A02 禁止新建任何.HTA文件
*

创

A03 禁止恶意格式化操作
*
**\system32\format.*
创，写，删，执行

A04 管制浏览器（禁止从Documents and Settings文件夹中运行.EXE文件）
**\桌面\**, Avant.exe, Brexpo.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon.exe, maxthon?.exe, miniie.exe, mplayerc.exe, netscape.exe, opera.exe, Orca.exe, realplay.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, storm.exe, theworld.exe, TTraveler.exe, webthunder.exe, \*

**\Documents and Settings\**\*.exe
执行

A05 管制浏览器（禁止加载urlmon.dll）
**\桌面\**, Avant.exe, Brexpo*.exe, cmd.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, \*

**\system32\urlmon.dll
执行

A06 管制浏览器（禁止调用cmd.exe）
**\windows\**, **\桌面\**, Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, \*
?:\windows\explorer.exe, ?:\Windows\system32\msiexec.exe, ?:\Windows\system32\rundll32.exe, cmd.exe
cmd.exe
创，写，删，执行

A07 管制浏览器（禁止新建exe文件）（若开启此规则，下载文件时尽量用工具下载）
**\桌面\**, Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, realplay.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, UUseeMediaCenter.exe, UUseePlayer.exe

*.exe
创

A08 禁止执行IE缓存文件夹下文件
*

**\Content.IE5\**
执行

A09 管制浏览器（禁止调用脚本宿主工具）
**\Temp\**, **\Windows\**, **\桌面\**, Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, \*

**\WINDOWS\system32\*script.exe
创，写，删，执行

A10 管制浏览器（禁止在Application Data目录下新建、运行exe文件）
**\Windows\**, **\桌面\**, Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, realplay.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, UUseeMediaCenter.exe, UUseePlayer.exe, \*
?:\WINDOWS\Explorer.EXE, ?:\WINDOWS\system32\msiexec.exe, ?:\Windows\system32\rundll32.exe, ?:\WINDOWS\system32\services.exe
**\Application Data\**\*.exe
创，执行

A11 管制浏览器（禁止私自调用注册表编辑器）
**\桌面\**, Avant.exe, Brexpo*.exe, cmd.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, svchost.exe, theworld.exe, TTraveler.exe, \*

**\WINDOWS\**\reg*.exe
创，写，删，执行

A12 管制浏览器（禁止在Common Files目录新建修改文件）
**\桌面\**, Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, realplay.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe, \*

**\Program Files\Common Files\**
创，写

A13 管制浏览器（禁止调用Adodb.stream控件）
?script.exe, Avant.exe, Brexpo*.exe, cmd.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe

msado15.dll
创，写，删，执行

A14 管制浏览器（禁止新建cab文件）
Avant.exe, Brexpo*.exe, firefox.exe, GE.exe, GreenBrowser.exe, gsfbwsr.exe, iexplore.exe, MaxFox.exe, maxthon*.exe, miniie.exe, netscape.exe, opera.exe, Orca.exe, Safari.exe, SeaMonkey.exe, Sleipnir.exe, theworld.exe, TTraveler.exe

*.cab
创

A15 禁止CMD.exe在Program Files目录新建任何文件
cmd.exe

**\Program Files\**
创

A16 禁止调用16位虚拟机程序
*

ntvdm.exe
创，写，删，执行

A17 禁止私自调用calcs.exe
*

**\system32\cacls.exe
创，写，删，执行

R18 禁止未授权程序访问注册表 （请自行添加光驱到排除项）
*
**\McAfee\**, **\Program Files\**, **\PROGRA~1\**, **\SP2???\**, **\SP3???\**, **\Temp\**, **\update\update.exe, **\安装程序\**, **\游戏\**, ?:\Documents and Settings\**\Application Data\*\**\*.exe, ?:\Windows\**
HKALL /**/**
项
1，2，3

F19 禁止未授权程序进行文件操作（请自行添加光驱到排除项）
*
**\McAfee\**, **\Program Files\**, **\PROGRA~1\**, **\SP2???\**, **\SP3???\**, **\Temp\**, **\update\update.exe, **\安装程序\**, **\游戏\**, ?:\Documents and Settings\**\Application Data\**\*.exe, ?:\Windows\**, SYSTEM
*
创，写，删，执行

FD 禁止对本机EXE文件进行可疑的修改
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*
**\*.exe
写

RD 禁止可疑的程序访问注册表(值)
**
**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
HKALL/**
值
1，2，3

FD 禁止windows下可疑的EXE文件操作
**
?:\Program Files\**\McAfee\**\*.*, ?:\WINDOWS\system32\Rundll32.exe
**\WINDOWS\**\*.exe
创，写

FD 禁止windows下可疑的DLL文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\WINDOWS\**\*.dll
创，写

FD 禁止Program Files下可疑的EXE文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\Program Files\**\*.exe
创

FD 禁止Program Files下可疑的DLL文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\Program Files\**\*.dll
创，写

AD 禁止在本机执行可疑的TMP文件
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\Windows\system32\svchost.exe
**\*.tmp
执行

AD 禁止在本机执行可疑的脚本文件
?script.exe

**\**
执行

FD 禁止windows下可疑的COM文件操作
**

**\windows\**\*.com
创，写

FD 禁止在windows下创建可疑的VXD驱动
**

**\windows\**\*.vxd
创

FD 禁止在windows下创建可疑的DRV驱动
**

**\windows\**\*.drv
创

FD 禁止windows下可疑的OCX控件操作
**

**\windows\**\*.ocx
创，写

FD 禁止对分区根目录进行可疑的操作
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\windows\**\explorer.exe, ?:\windows\**\MSConfig.exe, ?:\windows\**\NOTEPAD.EXE, ?:\windows\**\regedit.exe
?:\*
创，写，删

FD 禁止Program Files下可疑的COM文件操作
**

**\Program Files\**\*.com
创，写

FD 禁止Program Files下可疑的SCR文件操作
**

**\Program Files\**\*.scr
创，写

FD 禁止Program Files下可疑的PIF文件操作
**

**\Program Files\**\*.pif
创，写

FD 禁止windows下可疑的SCR文件操作
**

**\windows\**\*.scr
创，写

FD 禁止windows下可疑的PIF文件操作
**

**\windows\**\*.pif
创，写

FD 禁止在本机创建有风险的BAT文件
**

**\*.bat
创

FD 禁止在windows下创建可疑的SYS驱动
**

**\windows\**\*.sys
创

来自mcafee知识库https://kc.mcafee.com/corporate/index?page=content&id=KB66616
呃，如果是3.6或4.0版本的，看另一篇https://kc.mcafee.com/corporate/index?page=content&id=KB51438

提示：Agent是使用ip地址、dns名或NetBIOS名来连接到ePO服务器的，如果你改了其中一个，要确保Agent还有另外的方式能连接到服务器，最好的办法就是保留DNS记录，等Agent成功连到ePO服务器后，它会更新新的SiteList.xml。
为确保能顺利迁移，备份服务器的时候还是不要运行其中任一个组件。
备份前：
如果可能的话，最好关闭支持ePO的Tomcat服务，否则的话，你要确保不要在备份过程中做下列操作：
安装、卸载或升级组件
更新ePO的数据库配置

备份：
使用下列方法备份SQL数据库（通常数据库名为ePO4_，这里的是你的ePO4.5服务器的名字）：
看知识库里另一篇文章，如何使用OSQL命令来备份MSDE数据库，https://kc.mcafee.com/corporate/index?page=content&id=KB59562
DBBAK工具
SQL企业管理器
下列的目录必需备份（这里是默认路径，可能你改过就自己找吧）
C:\Program Files\McAfee\ePolicy Orchestrator\SERVER\
这里有所有安装的扩展和ePO应用服务器的配置信息等。
如果你嫌要备份的东西多了的话，你可以考虑排除下列目录
C:\Program Files\McAfee\ePolicy Orchestrator \server\logs (服务日志文件)
C:\Program Files\McAfee\ePolicy Orchestrator\server\cache (包含由ePO创建和缓存的信息，如生成的图片图表等，如果删了这些，ePO会重新生成这些东西)
C:\Program Files\McAfee\ePolicy Orchestrator\server\work (删除了之后tomcat会重新生成这些)

C:\Program Files\McAfee\ePolicy Orchestrator\DB \SOFTWARE\
所有产品都会存放在这里

C:\Program Files\McAfee\ePolicy Orchestrator\DB \KEYSTORE\
啥鸟意思，反正备份没错

C:\Program Files\McAfee\ePolicy Orchestrator\APACHE2\CONF
看目录名也差不多名表了，apache的相关配置，备份

还原：
1、删除或重命名sql服务器中的ePO数据库。
2、重新安装ePO4.5，路径要跟以前的一样。
3、应用ePO4.5之前打好所有补丁。
4、安装完ePO，先停用所有ePO的相关服务。
5、恢复数据库，相关服务器信息最好跟以前一样，否则，你还需要到C:\Program Files\McAfee\ePolicy Orchestrator \server\conf\Orion去更新DB.PROPERTIES文件。
6、还原下列文件
C:\Program Files\McAfee\ePolicy Orchestrator\SERVER\
C:\Program Files\McAfee\ePolicy Orchestrator\APACHE2\CONF
C:\Program Files\McAfee\ePolicy Orchestrator\DB \SOFTWARE\
C:\Program Files\McAfee\ePolicy Orchestrator\DB \KEYSTORE\
7、启动ePO4.5服务之前，确保 C:\Program Files\McAfee\ePolicy Orchestrator\server\extensions\installed 里那些扩展的版本号要跟OrionExtensions表里的一致，
呃，怎么查OrionExtensions里的版本号呢，T-SQL命令，select * from OrionExtensions
如果启动epo服务后发现这些不匹配的话呢，它会移除所有跟OrionExtensions表里不一致的扩展，如果这样了，赶快核对你的扩展版本，也可以重新还原数据库。
8、接下来就可以启动McAfee ePolicy Orchestrator 4.5.0 Application Server了
呃，还说什么要先启动RunDllGenCerts这个ePO才能工作，啥玩意？
9、开始->运行->cmd
10、切换到ePO的安装路径（默认安装是C:\Program Files\McAfee\ePolicy Orchestrator\)
11、进到ePO的目录，运行下列命令
Rundll32.exe ahsetup.dll RunDllGenCerts <"installdir\Apache2\conf\ssl.crt">
这里所指的:
指ePO服务器的NetBios名
ePO控制台端口(默认8443)
这个不用说了吧