规则主要是防御未知威胁的,然而8.5的默认的进程排除存在很大的缺陷:
一是只按文件名排除,连文件的路径都不区别,更不要说数字校验了.
二是为了让用户能够在默认标准保护下正常使用计算机,排除了过多的项目,通用性强了,安全性却损失了.一些其它防病毒软件(诺顿、卡巴斯基、熊猫卫士、番薯等)的进程全部排除.诸如setup.exe 、*setup*.exe等安装程序也全部被排除,甚至连google也在排除之列.
即使对于企业用户,如果员工恶意操作,只要改名自己需要的程序,就能达到需要的目的.
还有,如此注册表项/值如果没有保护,可能要吃苦头
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
.............
建议,将默认设置中无关的进程在排除规则中排除,或者干脆清空排除进程,然后根据日志,诸个排除必要的进程,排除得越多越危险!
设置足够的规则之后,在用密码锁定设置是很必要的
