McAfee 8.7i-8.8企业版 详细讲解教程–含安装、设置以及规则编写

McAfee（迈克菲）是一款杀毒软件，借助该软件，用户可以查杀一些流氓程序。它能实时侦测、清除病毒，起到防护设备的作用。McAfee也指的是美国迈克菲公司，它由约翰·迈克菲在1987年创立，是第一个商业化防毒软件公司。

一、McAfee8.7i安装

 下载完成后，双击SetupVSE.Exe即可进入安装程序： 

选择许可类型及地区： 

选择自定义安装以及安装路径：

强烈建议新手或者服务器种选择“标准保护”，以便在以后的操作中避免麻烦：（选择最大保护会导致远程服务器无法访问，如果不小心选择了这个，可以找机房将保护取消即可，或者删除mcafee）

在安装功能中，除Lotus Notes电子邮件扫描功能不需要安装外，其他的建议都安装：

Alert Manger服务器为报警功能,可以不安装：

建议开启实时监控功能：

安全配置中，如果你不想他人更改你的设置或随意关闭McAfee监控，你可以为此设置密码：

单击完成，开始安装：

安装完成后会提示是否立即更新病毒库以及进行一次全盘扫描,这里可以不勾选，带以后再直接下载升级文件进行升级：

安装完成后立即重启计算机： 

接下来是安装反间谍组件（需要重新下载反间谍安装包才能安装），双击运行安装包： 

由于安装过程非常简单，这里及不赘述了。

 来看看McAfee8.7i的产品信息，右键单击托盘内的迈克菲图标，选择关于VirusScan Enterprise即可看到： 

二、McAfee8.7i的基本设置

 右键单击McAfee8.7i的小图标，选择VirusScan控制台，可以打开控制台界面： 

2.1、访问保护 

由于这一部分比较重要，我们将其放在后面进行详细的讲解。

2.2、缓冲溢出区

缓冲溢出是黑客入侵电脑最常用的攻击手段，所以建议开启这个选项。当然，如果你安装了多个杀毒软件，建议把其他杀毒软件的进程文件名称添加到排除列表中，以免引起冲突：

报告选项，我们可以在这里把日志转存到其他分区，方便我们以后查看日志：

2.3、发送电子邮件扫描程序 

建议勾选查找带有多个扩展名的附件，某些威胁使用常有多个扩展名的附件，如picture.jpg.exe等，但是，多个扩展名也可用于合法的目的。选择该选项，将针对任何带有多个扩展名的附件，执行你在“操作”选项卡中选择的操作，而不会管其是否合法。

2.4、有害程序策略

 检测项，全部勾选即可：

用户自定义的检测项：该选项可以用于自定义检测，如，你不想别人在自己的电脑中安装QQ，就可以直接将qq.exe添加进来，这样当安装QQ的时候，QQ主程序–qq.exe就会被McAfee当作病毒删除；另外，当网络上出现新病毒而McAfee暂时检测不到的时候，我们也可以把新病毒生成的文件添加进来，这样可以让迈克菲提前检测到此类病毒：

2.5、按访问扫描程序

 常规设置–常规选项，未安装软驱或用不到软盘的网友可以取消勾选“在关机过程中扫描软盘”项：

常规设置–ScruptScan，开启此项即开启脚本检测，建议开启：

常规设置–阻止，当检测到其他计算机试图通过网络感染你的电脑时候，会阻止其链接，建议照下图设置： 

 常规选项–消息，建议取消对cookie的警报：

常规选项–报告，设置日志大小，保存位置：

所有进程–进程，可以对高风险和风险的进程设置不同的检测程序：

默认进程–扫描项目：

默认进程–排除项，对于McAfee容易误报的文件，我们可以建立一个专门的文件夹，然后将该文件夹添加到排除项中：

默认进程–操作项：

2.6、Quarantine Manager（隔离管理）策略

 策略，当McAfee检测到病毒时，第一时间是清除病毒，如果不能清除，则把被感染的文件放入隔离文件夹；另外，在此标签下，可自定义隔离文件夹位置：

管理器，也就是隔离区，可对隔离文件惊醒还原、删除、检查误报以及重新扫描： 

2.7、完全扫描

 扫描位置，直接单击启动就是进行全盘扫描：

2.8、目标扫描

目标扫描也就是自定义扫描文件进行手动扫描，我们可以添加需要扫描的文件或文件夹，然后单击“启动”即可进行扫描：

2.9、AutoUpdate(自动升级)

 如果你想在更新病毒库后给你提示，你可以选择成功更新后运行指定的程序：  

升级任务计划：

2.10、关闭实时监控

 关闭实时监控的方法：双击控制台的访问保护–在访问保护标签下取消勾选“禁止McAfee服务被停止”

之后单击托盘内的图标，选择“禁用按访问扫描”即可：

如果只需要单独停止某项服务，可以选择该项目，之后单击停止即可：

2.11、保护McAfee设置不被查看和更改

 当自己不想被他人更改McAfee的设置或随意禁用监控的时候，我们可以为此设置保护，单击工具–用户界面选项，然后按下图设置：

设置密码后，如果想重新打开控制台，则需要单击工具–解锁用户界面，之后输入密码即可：

2.12、McAfee8.7i的信息

 右键双击McAfee8.7i的图标，可以弹出McAfee的统计信息，从中我们可以知道McAfee的操作概况：

2.13、McAfee为什么会变红

 McAfee变红，那是因为每个程序或者你的操作触犯了McAfee规则，咖啡发出的警报：

三、访问保护设置

凡遇到安装McAfee8.7i后无法上网、安装软件错处以及系统运行缓慢的用户，请注意这部分的讲解。

 1.防间谍程序标准保护，该选项将阻止未知程序向你的收藏夹添加删除东西，比如现在比较流行的流氓软件就喜欢网用户的收藏夹中添加垃圾链接，用这个就可以防护：

开启此选项后，比如，如果你使用世界之窗的浏览器，则链接到收藏夹的时候会出现无法保存的现象，这时候只需要把她们添加到排除里即可：

2.防护间谍软件程序最大保护：

3.防病毒标准保护，建议全部开启：

4.防病毒最大保护，勾选1–3项即可

5.防病毒爆发控制，不是局域网的网友可以把这两项都勾选，在局域网的用户但无需共享的也可以选项，需要共享的只需勾选第一项即可：

6.通用标准保护，看好规则，根据自身需要选择：

7.通用最大保护：

1.建议开启
2.安装程序时关闭
3.开启
4.如果软件要安装到Program Files中，就需要临时关闭此项
5.开启
6.如果开启，需要添加到排除的是你的ftp程序和你的下载工具
7.不建议开启，避免无法上网的情况出现

 报告选项，我们可以通过查看日志来排除无法联网的故障：

刚刚说到触红的问题，开始我运行QQ的时候，McAfee变红了，现在我们可以通过查看日志来解决，打开日志可以看到：

仔细查看日志就可以发现是是因为通用标准保护禁止了修改McAfee Common Management Agent 文件和设置，这时候，我们只要在此项中将QQ.exe进行排除即可：

四、McAfee8.7i自定义规则

通过设置自定义规则，可以保护我们的重要资料不被读取、更改或删除；可以定义规则防范阻止未知或已知病毒；可以防止黑客入侵；可以防止流氓软件等等！

 先来了解一下自定义规则中几个常用的语法：
*–代表所有操作（进程）
*****–代表硬盘里的所有文件
System:Remote–代表远程（非本地）操作，防黑客必用
**mmc.exe–代表所有名为mmc.exe的文件
**temp***–代表所有包含temp名称的文件夹里面的所有文件，也就是所有临时文件夹内的文件。

C:123**–代表C盘123目录下的所有文件
双星号（**）表示在反斜杠（）字符前后任意多个层级的目录，一个星号（*）表示任意一个或部分目录名称

接下来我们就来讲解McAfee自定义规则，单击自定义规则–新建，即可新建自定义规则：

4.1、端口阻止规则

添加的第一项 端口访问规则，对安全有特殊要求的网友可以添加相应的规则来增强保护：

例1：防止未经许可程序访问网络

例2：关闭危险端口

4.2、文件夹规则

例1：保护隐私文件

例2：禁止某个程序运行

4.3、注册表阻止规则

与注册表对应的关系图：

4.4、如何取消保护

设置了限制之后，当我们要访问的时候怎么做呢？

第一种方法：暂时去掉勾选对应规则：

第二种方法：暂时停止访问保护，不能停止的，则要查看访问保护里面的禁止McAfee服务是否被勾选：

McAfee(麦咖啡)杀毒规则设置方法

1、McAfee的杀毒凌驾于一切规则之上！即设置规则禁止对染毒文件做任何操作，在McAfee杀毒时，该规则失效。所以不要介意将规则中的“删除”选项选中，因为即使禁止删除该文件，若该文件染毒，McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。

3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录，即文件夹可以新建，但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称，（*.*）表示任何文件，不包括文件夹，即只有一层文件夹内的文件被保护。
（\**）与（\**\*）均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里，除了“创建”外，其余四项都是对已有的文件进行操作，一般情况下，“写入”、“创建”和“删除”可以一同禁止，而且禁止“写入”有时需要禁止“创建”，否则系统会在此文件夹中创建TMP*.tmp的临时文件（垃圾文件）。
5、读取：对已有的文件进行读取操作，但不执行文件的内容；
写入：对已有的文件进行写入操作，即对文件的内容进行修改，删除等；
执行：对已有的文件进行执行操作，即执行文件的内容；
创建：在文件夹中创建一个新的文件；
删除：对已有的文件进行删除操作，包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明：
空白项：默认状态，无任何意义。
HKLM：表示HKEY_LOCAL_MACHINE主键。
HKCU：表示HKEY_CURRENT_USER主键。
HKCR：表示HKEY_CLASSES_ROOT主键。
HKCCS：表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM：表示HKCU+HKLM+HKEY_USER三大主键。
HKALL：表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消，则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止，且用户尚未查看报告。
8、“阻止”与“报告”若同时选中，则既阻止又报告；若只选中“阻止”，则只阻止不报告；若只选中“报告”，则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、“访问保护”不支持环境变量。环境变量的出现，是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法，比如windows2000的系统文件夹是WINNT，而windows XP的系统文件夹是WINDOWS，如果在2000下使用绝对路径编写的规则，在XP下就会失效，为了解决这一问题，McAfee在8.0i版时允许使用 环境变量，比如%windir%无论在任何系统内都表示系统文件夹，这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了，原因 是因为McAfee认为现在使用2000以下系统的用户已逐步减少，随着windows vista以及电脑高端配置的出现，使用XP以上系统的用户会越来越多，而XP系统已成为了最基本的操作系统，因此从8.5i版开始，McAfee将只认 可XP以上的系统，规则的通用性自然就会以XP系统为底线来编写，所以环境变量的存在已失去意义，当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名，该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始 就只是杀毒软件，而非监控软件，“访问保护”只是辅助杀毒的一种手段，通过McAfee的内置规则不难看出，McAfee只提供对系统文件夹的保护，而系 统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的，所以对McAfee来说，他的内置规则是不受文件夹更名威胁的。前面也说了，McAfee不是做监控或者保密软件的， 他不支持保护个人的隐私文件和文件夹，那是否McAfee就因此也不保护一些重要的文件呢，不是，McAfee会保护全盘下的某一类文件， 如**\*.exe，但是这样又会给使用带来诸多不便，从而影响实用性，可操作性也大大降低，在此种情况下，排除进程应运而生，所以编写规则时应尽量避免 非系统文件夹的出现，使用通配符*，再配合排除进程才是最完美的规则。
12、规则越多，监控的负担越大。规则的编写应该具有总结性，应该是某一类行为的概括，应该以不影响日常使用为原则。McAfee以“要禁止的文件操作” 为依据，将所有的规则分为“层”，例如，当“访问保护”开启时，用户“执行”的任何操作，McAfee都会将之与所有包含“执行”的规则一一比对，如果此 时规则很多，可想而知，监控的负担会变大，使用会变的迟缓，当然，对于高配置计算机，这个变化也许不是很明显，但系统资源仍会被消耗。
13、HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系
AD：Application Defend，应用程序防御体系
RD：Registry Defend，注册表防御体系

通过以上对的McAfee的安装配置及防护规则制定，我们就可以打造一个相对安全的服务器环境了。

最新评论