2Sep
Nástroj Enhanced Mitigation Experience Toolkit je nejlepším bezpečnostním tajemstvím společnosti Microsoft. Je snadné nainstalovat EMET a rychle zajistit mnoho populárních aplikací, ale s EMEM můžete udělat mnohem víc.
EMET se nezobrazí a nezačne se vás ptát, takže je to řešení, které je zapotřebí a zapomeňte, jakmile ji nastavíte. Zde je postup, jak zabezpečit více aplikací s EMET a opravit je, pokud se zlomí.
Víte, pokud EMET přeruší aplikaci
Pokud aplikace něco, co vaše EMET pravidla zakáže, aplikace EMET ukončí aplikaci - to je výchozí nastavení.Aplikace EMET zavře aplikace, které se chovají potenciálně nebezpečným způsobem, takže nemohou dojít k zneužití.Systém Windows to nečiní ve výchozím nastavení pro všechny aplikace, protože by přerušil kompatibilitu s mnoha starými používanými aplikacemi Windows.
Pokud aplikace přestane pracovat, aplikace se okamžitě vypne a zobrazí se na informačním panelu ikona EMET na hlavním panelu. Bude také zapsán do protokolu událostí systému Windows - tyto možnosti lze přizpůsobit z okna Nahlášení na pásu karet v horní části okna EMET.
Používání 64bitové verze systému Windows
64bitové verze systému Windows jsou bezpečnější, protože mají přístup k funkcím, jako je náhodná rozložení rozložení adresového prostoru( ASLR).Ne všechny tyto funkce budou k dispozici, pokud používáte 32bitovou verzi systému Windows. Podobně jako samotný systém Windows, bezpečnostní funkce společnosti EMET jsou u 64bitových počítačů komplexnější a užitečné.
Zablokování specifických procesů
Pravděpodobně budete chtít uzamknout konkrétní aplikace namísto celého systému. Zaměřte se na aplikace, které budou pravděpodobně ohroženy. To znamená webové prohlížeče, plug-iny prohlížeče, programy pro rozhovory a jakýkoli jiný software, který komunikuje s internetem nebo otevírá stažené soubory. Systémy nízké úrovně a aplikace, které běží offline bez otevření stažených souborů, jsou méně ohroženy. Pokud máte nějakou důležitou obchodní aplikaci - snad jednu, která přistupuje k Internetu - může to být aplikace, kterou chcete nejlépe zajistit.
Chcete-li zabezpečit spuštěnou aplikaci, vyhledejte ji v seznamu EMET, klepněte pravým tlačítkem myši a vyberte možnost Konfigurovat proces.
( Chcete-li zabezpečit proces, který není spuštěn, otevřete okno Aplikace a použijte tlačítka Přidat aplikaci nebo Přidat zástupné znaky.)
Zobrazí se okno Konfigurace aplikací se zvýrazněnou aplikací.Ve výchozím nastavení budou všechna pravidla automaticky povolena. Klepnutím na tlačítko OK zde použijte všechna pravidla.
Pokud vaše aplikace nefunguje správně, budete se chtít vrátit a zkusit zakázat některá omezení pro danou aplikaci. Deaktivujte je jeden po druhém, dokud aplikace nefunguje a vy můžete problém izolovat.
Pokud vůbec nechcete žádnou aplikaci omezit, vyberte ji v seznamu a klepněte na tlačítko Odebrat vybrané tlačítko pro vymazání pravidel a vrácení aplikace do výchozího stavu.
Změna systémových pravidel
Část Stav systému umožňuje zvolit pravidla platná pro celý systém. Budete pravděpodobně chtít dodržet výchozí hodnoty, které umožňují aplikacím přihlásit se k těmto bezpečnostním ochranám.
Pro tato nastavení můžete zvolit možnost "Vždy zapnuto" nebo "Vypnout aplikaci" pro maximální bezpečnost. To může přerušit mnoho aplikací, zejména starších. Pokud aplikace začnou chybět, můžete se vrátit k výchozímu nastavení nebo vytvořit pravidla pro odhlášení pro aplikace.
Chcete-li vytvořit pravidlo odhlášení, klepněte pravým tlačítkem na proces a vyberte možnost Konfigurovat proces. Zrušte zaškrtnutí typu ochrany, z něhož chcete odhlásit - a pokud byste chtěli zrušit systém ASLR, zrušte zaškrtnutí políček MandatoryASLR a BottomUpASLR pro tento proces. Klepnutím na tlačítko OK uložte pravidlo.
Všimněte si, že pro DEP jsme aktivovali funkci "Vždy zapnuto", takže nemůžeme deaktivovat DEP pro žádné procesy v okně Konfigurace aplikace níže. Testovací pravidla
v režimu "Pouze audit"
Pokud chcete testovat pravidla EMET, ale nechcete řešit žádné problémy, můžete aktivovat režim "Pouze audit".Klikněte na ikonu Apps v aplikaci EMET a otevřete okno Konfigurace aplikací.Na pásu v horní části obrazovky najdete sekci Výchozí akce. Ve výchozím nastavení je nastaveno na možnost Stop on exploit - aplikace EMET vypne aplikaci, pokud porušuje pravidlo. Můžete také nastavit pouze na Audit. Pokud aplikace porušuje některá z vašich pravidel EMET, společnost EMET ohlásí problém a umožní aplikaci pokračovat.
To samozřejmě eliminuje bezpečnostní výhody běhu programu EMET, ale je to dobrý způsob, jak testovat pravidla předtím, než znovu uvedete EMET do režimu "Stop on exploit".
Pravidla exportu a importu
Jakmile vytvoříte a otestujete pravidla, použijte tlačítko Exportovat nebo Exportovat, abyste exportovali pravidla do souboru. Pak je můžete importovat na libovolné jiné počítače, které používáte, a získávat stejné bezpečnostní ochrany bez dalšího šíření.
V podnikových sítích mohou být pravidla EMET a samotná EMET zavedena prostřednictvím zásad skupiny.
Toto není povinné.Pokud jste domácí uživatel, který s tím nechce řešit, neváhejte a nainstalujte EMET a dodržujte doporučená výchozí nastavení.