2Sep
Das Enhanced Mitigation Experience Toolkit ist Microsofts bestgehütetes Sicherheitsgeheimnis. Es ist einfach, EMET zu installieren und viele beliebte Anwendungen schnell zu sichern, aber mit EMET können Sie noch viel mehr erreichen.
EMET wird nicht auftauchen und Ihnen Fragen stellen, also ist es eine Set-It-and-Forget-It-Lösung, sobald Sie es eingerichtet haben. So sichern Sie weitere Anwendungen mit EMET und beheben sie, wenn sie nicht mehr funktionieren.
Wissen, ob EMET eine Anwendung bricht
Wenn eine Anwendung etwas tut, was Ihre EMET-Regeln verbieten, wird EMET die Anwendung herunterfahren - das ist sowieso die Standardeinstellung. EMET schließt Anwendungen, die sich möglicherweise unsicher verhalten, sodass keine Exploits auftreten können. Windows führt dies nicht standardmäßig für alle Anwendungen durch, da dies die Kompatibilität mit vielen der alten Windows-Anwendungen, die heute verwendet werden, beeinträchtigen würde.
Wenn eine Anwendung beschädigt wird, wird die Anwendung sofort heruntergefahren, und in der Taskleiste wird ein Popup-Fenster mit dem EMET-Symbol angezeigt. Es wird auch in das Windows-Ereignisprotokoll geschrieben - diese Optionen können in der Multifunktionsleiste am oberen Rand des EMET-Fensters angepasst werden.
Verwenden einer 64-Bit-Version von Windows
64-Bit-Versionen von Windows sind sicherer, da sie Zugriff auf Funktionen wie Adressraum-Layout-Randomisierung( ASLR) haben. Wenn Sie eine 32-Bit-Version von Windows verwenden, sind nicht alle diese Funktionen verfügbar. Wie Windows selbst sind die Sicherheitsfunktionen von EMET auf 64-Bit-PCs umfassender und nützlicher.
Bestimmte Prozesse sperren
Sie werden wahrscheinlich bestimmte Anwendungen anstelle Ihres gesamten Systems sperren wollen. Konzentrieren Sie sich auf die Anwendungen, die am wahrscheinlichsten kompromittiert werden. Dies bedeutet Webbrowser, Browser-Plugins, Chat-Programme und andere Software, die mit dem Internet kommuniziert oder heruntergeladene Dateien öffnet. Low-Level-Systemdienste und -Anwendungen, die offline ausgeführt werden, ohne heruntergeladene Dateien zu öffnen, sind weniger gefährdet. Wenn Sie eine wichtige Geschäftsanwendung haben, die möglicherweise auf das Internet zugreift, ist dies möglicherweise die Anwendung, die Sie am meisten sichern möchten.
Um eine laufende Anwendung zu sichern, suchen Sie sie in der EMET-Liste, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Prozess konfigurieren".
( Wenn Sie einen Prozess sichern möchten, der nicht ausgeführt wird, öffnen Sie das Fenster "Apps" und verwenden Sie die Schaltflächen "Anwendung hinzufügen" oder "Platzhalter hinzufügen".)
Das Anwendungskonfigurationsfenster wird mit hervorgehobener Anwendung angezeigt. Standardmäßig sind alle Regeln automatisch aktiviert. Klicken Sie einfach auf die Schaltfläche OK, um alle Regeln anzuwenden.
Wenn Ihre Anwendung nicht ordnungsgemäß funktioniert, sollten Sie hier erneut versuchen, einige der Einschränkungen für diese Anwendung zu deaktivieren. Deaktivieren Sie sie nacheinander, bis die Anwendung funktioniert und Sie das Problem isolieren können.
Wenn Sie eine Anwendung nicht einschränken möchten, wählen Sie sie in der Liste aus und klicken Sie auf die Schaltfläche Auswahl entfernen, um Ihre Regeln zu löschen und die Anwendung in den Standardzustand zurückzusetzen.
Systemweite Regeln ändern
Im Abschnitt Systemstatus können Sie systemweite Regeln auswählen. Wahrscheinlich möchten Sie sich an die Standardeinstellungen halten, die es den Anwendungen ermöglichen, sich für diese Sicherheitsmaßnahmen zu entscheiden.
Sie können für diese Einstellungen "Always On" oder "Application Opt Out" auswählen, um maximale Sicherheit zu gewährleisten. Dies kann viele Anwendungen, vor allem ältere, brechen. Wenn sich Anwendungen nicht ordnungsgemäß verhalten, können Sie die Standardeinstellungen wiederherstellen oder Regeln für die Verwendung von Anwendungen festlegen.
Um eine Ablehnungsregel zu erstellen, klicken Sie mit der rechten Maustaste auf einen Prozess und wählen Sie "Prozess konfigurieren".Deaktivieren Sie die Art des Schutzes, von dem Sie sich abmelden möchten. Wenn Sie also die systemweite ASLR deaktivieren möchten, deaktivieren Sie die Kontrollkästchen MandatoryASLR und BottomUpASLR für diesen Prozess. Klicken Sie auf OK, um Ihre Regel zu speichern.
Beachten Sie, dass wir oben für die Datenausführungsverhinderung "Immer ein" aktiviert haben. Daher können wir die Datenausführungsverhinderung für keine Prozesse im Fenster Anwendungskonfiguration unten deaktivieren.
Testregeln im Modus "Nur Audit"
Wenn Sie die EMET-Regeln testen möchten, aber keine Probleme behandeln möchten, können Sie den Modus "Nur Überwachung" aktivieren. Klicken Sie in EMET auf das Apps-Symbol, um auf das Anwendungskonfigurationsfenster zuzugreifen. Sie finden einen Standardaktionsabschnitt in der Multifunktionsleiste am oberen Bildschirmrand. Standardmäßig ist es auf Stop bei Exploit gesetzt - EMET beendet eine Anwendung, wenn sie eine Regel verletzt. Sie können es auch auf Nur Überwachung einstellen. Wenn eine Anwendung eine Ihrer EMET-Regeln verletzt, meldet EMET das Problem und lässt die Anwendung weiterlaufen.
Dies beseitigt offensichtlich die Sicherheitsvorteile von EMET, aber es ist eine gute Möglichkeit, Regeln zu testen, bevor EMET wieder in den Modus "Stop on Exploit" versetzt wird.
Export- und Importregeln
Nachdem Sie Ihre Regeln erstellt und getestet haben, sollten Sie die Export- oder Export-Schaltfläche verwenden, um Ihre Regeln in eine Datei zu exportieren. Sie können sie dann auf anderen PCs, die Sie verwenden, importieren und den gleichen Sicherheitsschutz ohne weitere Probleme erhalten.
In Unternehmensnetzwerken können EMET-Regeln und EMET selbst über Gruppenrichtlinien bereitgestellt werden.
Dies ist nicht obligatorisch. Wenn Sie ein Heimanwender sind, der nicht damit umgehen möchte, können Sie einfach EMET installieren und die empfohlenen Standardeinstellungen beibehalten.