2Sep
Il Enhanced Mitigation Experience Toolkit è il segreto di sicurezza meglio custodito di Microsoft.È facile installare EMET e proteggere rapidamente molte applicazioni popolari, ma con EMET puoi fare molto di più.
EMET non apparirà e ti farà delle domande, quindi è una soluzione set-it-and-forget-it dopo averlo configurato. Ecco come proteggere più applicazioni con EMET e risolverle se si rompono.
Scopri se EMET sta rompendo un'applicazione
Se un'applicazione fa qualcosa che le tue regole EMET non consentono, EMET interromperà l'applicazione - questa è l'impostazione predefinita, comunque. EMET chiude le applicazioni che si comportano in un modo potenzialmente pericoloso in modo che non possano verificarsi exploit. Per impostazione predefinita, Windows non esegue questa operazione per tutte le applicazioni perché comprometterebbe la compatibilità con molte delle vecchie applicazioni Windows in uso oggi.
Se un'applicazione si rompe, l'applicazione si spegnerà immediatamente e vedrai un pop-up dall'icona EMET nella barra delle applicazioni. Sarà anche scritto nel registro eventi di Windows - queste opzioni possono essere personalizzate dalla casella Report sulla barra multifunzione nella parte superiore della finestra EMET.
Usa una versione a 64 bit di Windows Le versioni a 64 bit di
di Windows sono più sicure perché hanno accesso a funzionalità come la randomizzazione del layout di spazio degli indirizzi( ASLR).Non tutte queste funzionalità saranno disponibili se utilizzi una versione di Windows a 32 bit. Come per Windows, le funzionalità di sicurezza di EMET sono più complete e utili su PC a 64 bit.
Blocca i processi specifici
Probabilmente vorrete bloccare applicazioni specifiche invece dell'intero sistema. Concentrati sulle applicazioni che hanno maggiori probabilità di essere compromesse. Ciò significa browser Web, plug-in del browser, programmi di chat e qualsiasi altro software che comunica con Internet o apre i file scaricati. I servizi di sistema di basso livello e le applicazioni che funzionano offline senza aprire alcun file scaricato sono meno a rischio. Se hai qualche applicazione aziendale importante, forse quella che accede a Internet, potrebbe essere l'applicazione che desideri proteggere maggiormente.
Per proteggere un'applicazione in esecuzione, individuarla nell'elenco EMET, fare clic con il tasto destro del mouse e selezionare Configura processo.
( Se si desidera proteggere un processo che non è in esecuzione, aprire la finestra App e utilizzare i pulsanti Aggiungi applicazione o Aggiungi caratteri jolly.)
La finestra di configurazione dell'applicazione verrà visualizzata con l'applicazione evidenziata. Per impostazione predefinita, tutte le regole saranno automaticamente abilitate. Basta fare clic sul pulsante OK qui per applicare tutte le regole.
Se la tua applicazione non funziona correttamente, ti consigliamo di tornare qui e provare a disabilitare alcune delle restrizioni per quella applicazione. Disabilitalo uno per uno finché l'applicazione non funziona e puoi isolare il problema.
Se non si desidera limitare alcuna applicazione, selezionarla nell'elenco e fare clic sul pulsante Rimuovi selezionati per cancellare le regole e riportare l'applicazione allo stato predefinito.
Modifica regole a livello di sistema
La sezione Stato sistema consente di scegliere regole valide per tutto il sistema. Probabilmente vorrete attenervi ai valori predefiniti, che consentono alle applicazioni di optare per queste protezioni di sicurezza.
È possibile selezionare "Sempre attivo" o "Disattivazione applicazione" per queste impostazioni per la massima sicurezza. Questo potrebbe rompere molte applicazioni, specialmente quelle più vecchie. Se le applicazioni iniziano a comportarsi in modo anomalo, è possibile ripristinare le impostazioni predefinite o creare regole di "disattivazione" per le applicazioni.
Per creare una regola di opt-out, fare clic con il tasto destro del mouse su un processo e selezionare Configura processo. Deselezionare il tipo di protezione che si desidera disattivare, quindi, se si desidera disattivare l'ASLR a livello di sistema, deselezionare le caselle di controllo MandatoryASLR e BottomUpASLR per tale processo. Fai clic su OK per salvare la regola.
Si noti che abbiamo abilitato "Sempre attivo" per DEP sopra, quindi non possiamo disabilitare DEP per i processi nella finestra di configurazione dell'applicazione riportata di seguito. Regole del test
in modalità "Solo Audit"
Se desideri testare le regole EMET ma non vuoi affrontare alcun problema, puoi abilitare la modalità "Solo Audit".Fai clic sull'icona App in EMET per accedere alla finestra Configurazione dell'applicazione. Troverai una sezione Azione predefinita sulla barra multifunzione nella parte superiore dello schermo. Per impostazione predefinita, è impostato su Interrompi in caso di exploit. EMET interromperà un'applicazione se interrompe una regola. Puoi anche impostarlo solo su Audit. Se un'applicazione interrompe una delle regole EMET, EMET segnala il problema e consente all'applicazione di continuare a essere in esecuzione.
Questo ovviamente elimina i vantaggi di sicurezza dell'esecuzione di EMET, ma è un buon modo per testare le regole prima di riportare EMET in modalità "Stop in exploit".
Regole di esportazione e importazione
Una volta create e testate le regole, assicurarsi di utilizzare il pulsante Esporta o Esporta selezione per esportare le regole in un file.È quindi possibile importarli su qualsiasi altro PC che si utilizza e ottenere le stesse protezioni di sicurezza senza più giocherellare.
Nelle reti aziendali, le regole EMET e EMET possono essere implementate tramite i Criteri di gruppo.
Nessuno di questi è obbligatorio. Se sei un utente domestico che non vuole occuparsene, sentiti libero di installare EMET e attenersi alle impostazioni predefinite consigliate.