2Sep
El Kit de herramientas de experiencia de mitigación mejorado es el secreto de seguridad mejor guardado de Microsoft. Es fácil instalar EMET y proteger rápidamente muchas aplicaciones populares, pero hay mucho más que puedes hacer con EMET.
EMET no aparecerá y le hará preguntas, por lo que es una solución de "configúrelo y olvídese" una vez que lo haya configurado. Aquí se explica cómo proteger más aplicaciones con EMET y corregirlas si se rompen.
Sepa si EMET está rompiendo una aplicación
Si una aplicación hace algo que sus reglas de EMET no permiten, EMET cerrará la aplicación; esa es la configuración predeterminada, de todos modos. EMET cierra aplicaciones que se comportan de una manera potencialmente insegura, por lo que no pueden producirse exploits. Windows no hace esto para todas las aplicaciones de forma predeterminada porque rompería la compatibilidad con muchas de las aplicaciones antiguas de Windows que se usan actualmente.
Si se rompe una aplicación, la aplicación se cerrará inmediatamente y verá una ventana emergente del icono de EMET en la bandeja del sistema. También se escribirá en el registro de eventos de Windows; estas opciones se pueden personalizar desde el cuadro Informes en la cinta en la parte superior de la ventana de EMET.
Utilice una versión de 64 bits de Windows
Las versiones de 64 bits de Windows son más seguras porque tienen acceso a funciones como la asignación al azar del diseño del espacio de direcciones( ASLR).No todas estas funciones estarán disponibles si usa una versión de Windows de 32 bits. Al igual que Windows, las características de seguridad de EMET son más completas y útiles en PC de 64 bits.
Bloquea procesos específicos
Probablemente desees bloquear aplicaciones específicas en lugar de todo tu sistema. Enfóquese en las aplicaciones más propensas a verse comprometidas. Esto significa navegadores web, complementos del navegador, programas de chat y cualquier otro software que se comunique con Internet o abra archivos descargados. Los servicios de sistema de bajo nivel y las aplicaciones que se ejecutan sin conexión sin abrir ningún archivo descargado corren menos riesgo. Si tiene alguna aplicación comercial importante, tal vez una que acceda a Internet, puede ser la aplicación que más desea obtener.
Para asegurar una aplicación en ejecución, ubíquela en la lista EMET, haga clic con el botón derecho y seleccione Configurar proceso.
( Si desea proteger un proceso que no se está ejecutando, abra la ventana de aplicaciones y use los botones Agregar aplicación o Agregar comodín).
La ventana Configuración de la aplicación aparecerá con su aplicación resaltada. Por defecto, todas las reglas se habilitarán automáticamente. Simplemente haga clic en el botón Aceptar aquí para aplicar todas las reglas.
Si su aplicación no funciona correctamente, querrá volver aquí e intentar deshabilitar algunas de las restricciones para esa aplicación. Inhabilítelos uno por uno hasta que la aplicación funcione y pueda aislar el problema.
Si no desea restringir una aplicación, selecciónela en la lista y haga clic en el botón Eliminar seleccionado para borrar sus reglas y volver a poner la aplicación en su estado predeterminado.
Cambiar las reglas de todo el sistema
La sección Estado del sistema le permite elegir reglas para todo el sistema. Probablemente quiera seguir con los valores predeterminados, que permiten a las aplicaciones optar por estas protecciones de seguridad.
Puede seleccionar "Siempre activado" o "Exclusión de solicitud" para estas configuraciones para la máxima seguridad. Esto puede interrumpir muchas aplicaciones, especialmente las más antiguas. Si las aplicaciones comienzan a comportarse mal, puede volver a la configuración predeterminada o crear reglas de "exclusión voluntaria" para las aplicaciones.
Para crear una regla de exclusión, haga clic con el botón derecho en un proceso y seleccione Configurar proceso. Desmarque el tipo de protección que desea excluir; por lo tanto, si desea optar por no participar de ASLR en todo el sistema, debe desmarcar las casillas de verificación MandatoryASLR y BottomUpASLR para ese proceso. Haga clic en Aceptar para guardar su regla.
Tenga en cuenta que hemos habilitado "Siempre activado" para DEP arriba, por lo que no podemos deshabilitar DEP para ningún proceso en la ventana Configuración de la aplicación a continuación. Reglas de prueba
en el modo "solo auditoría"
Si desea probar las reglas de EMET pero no desea resolver ningún problema, puede activar el modo "Solo auditoría".Haga clic en el icono de aplicaciones en EMET para acceder a la ventana de configuración de la aplicación. Encontrará una sección de Acción predeterminada en la cinta en la parte superior de la pantalla. De forma predeterminada, está configurado para Detener en el exploit - EMET cerrará una aplicación si rompe una regla. También puede configurarlo para Auditoría solamente. Si una aplicación rompe una de sus reglas de EMET, EMET informará el problema y permitirá que la aplicación siga funcionando.
Esto obviamente elimina las ventajas de seguridad de ejecutar EMET, pero es una buena forma de probar las reglas antes de volver a poner a EMET en el modo "Stop on exploit".
Reglas de exportación e importación
Una vez que haya creado y probado sus reglas, asegúrese de usar el botón Exportar o Exportar seleccionadas para exportar sus reglas a un archivo. A continuación, puede importarlos en cualquier otra PC que use y obtener las mismas protecciones de seguridad sin más manipulaciones.
En las redes corporativas, las reglas de EMET y EMET se pueden implementar a través de la política de grupo.
Nada de esto es obligatorio. Si usted es un usuario hogareño que no quiere lidiar con esto, puede instalar EMET y seguir con la configuración predeterminada recomendada.