2Sep
Zestaw narzędzi zwiększania stopnia zaawansowania działań łagodzących to najlepiej zachowany sekret bezpieczeństwa firmy Microsoft.Łatwo jest zainstalować EMET i szybko zabezpieczyć wiele popularnych aplikacji, ale o wiele więcej możesz zrobić z EMET.
EMET nie wyświetli się i zadadzą Ci pytania, więc jest to rozwiązanie typu "załóż i zapomnij" po skonfigurowaniu. Oto, jak zabezpieczyć więcej aplikacji za pomocą narzędzia EMET i naprawić je, jeśli się zepsują.
Dowiedz się, czy EMET łamie aplikację
Jeśli aplikacja zrobi coś, czego nie pozwalają reguły EMET, EMET wyłączy aplikację - i tak jest to ustawienie domyślne. EMET zamyka aplikacje, które zachowują się w potencjalnie niebezpieczny sposób, więc nie mogą wystąpić żadne exploity. System Windows nie robi tego domyślnie dla wszystkich aplikacji, ponieważ naruszałoby to zgodność z wieloma używanymi obecnie aplikacjami systemu Windows.
Jeśli aplikacja się zepsuje, aplikacja zostanie natychmiast zamknięta, a na pasku zadań pojawi się okienko z ikoną EMET.Zostanie również zapisany w dzienniku zdarzeń systemu Windows - te opcje można dostosować w polu Raportowanie na wstążce u góry okna EMET.
Korzystanie z 64-bitowej wersji systemu Windows 64-bitowe wersje systemu Windows
są bardziej bezpieczne, ponieważ mają dostęp do funkcji takich jak losowa konfiguracja przestrzeni adresowej( ASLR).Nie wszystkie z tych funkcji będą dostępne, jeśli używasz 32-bitowej wersji systemu Windows. Podobnie jak sam system Windows, funkcje zabezpieczeń EMET są bardziej wszechstronne i przydatne na 64-bitowych komputerach.
Zablokuj określone procesy
Prawdopodobnie będziesz chciał zablokować określone aplikacje zamiast całego systemu. Skoncentruj się na aplikacjach, które najprawdopodobniej zostaną naruszone. Oznacza to przeglądarki internetowe, wtyczki do przeglądarek, programy czatu i wszelkie inne programy komunikujące się z Internetem lub otwierające pobrane pliki. Niskopoziomowe usługi systemowe i aplikacje uruchamiane w trybie offline bez otwierania pobranych plików są mniej zagrożone. Jeśli masz ważną aplikację biznesową - być może taką, która łączy się z Internetem - może to być aplikacja, którą chcesz zabezpieczyć najbardziej.
Aby zabezpieczyć działającą aplikację, zlokalizuj ją na liście EMET, kliknij ją prawym przyciskiem myszy i wybierz opcję Skonfiguruj proces.
( Aby zabezpieczyć proces, który nie jest uruchomiony, otwórz okno aplikacji i użyj przycisków Dodaj aplikację lub Dodaj symbole wieloznaczne).
Zostanie wyświetlone okno Konfiguracja aplikacji z podświetloną aplikacją.Domyślnie wszystkie reguły zostaną automatycznie włączone. Po prostu kliknij przycisk OK tutaj, aby zastosować wszystkie reguły.
Jeśli twoja aplikacja nie działa poprawnie, zechcesz tu wrócić i spróbować wyłączyć niektóre z ograniczeń dla tej aplikacji. Wyłącz je jeden po drugim, aż aplikacja zadziała i możesz wyizolować problem.
Jeśli nie chcesz w ogóle ograniczać aplikacji, wybierz ją z listy i kliknij przycisk Usuń wybrane, aby usunąć reguły i przywrócić domyślny stan aplikacji.
Zmiana reguł systemowych
Sekcja Status systemu umożliwia wybór reguł dla całego systemu. Prawdopodobnie będziesz chciał trzymać się wartości domyślnych, które pozwalają aplikacjom wybrać te zabezpieczenia.
Dla tych ustawień można wybrać "Always On" lub "Application Opt Out" dla maksymalnego bezpieczeństwa. Może to przerwać wiele aplikacji, szczególnie starszych. Jeśli aplikacje zaczną źle działać, możesz przywrócić ustawienia domyślne lub utworzyć reguły "rezygnacji" dla aplikacji.
Aby utworzyć regułę rezygnacji, kliknij proces prawym przyciskiem myszy i wybierz opcję Konfiguruj proces. Odznacz typ ochrony, z której chcesz zrezygnować - jeśli więc chcesz zrezygnować z ASLR w całym systemie, odznacz pola wyboru MandatoryASLR i BottomUpASLR dla tego procesu. Kliknij OK, aby zapisać regułę.
Zwróć uwagę, że dla opcji DEP włączono opcję "Zawsze włączone", więc nie możemy wyłączyć funkcji DEP dla żadnych procesów w poniższym oknie konfiguracji aplikacji. Zasady testowania
w trybie "Tylko inspekcja"
Jeśli chcesz przetestować reguły EMET, ale nie chcesz zajmować się żadnymi problemami, możesz włączyć tryb "Tylko inspekcja".Kliknij ikonę Aplikacje w oknie EMET, aby uzyskać dostęp do okna Konfiguracja aplikacji. Znajdziesz sekcję Domyślna akcja na wstążce u góry ekranu. Domyślnie jest ustawiony na Zatrzymaj przy użyciu exploita - EMET zamknie aplikację, jeśli złamie regułę.Możesz także ustawić tylko na Audyt. Jeśli aplikacja złamie jedną z reguł EMET, EMET zgłosi problem i pozwoli aplikacji kontynuować działanie.
To oczywiście eliminuje korzyści bezpieczeństwa związane z uruchamianiem EMET, ale jest to dobry sposób na przetestowanie reguł przed przywróceniem EMET z powrotem do trybu "Zatrzymaj przy użyciu exploita".
Reguły eksportu i importu
Po utworzeniu i przetestowaniu reguł, należy użyć przycisku Eksportuj lub Eksportuj wybrane, aby wyeksportować reguły do pliku. Możesz następnie zaimportować je na dowolnym innym komputerze, z którego korzystasz i uzyskać te same zabezpieczenia bez konieczności używania innych narzędzi.
W sieciach korporacyjnych reguły EMET i sam system EMET można wdrażać za pomocą zasad grupy.
Nie jest to obowiązkowe. Jeśli jesteś użytkownikiem domowym, który nie chce sobie z tym poradzić, możesz po prostu zainstalować EMET i trzymać się zalecanych domyślnych ustawień.