2Sep

6 Dicas avançadas para proteger as aplicações em seu PC com o EMET

secure-pc-with-microsoft-emet

O Toolkit Enhanced Mitigation Experience é o segredo de segurança mais bem guardado da Microsoft.É fácil instalar o EMET e proteger rapidamente muitas aplicações populares, mas há muito mais que você pode fazer com o EMET.

EMET não aparece e faz perguntas, então é uma solução de set-it-and-forget-it uma vez que você configurou. Veja como garantir mais aplicativos com o EMET e corrigi-los se eles quebram.

Saiba se o EMET está quebrando um aplicativo

Se um aplicativo faz algo que suas regras EMET não permitem, o EMET irá desligar o aplicativo - essa é a configuração padrão, de qualquer maneira. O EMET fecha aplicativos que se comportam de forma potencialmente insegura, portanto, nenhuma exploração pode ocorrer. O Windows não faz isso para todos os aplicativos por padrão, pois isso quebraria a compatibilidade com muitas das aplicações antigas do Windows em uso hoje.

Se um aplicativo quebrar, o aplicativo será encerrado imediatamente e você verá um pop-up do ícone EMET na bandeja do sistema. Também será escrito no registro de eventos do Windows - essas opções podem ser personalizadas na caixa de Relatórios na faixa de opções na parte superior da janela do EMET.

emet-error-pop-up

Use uma versão de 64 bits do Windows

As versões de 64 bits do Windows são mais seguras porque eles têm acesso a recursos como randomização de layout do espaço de endereços( ASLR).Nem todos esses recursos estarão disponíveis se você estiver usando uma versão de 32 bits do Windows. Como o próprio Windows, os recursos de segurança da EMET são mais abrangentes e úteis em PCs de 64 bits.

Bloquear Processos Específicos

Você provavelmente quer bloquear aplicativos específicos em vez de todo seu sistema. Concentre-se nas aplicações mais susceptíveis de serem comprometidas. Isso significa navegadores da web, plug-ins de navegador, programas de bate-papo e qualquer outro software que se comunica com a Internet ou abre arquivos baixados. Os serviços e aplicativos do sistema de baixo nível que são executados off-line sem abrir arquivos baixados estão menos em risco. Se você tem algum aplicativo comercial importante - talvez um que acesse a Internet - pode ser o aplicativo que você deseja proteger mais.

Para proteger uma aplicação em execução, localize-a na lista EMET, clique com o botão direito do mouse e selecione Configurar processo.

( Se desejar proteger um processo que não esteja em execução, abra a janela do aplicativo e use os botões Adicionar aplicativo ou Adicionar cartões curinga).

emet-create-rule-for-process

A janela Configuração do aplicativo aparecerá com seu aplicativo destacado. Por padrão, todas as regras serão ativadas automaticamente. Basta clicar no botão OK aqui para aplicar todas as regras.

emet-application-rules

Se o seu aplicativo não estiver funcionando corretamente, você quer voltar aqui e tentar desativar algumas das restrições para esse aplicativo. Desative-os um a um até que o aplicativo funcione e você pode isolar o problema.

Se você não quiser restringir um aplicativo, selecione-o na lista e clique no botão Remover Selecionado para apagar suas regras e colocar o aplicativo novamente em seu estado padrão.

Alterar regras do sistema

A seção Status do sistema permite que você escolha as regras do sistema. Você provavelmente quer ficar com os padrões, o que permite que os aplicativos optem por essas proteções de segurança.

Você pode selecionar "Always On" ou "Application Opt Out" para essas configurações para obter a máxima segurança. Isso pode quebrar muitas aplicações, especialmente as antigas. Se as aplicações começam a se compor mal, você pode reverter para as configurações padrão ou criar regras de "desativação" para aplicativos.

Emet-system-wide-rules

Para criar uma regra de exclusão, clique com o botão direito do mouse em um processo e selecione Configurar processo. Desmarque o tipo de proteção que deseja cancelar - então, se você quisesse excluir o sistema ASLR do sistema, desmarque as caixas de seleção ObrigatórioASLR e BottomUpASLR para esse processo. Clique em OK para salvar sua regra.

Tenha em atenção que ativamos "Always On" para DEP acima, portanto, não podemos desativar o DEP para qualquer processo na janela Configuração do Aplicativo abaixo. Regras de teste

desativar-para-aplicar-em-emet

no modo "somente de auditoria"

Se você quiser testar as regras do EMET, mas não quiser lidar com nenhum problema, você pode ativar o modo "Apenas de auditoria".Clique no ícone Aplicativos no EMET para acessar a janela Configuração do aplicativo. Você encontrará uma seção de ação padrão na faixa de opções na parte superior da tela. Por padrão, está configurado para parar na exploração - o EMET encerrará um aplicativo se ele quebrar uma regra. Você também pode configurá-lo para Auditoria somente. Se um aplicativo quebrar uma das suas regras EMET, o EMET informará o problema e permitirá que o aplicativo continue funcionando.

Isso, obviamente, elimina as vantagens de segurança da execução do EMET, mas é uma boa maneira de testar as regras antes de colocar o EMET novamente no modo "Parar em explorar".

modo de emet-audit-only

Regras de exportação e importação

Depois de criar e testar suas regras, certifique-se de usar o botão Exportação ou Exportação selecionada para exportar suas regras para um arquivo. Você pode então importá-los em qualquer outro PC que você usa e obter as mesmas proteções de segurança sem mais violão.

Nas redes corporativas, as regras EMET e o próprio EMET podem ser implantados através da Política de Grupo.

emet-export

Nada disso é obrigatório. Se você é um usuário doméstico que não quer lidar com isso, sinta-se à vontade para instalar o EMET e ficar com as configurações padrão recomendadas.