2Sep
De Enhanced Mitigation Experience Toolkit is het best bewaarde beveiligingsgeheim van Microsoft. Het is eenvoudig om EMET te installeren en snel veel populaire applicaties te beveiligen, maar er is nog veel meer dat je kunt doen met EMET.
EMET verschijnt niet en stelt je vragen, dus het is een set-it-and-forget-it-oplossing als je het eenmaal hebt ingesteld. Ga als volgt te werk om meer toepassingen met EMET te beveiligen en deze te repareren als ze kapot gaan.
Weet of EMET een toepassing breekt
Als een toepassing iets doet dat volgens uw EMET-regels niet is toegestaan, zal EMET de applicatie afsluiten - dat is sowieso de standaardinstelling. EMET sluit applicaties die zich op een mogelijk onveilige manier gedragen, zodat er geen exploits kunnen optreden. Windows doet dit niet standaard voor alle applicaties omdat dit de compatibiliteit met veel van de oude Windows-applicaties die vandaag in gebruik zijn zou verbreken.
Als een toepassing breekt, wordt de toepassing onmiddellijk afgesloten en verschijnt er een pop-up van het EMET-pictogram in uw systeemvak. Het zal ook worden geschreven naar het Windows-gebeurtenislogboek - deze opties kunnen worden aangepast vanuit het vakje Rapportering op het lint bovenaan het EMET-venster.
Gebruik een 64-bits versie van Windows
64-bits versies van Windows zijn veiliger omdat ze toegang hebben tot functies zoals randomisatie van adresruimte-indeling( ASLR).Niet al deze functies zijn beschikbaar als u een 32-bits versie van Windows gebruikt. Net als Windows zelf zijn de beveiligingsfuncties van EMET uitgebreider en bruikbaarder op 64-bit pc's.
Specifieke sluitprocessen vergrendelen
Waarschijnlijk wilt u specifieke toepassingen vergrendelen in plaats van uw hele systeem. Concentreer u op de toepassingen die het meest waarschijnlijk worden aangetast. Dit betekent webbrowsers, browserinvoegtoepassingen, chatprogramma's en andere software die communiceert met internet of gedownloade bestanden opent. Systeemservices op een laag niveau en toepassingen die offline worden uitgevoerd zonder gedownloade bestanden te openen, lopen minder risico. Als u een belangrijke bedrijfsapplicatie hebt - misschien een die toegang heeft tot internet - kan dit de toepassing zijn die u het meest wilt beveiligen.
Om een actieve toepassing te beveiligen, lokaliseert u deze in de EMET-lijst, klikt u er met de rechtermuisknop op en selecteert u Configuratieproces.
( Als u een proces dat niet actief is wilt beveiligen, opent u het venster Apps en gebruikt u de knop Applicatie toevoegen of Wildcard toevoegen.)
Het venster Toepassingsconfiguratie verschijnt met uw toepassing gemarkeerd. Standaard worden alle regels automatisch ingeschakeld. Klik hier op de knop OK om alle regels toe te passen.
Als uw toepassing niet goed werkt, wilt u hier mogelijk terugkomen en een aantal beperkingen voor die toepassing uitschakelen. Schakel ze één voor één uit totdat de applicatie werkt en je het probleem kunt isoleren.
Als u een toepassing helemaal niet wilt beperken, selecteert u deze in de lijst en klikt u op de knop Geselecteerde verwijderen om uw regels te wissen en de toepassing terug te zetten naar de standaardstatus.
Systeembrede regels wijzigen
In de sectie Systeemstatus kunt u systeembrede regels kiezen. U wilt waarschijnlijk vasthouden aan de standaardwaarden, waardoor toepassingen zich kunnen aanmelden voor deze beveiligingsbeschermingen.
U kunt "Always On" of "Application Opt Out" selecteren voor deze instellingen voor maximale beveiliging. Dit kan vele applicaties breken, vooral oudere. Als toepassingen zich niet goed gedragen, kunt u terugkeren naar de standaardinstellingen of regels voor opt-out maken voor toepassingen.
Als u een opt-outregel wilt maken, klikt u met de rechtermuisknop op een proces en selecteert u Configuratieproces. Verwijder het vinkje bij het type beveiliging dat u wilt afmelden. Als u dus niet wilt dat u zich niet wilt aanmelden voor de systeembrede ASLR, schakelt u de selectievakjes MandatoryASLR en BottomUpASLR voor dat proces uit. Klik op OK om uw regel op te slaan.
Merk op dat we "Altijd aan" hebben ingeschakeld voor DEP hierboven, dus we kunnen DEP niet uitschakelen voor processen in het onderstaande venster Toepassingconfiguratie.
-testregels in de modus "Alleen auditen"
Als u EMET-regels wilt testen maar geen problemen wilt oplossen, kunt u de modus "Alleen auditeren" inschakelen. Klik op het pictogram Apps in EMET om toegang te krijgen tot het venster Toepassingsconfiguratie. U vindt een sectie Standaardactie op het lint boven aan het scherm. Standaard is deze ingesteld op Stop bij exploit - EMET zal een toepassing afsluiten als een regel wordt verbroken. U kunt het ook instellen op Alleen controle. Als een toepassing een van uw EMET-regels overtreedt, meldt EMET het probleem en kan de toepassing blijven werken.
Hiermee worden uiteraard de beveiligingsvoordelen van het uitvoeren van EMET geëlimineerd, maar het is een goede manier om regels te testen voordat u EMET weer in de modus "Stop on exploit" zet.
Export- en importregels
Nadat u uw regels hebt gemaakt en getest, moet u de knop Exporteren of exporteren selecteren gebruiken om uw regels naar een bestand te exporteren. U kunt ze dan op andere pc's die u gebruikt importeren en dezelfde beveiligingsbeschermingen verkrijgen zonder meer gehannes te maken.
Op bedrijfsnetwerken kunnen EMET-regels en EMET zelf worden geïmplementeerd via Groepsbeleid.
Dit is allemaal niet verplicht. Als u een thuisgebruiker bent die hier niet mee wil werken, kunt u EMET gewoon installeren en de aanbevolen standaardinstellingen behouden.