Zaawansowane wskazówki Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Kategoria: Poradniki

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Microsoft Enhanced Mitigation Experience Toolkit, w skrócie EMET, to opcjonalny plik do pobrania dla wszystkich obsługiwanych wersji klienckich i serwerowych systemu operacyjnego Microsoft Windows, który dodaje ochronę przed exploitami.

Zasadniczo został zaprojektowany, aby zapobiec pomyślnemu przeprowadzaniu ataków, jeśli już złamały zabezpieczenia systemu, takie jak rozwiązania antywirusowe.

EMISJE jest łatwy w instalacji i działa po wyjęciu z pudełka, ale aby w pełni wykorzystać możliwości programu, musisz poświęcić czas na poznanie go i skonfigurowanie.

Ten artykuł zawiera wskazówki, jak najlepiej wykorzystać EMET.

1. Ochrona ważnych procesów

EMET chroni podstawowe funkcje Microsoft i kilka procesów innych firm dopiero po instalacji. Chociaż zajmuje się to programami takimi jak Java, Adobe Acrobat, Internet Explorer lub Excel, nie chroni programów zainstalowanych ręcznie, takich jak Firefox, Skype czy Chrome.

Chociaż teoretycznie możliwe jest dodanie wszystkich programów do EMET, warto rozważyć dodanie do aplikacji tylko programów wysokiego ryzyka.

Programy wysokiego ryzyka? Krótka definicja programu wysokiego ryzyka jest taka, że ​​jest on albo regularnie eksploatowany (np. Internet Explorer), zdolny do wykonywania plików pobranych z Internetu (przeglądarka internetowa, klient poczty) lub przechowuje cenne dane (np. Oprogramowanie szyfrujące).

To sprawiłoby, że Firefox, Chrome i Thunderbird byłyby wartościowymi celami, a Notatnik, Saper i Paint nie.

Aby dodać aplikacje do listy zabezpieczeń EMET

1. Otwórz EMET w systemie.
2. W interfejsie znajduje się lista uruchomionych procesów. Jeśli program, który chcesz chronić, nie działa, uruchom go na komputerze.
3. Następnie kliknij prawym przyciskiem myszy jego proces i wybierz „Konfiguruj proces” z menu kontekstowego.
4. Spowoduje to dodanie wybranego procesu do listy aplikacji EMET.
5. Następnie wybierz OK, aby zapisać wybór i ponownie uruchomić program, który właśnie dodałeś do EMET.

Wskazówka : Zdecydowanie zaleca się przetestowanie każdej aplikacji osobno przed rozpoczęciem dodawania kolejnych procesów do EMET. Program może nie być kompatybilny ze wszystkimi technikami ograniczania skutków exploitów, które oferuje EMET.

2. Debugowanie niewłaściwie działających procesów

Istnieje duże prawdopodobieństwo, że po dodaniu programów do EMET wystąpią problemy. Niektóre programy mogą całkowicie odmówić uruchomienia, podczas gdy inne mogą otwierać się i zamykać natychmiast po uruchomieniu.

Zwykle dzieje się tak, gdy jedno lub wiele środków zaradczych nie jest zgodnych z procesem. Głównym problemem jest to, że nie otrzymasz informacji, które złagodzenie spowodowało problem.

Sprawdź, czy jest problem

Jednym z łatwiejszych sposobów sprawdzenia, czy coś nie działa prawidłowo, jest sprawdzenie wpisów EMET w dzienniku zdarzeń systemu Windows.

1. Stuknij w klawisz Windows, wpisz przeglądarkę zdarzeń i naciśnij Enter.
2. Wpisy EMET można znaleźć w Przeglądarce zdarzeń (lokalnie)> Dzienniki systemu Windows> Aplikacja.

Proponuję posortować dane według daty i godziny i poszukać źródła „Błąd aplikacji”. Po wybraniu jednego z wpisów dziennika plik EMET.DLL powinien być wymieniony jako źródło problemu w sekcji Ogólne.

Oczywiście możesz także usunąć wszystkie zabezpieczenia aplikacji w narzędziu EMET i uruchomić ją ponownie, aby sprawdzić, czy rozwiązuje problem.

Rozwiązanie problemu

Jedynym pewnym sposobem wymuszenia zgodności z Microsoft EMET jest metoda prób i błędów. Otwórz ponownie listę chronionych aplikacji w EMET, wyłącz wszystkie zabezpieczenia i ponownie włączaj je po kolei.

Spróbuj uruchomić program po każdym przełączeniu, aby sprawdzić, czy działa. Jeśli tak się stanie, powtórz ten proces, włączając kolejne środki zaradcze, aż dojdziesz do takiego, które uniemożliwi uruchomienie programu.

Ponownie wyłącz te środki zaradcze i kontynuuj proces, dopóki nie włączysz wszystkich środków zaradczych zgodnych z wybranym oprogramowaniem.

Na przykład Google Chrome nie uruchomił się przy użyciu domyślnych środków ograniczających zagrożenie wybranych dla nowych procesów. Odkryłem, że jedynym środkiem zaradczym, z którym przeglądarka nie była kompatybilna, był EAF, który w konsekwencji wyłączyłem.

3. Zasady ogólnosystemowe

EMET jest dostarczany z czterema ogólnosystemowymi regułami, które można skonfigurować w głównym interfejsie. Przypinanie certyfikatów, Zapobieganie wykonywaniu danych i Ochrona przed nadpisaniem programu obsługi wyjątków strukturalnych są włączone jako reguły systemowe, podczas gdy opcja Randomizacja układu przestrzeni adresowej jest włączona.

Oznacza to, że musisz włączyć regułę dla każdej aplikacji, którą chcesz chronić. Możesz zmienić status tych reguł systemowych, na przykład przez wymuszenie reguły zgody na udział w całym systemie.

Może to jednak powodować problemy z programami działającymi w systemie. Ponieważ jest on wymuszany dla wszystkich programów, gdy jest włączony, możesz uważnie monitorować system i przełączyć się z powrotem na opt-in, jeśli zauważysz problemy z uruchamianiem lub uruchamianiem aplikacji na komputerze.

4. Importowanie i eksportowanie reguł

Konfiguracja programów w EMET tak, aby były chronione przez aplikację, zajmuje trochę czasu z powodu problemów opisanych powyżej.

Dobra wiadomość jest taka, że ​​nie musisz powtarzać tego procesu na innych komputerach, którymi zarządzasz, ponieważ możesz użyć do tego funkcji importu i eksportu EMET.

Wskazówka : EMET jest dostarczany z zestawem dodatkowych reguł, które użytkownicy mogą dodawać do programu. Aby uzyskać dostęp do tych, wybierz import w EMET, a następnie jedną z następujących opcji:

1. CertTrust - domyślna konfiguracja EMET przypinania zaufania do certyfikatów dla usług online MS i innych firm
2. Popularne oprogramowanie - umożliwia ochronę typowego oprogramowania, takiego jak Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Zalecane oprogramowanie - zapewnia ochronę minimalnego zalecanego oprogramowania, takiego jak Internet Explorer, Microsoft Office, Adobe Acrobat Reader i Java

Opcja 3 to opcja domyślna, która jest ładowana automatycznie. Możesz automatycznie dodać inne popularne programy do EMET, importując reguły Popularnego oprogramowania.

Migracja reguł i zasady

Aby wyeksportować reguły, wybierz przycisk eksportu w głównym interfejsie EMET. Wybierz nazwę pliku xml w oknie dialogowym zapisywania i lokalizację.

Ten zestaw reguł można następnie zaimportować do innych systemów lub zachować jako zabezpieczenie na bieżącej maszynie.

Ponieważ reguły są zapisywane jako pliki XML, możesz je również edytować ręcznie.

Administratorzy mogą również wdrażać dyrektywy zasad grupy w systemach. Pliki adml / admx są częścią instalacji EMET i można je znaleźć po instalacji w sekcji Pliki wdrażania / zasad grupy.