服务器macfee用户自定义规则

一、保护文件和目录

第一：禁建修改asp文件

选择【文件/文件夹访问保护规则】
规则名称：禁建ASP文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.asp
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第二：禁建修改aspx文件

选择【文件/文件夹访问保护规则】
规则名称：禁建aspx文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.aspx
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第三：禁建修改php文件

选择【文件/文件夹访问保护规则】
规则名称：禁建php文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.php
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第四：禁建修改jsp文件

选择【文件/文件夹访问保护规则】
规则名称：禁建jsp文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.jsp
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第五：禁建修改html文件

选择【文件/文件夹访问保护规则】
规则名称：禁建html文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.html
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第六：禁建修改js文件

选择【文件/文件夹访问保护规则】
规则名称：禁建js文件
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\*.js
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第七：保护admin文件夹

选择【文件/文件夹访问保护规则】
规则名称：保护admin文件夹
要包含的进程：*
要排出的进程：Explorer.EXE, mmc.exe
要阻止的文件或文件夹名称：**\Admin\**
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第八：禁建修改asax文件

选择【文件/文件夹访问保护规则】
规则名称：禁建asax文件
要包含的进程：*
要排出的进程：
要阻止的文件或文件夹名称：**\*.asax
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第九：禁建修改asx文件

选择【文件/文件夹访问保护规则】
规则名称：禁建asx文件
要包含的进程：*
要排出的进程：
要阻止的文件或文件夹名称：**\*.asx
要禁止的文件操作：
勾选--对文件进行写访问、正在创建的新文件、正在删除的文件


----------------------------------------

二、禁止创建用户

选择》注册表访问保护规则

第一：禁止创建用户

规则名称：禁止创建用户
要包含的进程：system:remote, w3wp.exe
要排除的进程：
要保护的注册表项或注册表值：选择》HKLM ；填入》/SAM/SAM/*/*
要保护的注册表项或注册表值：选择》项
要阻止的注册表操作：勾选--向项或值中写入、创建项或值、删除项或值

第二：禁止创建用户2（如果对一不放心多添加这个也行）

规则名称：禁止创建用户
要包含的进程：system:remote, w3wp.exe
要排除的进程：
要保护的注册表项或注册表值：选择》HKLM ；填入》/SAM/SAM/*/*
要保护的注册表项或注册表值：选择》值
要阻止的注册表操作：勾选--向项或值中写入、创建项或值、删除项或值

第三：禁改用户权限

规则名称：禁改用户权限
要包含的进程：*
要排除的进程：
要保护的注册表项或注册表值：选择》HKLM ；填入》/SAM/SAM/Domains/Account/Groups/**
要保护的注册表项或注册表值：选择》项
要阻止的注册表操作：勾选--向项或值中写入、创建项或值、删除项或值

---------------------

三、禁止其他访问

选择》文件/文件夹访问保护规则

第一：禁止远程访问rar

规则名称：禁止远程访问rar
要包含的进程：system:remote, w3wp.exe
要排出的进程： 
要阻止的文件或文件夹名称：**rar.exe**
要禁止的文件操作：全部勾选

第二：禁止远程访问cmdexe

规则名称：禁止远程访问cmdexe
要包含的进程：system:remote, w3wp.exe
要排出的进程： 
要阻止的文件或文件夹名称：**cmd.exe**
要禁止的文件操作：全部勾选

第三：禁止建;jpg

规则名称：禁止远程访问cmdexe
要包含的进程：system:remote, w3wp.exe
要排出的进程： 
要阻止的文件或文件夹名称：**\*;*

勾选--对文件进行写访问、正在创建的新文件、正在删除的文件

第四：mcafee修复进程-禁 msiexec.exe(防止macfee被恶意卸载)

规则名称：mcafee修复进程-禁
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：**\msiexec.exe

勾选--全选

第五：阻止打开控制面板-添加活删除程序-禁 rundll32.exe

规则名称：阻止打开控制面板-禁（防止恶意卸载）
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：**\rundll32.exe

勾选--全选

第六：阻止打开注册表面板-禁 regedit.exe

规则名称：阻止打开注册表面板-禁（防止恶意窜改）
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：**\regedit.exe

勾选--全选

第七：防止MCPR.exe卸载mcafee

规则名称：防止MCPR.exe卸载mcafee（防止恶意卸载）
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：**\MCPR.exe

勾选--全选

----------------------------------------

四、危险文件

第一：aspxspy.aspx木马文件强制禁

规则名称：aspxspy.aspx木马文件强制禁
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：E:\**\aspxspy.aspx

勾选--对文件进行读、写访问、正在执行、正在创建的新文件

第二：halp.asp木马文件强制禁

规则名称：halp.asp木马文件强制禁
要包含的进程：*
要排出的进程： 
要阻止的文件或文件夹名称：E:\**\halp.asp

勾选--对文件进行读、写访问、正在执行、正在创建的新文件