思路：
1、劃分信任區，禁止非信任區程序非法運行，保護信任區程序不被非法篡改。這種思路的關鍵是信任區必須干淨。
2、擬出絕對路徑的白名單，白名單允許運行並禁止篡改，其它一律禁止。這種思路的關鍵是白名單必須找准。
說明：此思路的規則壇子裡目前空白，有興趣的可以一試。系統白名單提取思路——純系統（不同系統）安裝咖啡，去掉咖啡所有默認排除如法炮制名單，所有規則不保護、只勾選報告，進行各種運行和操作，最後從報告中整理出絕對路徑的白名單，這個名單是通用的。然後在裝好應用軟件的系統裡如法炮制，又可以得到其它白名單，這個名單是個性的的，常用軟件還是通用的。
3、干淨PC，入口防御。即在本機無毒的前提下，禁止可移動設備的程序非法運行和浏覽器非法下載。
以上每一種思路下都可以做到非常嚴格和相對寬松。
下面就以第一種思路為例來設置McAfee 8.8 規則。

三、前期准備
1、安裝McAfee 8.8 企業版。方法、步驟、設置等相關問題請參考置頂帖。
2、劃分信任區。我的劃分比較嚴格：
*\**工具\**\*.*, *\**電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
說明：信任區包括任意盤符下帶後綴的系統程序，安裝在Program Files、Program Files (x86)以及非Program Files下的應用軟件，32、64位通用，加入*\PROGRA~?\**\*.*是為了fat早期磁盤格式上的老掉牙程序能夠運行（雖然99.99%用不著）。4KBrowser四庫全書，AloneSbck四部叢刊，EMPIRE EARTH地球帝國，KangXiDict康熙字典，沒有的這些的在下面的設置中去掉即可。
3、收集、挑選要設置的單個規則。這樣可以防止規則存在大的漏洞。
4、安排規則框架。
（1）禁止非信任區程序非法運行：理論上需要四條規則——禁止非信任區程序訪問文件、注冊表項、注冊表值、端口，其中，“禁止非信任區程序訪問文件”默認規則的“防病毒爆發控制”中的“阻止對所有共享資源的讀寫訪問”就是，這是咖啡的極致規則，“阻止對所有共享資源的讀寫訪問”開啟，非信任區程序根本沒有能力再碰觸到注冊表項、注冊表值、端口規則了。所以，其它三個規則在用戶定義的規則中加不加兩可。
（2）保護信任區程序不被非法篡改：需要兩類規則——保護系統程序、應用軟件程序
（3）禁止其它風險運行：例如防映像劫持、防U盤病毒、保護根目錄等。

萬事俱備，下面就實踐吧！

四、規則設置（McAfee 8.8 天諾規則 文字版）
（一）默認規則設置
《防間諜程序標准保護》
規則名稱：保護Internet Explorer收藏夾和設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

《防間諜程序最大保護》
規則名稱：禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：禁止所有程序從 Temp 文件夾運行文件
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*
規則名稱：禁止從 Temp 文件夾執行腳本
要包含的進程：?script.exe
要排除的進程：無

《防病毒標准保護》
規則名稱：禁止禁用注冊表編輯器和任務管理器
要包含的進程：*
要排除的進程：無

規則名稱：禁止更改用戶權限策略
要包含的進程：*
要排除的進程：*\WINDOWS\**\*.*

規則名稱：禁止遠程創建/修改可執行文件和配置文件
要包含的進程：*（Win7下應為*.*，否則可能導致系統正版驗證失敗）
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止遠程創建自動運行文件
要包含的進程：*
要排除的進程：無

規則名稱：禁止攔截 .EXE 和其他可執行文件擴展名
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：禁止偽裝 Windows 進程
要包含的進程：*
要排除的進程：*\WINDOWS\Explorer.EXE

規則名稱：禁止群發郵件蠕蟲發送郵件
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*
規則名稱：禁止 IRC 通信
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：禁止使用 tftp.exe
要包含的進程：*
要排除的進程：無

《防病毒最大保護》
規則名稱：禁止 Svchost 執行非 Windows 可執行文件
要包含的進程：svchost.exe
要排除的進程：無

規則名稱：保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止更改所有文件擴展名的注冊
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《防病毒爆發控制》

規則名稱：將所有共享項設為只讀
要包含的進程：system:remote
要排除的進程：無

規則名稱：阻止對所有共享資源的讀寫訪問 (即 禁止非信任區程序訪問-文件 )
要包含的進程：*.*
要排除的進程：*\**工具\**\*.*, *\**電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
說明：這條規則的作用即“禁止非信任區程序訪問-文件”。

《通用標准保護》
規則名稱：禁止修改 McAfee 文件和設置
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *
\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\regedit.exe, *\WINDOWS\system32\svchost.exe

規則名稱：禁止修改 McAfee Common Management Agent 文件和設置
要包含的進程：*
要排除的進程：*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*

規則名稱：禁止修改 McAfee 掃描引擎文件和設置
要包含的進程：*
要排除的進程：*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*, *\WINDOWS\Explorer.EXE

規則名稱：保護 Mozilla 及 FireFox 文件和設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：保護 Internet Explorer 設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：保護網絡設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止公用程序從 Temp 文件夾運行文件
要包含的進程：iexplore.exe
要排除的進程：無

規則名稱：在 Internet Explorer 中禁用 HCP URL
要包含的進程：*
要排除的進程：無

規則名稱：防止終止 McAfee 進程
要包含的進程：*
要排除的進程：無
《通用最大保護》

規則名稱：禁止將程序注冊為自動運行
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*

規則名稱：禁止將程序注冊為服務
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止在 Windows 文件夾中創建新的可執行文件
要包含的進程：*
要排除的進程：無

規則名稱：禁止在 Program Files* 文件夾中創建新的可執行文件
要包含的進程：*
要排除的進程：*\Program Files*\McAfee\Common Framework\FrameworkService.exe

規則名稱：禁止從 Downloaded Program Files 文件夾啟動文件
要包含的進程：*
要排除的進程：無

規則名稱：禁止 FTP 通信
要包含的進程：*
要排除的進程：agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

規則名稱：禁止 HTTP 通信
要包含的進程：*.*
要排除的進程：???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
《虛擬機保護》

規則名稱：防止終止 VMWare 進程
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止修改 VMWare Workstation 文件和設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止修改 VMWare Server 文件和設置
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

規則名稱：禁止修改 VMWare 虛擬機文件
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\WINDOWS\**\*.*

（二）用戶定義的規則運行（此部分可以選擇性設置，不必求全）
1、禁止非信任區程序（此部分可以沒有，原因見前“規則框架”）
1.01 規則名稱：禁止非信任區程序訪問-文件
要包含的進程：*
要排除的進程：*\**工具\**\*.*, *\**電子書\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要阻止的文件或文件夾名：**\*
要禁止的文件：讀取 寫入 執行 創建 刪除

1.01 規則名稱：禁止非信任區程序訪問-注冊表(項)
要包含的進程：*
要排除的進程：*\**工具\**\*.*, *\**電子書\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保護的注冊表項目或注冊表值：HKALL /**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除

1.02 規則名稱：禁止非信任區程序訪問-注冊表(值)
要包含的進程：*
要排除的進程：*\**工具\**\*.*, *\**電子書\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保護的注冊表項目或注冊表值：HKALL /**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除

1.03 規則名稱：禁止非信任區程序訪問-端口
要包含的進程：*.*
要排除的進程：C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口：1-65535
方向：入站 出站

2、保護信任區關鍵部位（此部分必須有）
2.01 規則名稱：保護windows下的COM文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.com
要禁止的文件：寫入 創建

2.02 規則名稱：保護windows下的VXD驅動
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.vxd
要禁止的文件：創建

2.03 規則名稱：保護windows下的DRV驅動
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.drv
要禁止的文件：創建

2.04 規則名稱：保護windows下的OCX控件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.ocx
要禁止的文件：寫入 創建

2.05 規則名稱：保護windows下的EXE文件
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\system32\Rundll32.exe
要阻止的文件或文件夾名：**\WINDOWS\**\*.exe
要禁止的文件：寫入 創建

2.06 規則名稱：保護windows下的DLL文件
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夾名：**\WINDOWS\**\*.dll
要禁止的文件：寫入 創建

2.07 規則名稱：保護windows下的PIF文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.pif
要禁止的文件：寫入 創建

2.08 規則名稱：保護windows下的SCR文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.scr
要禁止的文件：寫入 創建

2.09 規則名稱：保護windows下的SYS驅動
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\windows\**\*.sys
要禁止的文件：創建

2.10 規則名稱：保護Program Files*下的COM文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\Program Files*\**\*.com
要禁止的文件：寫入 創建

2.11 規則名稱：保護Program Files*下的COM文件2
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：E:\**\*.com
要禁止的文件：寫入 創建
　　說明：我的四庫全書大型軟件等都裝在Ｅ盤，阻止E:\**\*.com可以全覆蓋，沒有的去掉這類即可。下同。

2.12 規則名稱：保護Program Files*下的SCR文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\Program Files*\**\*.scr
要禁止的文件：寫入 創建

2.13 規則名稱：保護Program Files*下的SCR文件2
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：E:\**\*.scr
要禁止的文件：寫入 創建

2.14 規則名稱：保護Program Files*下的PIF文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\Program Files*\**\*.pif
要禁止的文件：寫入 創建

2.15 規則名稱：保護Program Files*下的PIF文件2
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：E:\**\*.pif
要禁止的文件：寫入 創建

2.16 規則名稱：保護Program Files*下的EXE文件
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夾名：**\Program Files*\**\*.exe
要禁止的文件：創建

2.17 規則名稱：保護Program Files*下的EXE文件2
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夾名：E:\**\*.exe
要禁止的文件：創建

2.18 規則名稱：保護Program Files*下的DLL文件
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夾名：**\Program Files*\**\*.dll
要禁止的文件：寫入 創建

2.19 規則名稱：保護Program Files*下的DLL文件2
要包含的進程：*
要排除的進程：*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夾名：E:\**\*.dll
要禁止的文件：寫入 創建

3、其它保護（此部分可以選擇）
3.01 規則名稱：保護根目錄
要包含的進程：*
要排除的進程：*\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夾名：?:\*
要禁止的文件：寫入 創建 刪除

3.02 規則名稱：禁止在本機非法修改EXE文件
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夾名：**\*.exe
要禁止的文件：寫入

3.03 規則名稱：禁止在本機非法執行TMP文件
要包含的進程：*
要排除的進程：*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\Windows\system32\svchost.exe, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夾名：**\*.tmp
要禁止的文件：執行

3.04 規則名稱：禁止在本機非法創建BAT文件
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\*.bat
要禁止的文件：創建

3.05 規則名稱：禁止在本機非法執行腳本文件
要包含的進程：?script.exe
要排除的進程：無
要阻止的文件或文件夾名：**\**
要禁止的文件：執行

3.06 規則名稱：禁止在本機非法創建CPI文件
要包含的進程：*
要排除的進程：*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夾名：**\*.cpl
要禁止的文件操作：寫入 創建 刪除

3.07 規則名稱：禁止在本機非法創建INI文件
要包含的進程：*
要排除的進程：*\**工具\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夾名：**\*.ini
要禁止的文件操作：寫入 創建 刪除
說明：該規則有些特殊，需要排除FrameworkService.exe與McScript_InUse.exe進程，目的是允許McAfee升級病毒庫；除此，還需要排除一些常用的應用軟件，許多應用軟件在使用中都需要寫入ini文件，為方便日常使用，因此加以排除。

3.08 規則名稱：禁止在本機非法創建MSC文件
要包含的進程：*
要排除的進程：*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夾名：**\*.msc
要禁止的文件操作：寫入 創建 刪除

3.09 規則名稱：禁止在本機非法創建MSI文件
要包含的進程：*
要排除的進程：*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夾名：**\*.msi
要禁止的文件操作：寫入 創建 刪除

3.01 規則名稱：禁止在本機非法創建VBS文件
要包含的進程：*
要排除的進程：*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夾名：**\*.vbs
要禁止的文件操作：寫入 創建 刪除

3.11 規則名稱：禁止*autorun*.*任何操作
要包含的進程：*
要阻止的文件或文件夾名：**\*autorun*.*
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：該規則不同於該系列規則中的其他規則，目的是禁止某些病毒的自動運行

3.12 規則名稱：禁止修改gho文件
要包含的進程：*
要阻止的文件或文件夾名：**\*.gho
要禁止的文件操作：讀取 寫入 執行 創建 刪除

3.13 規則名稱：保護安全模式設置
要包含的進程：*
要排除的進程：無
要保護的注冊表項目或注冊表值：HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除

3.14 規則名稱：防止映像劫持
要包含的進程：*
要排除的進程：無
要保護的注冊表項目或注冊表值：HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除

3.15 規則名稱：禁止通過注冊表編輯器與.reg文件對注冊表進行任何操作
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\regedit.exe
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：只此一條，就可以一次性禁止通過regedit.exe、regedt32.exe、.reg文件三種方式對注冊表進行操作，通過文件訪問對注冊表外部進行保護。

3.16 規則名稱：禁止管理工具的操作
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\mmc.exe
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：管理工具裡都是重要的系統工具

3.17 規則名稱：禁止格式化命令format的運行
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\format.*
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：針對一些格式化病毒的防護措施

3.18 規則名稱：禁止net命令的運行
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\net*.exe
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：對遠程攻擊的防護措施

3.19 規則名稱：禁止at命令的運行
要包含的進程：*
要排除的進程：無
要阻止的文件或文件夾名：**\at.exe
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：對遠程攻擊的防護措施

3.20 規則名稱：禁止任何遠程操作
要包含的進程：System:Remote
要排除的進程：無
要阻止的文件或文件夾名：**\*
要禁止的文件操作：讀取 寫入 執行 創建 刪除
說明：通過文件保護禁止了遠程的一切行為

五、規則導出
運行——regedit——BehaviourBlocking——導出。微軟不同操作系統BehaviourBlocking的位置：
XP及更高版本32位：[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
64位：[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

六、規則分享

64位規則（在Windows Server 2008 R2 下設置而成）：

McAfee 8.8 天諾規則正式版 64位.rar

32位規則（修改64位規則注冊表位置而成）：

McAfee 8.8 天諾規則正式版 32位.rar

XP規則（在Windows XP 下設置而成）：

McAfee 8.8 天諾規則正式版 XP.rar

上面的幾個文件 小編已經給打包好了。

軟件名稱：

McAfee 8.8 企業版規則正式版 32/64位 for xp、win7、2008打包

軟件大小：

16KB

更新時間：

2016-09-04

更新說明：

1、刪除重復規則；
2、調整部分通配符，運行更流暢，保護更全面；
3、修訂少數規則，安全性有所提升；
4、端口規則變化較大，請善用之；
5、綠色軟件、電子書請分別放到任意位置的“**工具”和“**電子書”文件夾中，可以正常運行，不干壞事不會觸紅；
6、保持風格：中規中矩，穩重細膩，安全易用；
7、帖子中的文字版未作大的改動。
　　
　　規則導入：關閉訪問保護，雙擊規則文件。
　　規則修改：導入規則，在 控制台——訪問保護 中增加、減少或修改包含、排除、阻止的進程以及操作、報告等，完畢再導出，這規則就是你的了。