2Sep
L'Enhanced Mitigation Experience Toolkit est le secret de sécurité le mieux gardé de Microsoft. Il est facile d'installer EMET et de sécuriser rapidement de nombreuses applications populaires, mais vous pouvez faire beaucoup plus avec EMET.
EMET ne s'affichera pas et ne vous posera pas de questions. Il s'agit donc d'une solution prête à l'emploi une fois que vous l'avez configuré.Voici comment sécuriser plus d'applications avec EMET et les réparer si elles se cassent.
Savoir si EMET est en train de casser une application
Si une application fait quelque chose que vos règles EMET n'autorisent pas, EMET arrêtera l'application - c'est le réglage par défaut, de toute façon. EMET ferme les applications qui se comportent d'une manière potentiellement dangereuse afin qu'aucune exploitation ne puisse se produire. Windows ne le fait pas pour toutes les applications par défaut, car il rompt la compatibilité avec de nombreuses anciennes applications Windows utilisées aujourd'hui.
Si une application est interrompue, l'application s'arrêtera immédiatement et vous verrez une fenêtre contextuelle de l'icône EMET dans votre barre d'état système. Il sera également écrit dans le journal des événements Windows - ces options peuvent être personnalisées à partir de la zone de notification sur le ruban en haut de la fenêtre EMET.
Utiliser une version 64 bits de Windows
Les versions 64 bits de Windows sont plus sécurisées car elles ont accès à des fonctionnalités telles que la randomisation de la disposition de l'espace d'adressage( ASLR).Toutes ces fonctionnalités ne seront pas disponibles si vous utilisez une version 32 bits de Windows. Tout comme Windows, les fonctions de sécurité d'EMET sont plus complètes et plus utiles sur les PC 64 bits.
Verrouiller des processus spécifiques
Vous voudrez probablement verrouiller des applications spécifiques plutôt que votre système entier. Concentrez-vous sur les applications les plus susceptibles d'être compromises. Cela signifie que les navigateurs Web, les plug-ins de navigateur, les programmes de discussion et tout autre logiciel communiquant avec Internet ou ouvrant des fichiers téléchargés. Les services système de bas niveau et les applications qui s'exécutent hors connexion sans ouvrir les fichiers téléchargés sont moins à risque. Si vous avez une application métier importante, peut-être une application qui accède à Internet, c'est peut-être l'application que vous souhaitez sécuriser le plus.
Pour sécuriser une application en cours d'exécution, localisez-la dans la liste EMET, cliquez dessus avec le bouton droit de la souris et sélectionnez Configurer le processus.
( Si vous souhaitez sécuriser un processus qui n'est pas en cours d'exécution, ouvrez la fenêtre Applications et utilisez les boutons Ajouter une application ou Ajouter un caractère générique.)
La fenêtre Configuration de l'application apparaîtra avec votre application en surbrillance. Par défaut, toutes les règles seront automatiquement activées. Cliquez simplement sur le bouton OK ici pour appliquer toutes les règles.
Si votre application ne fonctionne pas correctement, vous voudrez revenir ici et essayer de désactiver certaines restrictions pour cette application. Désactivez-les un par un jusqu'à ce que l'application fonctionne et vous pouvez isoler le problème.
Si vous ne voulez pas du tout restreindre une application, sélectionnez-la dans la liste et cliquez sur le bouton Supprimer la sélection pour effacer vos règles et remettre l'application à son état par défaut.
Modifier les règles à l'échelle du système
La section État du système vous permet de choisir des règles à l'échelle du système. Vous voudrez probablement rester avec les valeurs par défaut, ce qui permet aux applications d'opter pour ces protections de sécurité.
Vous pouvez sélectionner "Toujours activé" ou "Désactivation de l'application" pour ces paramètres pour une sécurité maximale. Cela peut casser de nombreuses applications, en particulier les plus anciennes. Si les applications commencent à mal se comporter, vous pouvez revenir aux paramètres par défaut ou créer des règles de «désactivation» pour les applications.
Pour créer une règle de désactivation, cliquez avec le bouton droit sur un processus et sélectionnez Configurer le processus. Décochez le type de protection que vous souhaitez désactiver - si vous souhaitez désactiver l'ASLR à l'échelle du système, décochez les cases MandatoryASLR et BottomUpASLR pour ce processus. Cliquez sur OK pour enregistrer votre règle.
Notez que nous avons activé "Always On" pour DEP ci-dessus, donc nous ne pouvons pas désactiver DEP pour les processus dans la fenêtre Configuration de l'application ci-dessous. Règles de test
en mode "Audit uniquement"
Si vous souhaitez tester les règles EMET mais que vous ne voulez pas traiter de problèmes, vous pouvez activer le mode "Audit uniquement".Cliquez sur l'icône Applications dans EMET pour accéder à la fenêtre Configuration de l'application. Vous trouverez une section Action par défaut sur le ruban en haut de l'écran. Par défaut, il est défini sur Stop sur exploit - EMET arrête une application si elle enfreint une règle. Vous pouvez également le définir sur Audit uniquement. Si une application brise l'une de vos règles EMET, EMET signalera le problème et permettra à l'application de continuer à fonctionner.
Cela élimine évidemment les avantages de sécurité de l'exécution d'EMET, mais c'est un bon moyen de tester les règles avant de remettre EMET en mode "Stop on exploit".
Règles d'exportation et d'importation
Une fois que vous avez créé et testé vos règles, veillez à utiliser le bouton Exporter ou exporter la sélection pour exporter vos règles dans un fichier. Vous pouvez ensuite les importer sur tous les autres PC que vous utilisez et obtenir les mêmes protections de sécurité sans plus de manipulation.
Sur les réseaux d'entreprise, les règles EMET et EMET lui-même peuvent être déployés via la stratégie de groupe.
Rien de tout cela n'est obligatoire. Si vous êtes un utilisateur à domicile qui ne veut pas faire cela, n'hésitez pas à installer simplement EMET et à respecter les paramètres par défaut recommandés.