巴黎豆豆 2008-3-22 19:03
FD文件保护的规则编制(1)
比较适合新手,可算做设置入门
一、编制文件保护规则的目标和思路。
文件保护规则的编制有两个目标:一是要不影响系统程序及正常应用程序的正常运行;二是要将所有不[url=http://security.ctocio.com.cn/]安全[/url]的文件全部阻拦,实现最佳防护效果。文件保护规则编制的最终目标,就是要找到二者的平衡点,使两个目标都能得到最大的满足。
但二者是有矛盾的,想要达到最大的防护效果,规则就必须设置得严一些,但这样一来势必会影响某些程序的正常运行,如果设置得松一些,又难以达到好的防护效果。
使两个目标同时得到满足,是不现实的,只能在先满足一个目标的基础上,通过不断调整,使另一个目标也得到最大的满足。
根据基础选择的不同,可以将规则编制的思路分为两种。
1、以满足系统正常运行为基础的思路。
这个思路默认可以创建任何文件,只是对高风险的目录加以控制,对危险的文件类型进行过滤。
这个思路的优点在于:相对简单,对系统正常运行的影响较小,可以编制出通用规则。
缺点在于:防护不够严密。这种思路是在对现有病毒文件进行类型总结之后,进行大致过滤,漏洞较大。由于病毒文件种类繁多,很难做到精确控制。
2、以满足最大防护效果为基础的思路。
此思路默认系统盘禁止写入任何文件,然后对信任的程序放开限制,使其可以正常读写文件,通过不断调整,使防护效果和系统正常运行两个目标都得到满足。
此思路的优点在于:防护非常严密,可以预防几乎所有的已知和未知病毒,而且用户针对已安装的应用程序编制例外规则后,可以完美地实现防护效果和系统正常运行两个目标。
缺点在于:没有相关规则的程序很难正常运行,需要用户针对自己的电脑编制相应规则,因此,使用上有一定难度。
我更倾向于第二种思路。
因为第一种思路从本质上来讲是一种黑名单的方式,对确定高危险的目录和程序进行控制,对其他不确定的默认允许。对不确定的文件不进行控制,这本身就是一种漏洞。而且,病毒文件的类型千变万化,很难实现精确控制,也就很难实现最大防护效果这个目标。
而第二种方式默认是禁止一切文件写入,如果没有例外规则进行允许,任何文件都不可能创建,因此,实现最大防护效果不是问题,除非你的例外规则出现失误,扩大了允许的范围。一台机器上安装的程序是有限的,为每一个程序写一套例外规则也是可行的,如果规则编得好,完全可以不影响系统的正常运行。
因此,我觉得第二种思路是更有前途的一种思路。