2Sep
Instrumentul pentru îmbunătățirea experienței de atenuare este cel mai bun secret de securitate al Microsoft. Este ușor să instalați EMET și să vă asigurați foarte repede multe aplicații populare, dar puteți face mai mult cu EMET.
EMET nu va apărea și vă va pune întrebări, deci este o soluție set-it-and-forget-it odată ce ați pus-o în scenă.Iată cum puteți asigura mai multe aplicații cu EMET și remediați-le dacă se rupe.
Aflați dacă EMET întrerupe o aplicație
Dacă o aplicație face ceva ce nu acceptă regulile EMET, EMET va închide aplicația - aceasta este setarea implicită oricum. EMET închide aplicațiile care se comportă într-un mod potențial nesigur, astfel încât nu pot apărea exploatări. Windows nu face acest lucru pentru toate aplicațiile în mod implicit, deoarece ar rupe compatibilitatea cu multe dintre vechile aplicații Windows utilizate astăzi.
Dacă o aplicație se rupe, aplicația se va opri imediat și veți vedea un pop-up din pictograma EMET din tava dvs. de sistem. Acesta va fi, de asemenea, scris în jurnalul de evenimente Windows - aceste opțiuni pot fi personalizate din caseta Raportare pe panglica din partea de sus a ferestrei EMET.
Utilizați o versiune pe 64 de biți a Windows
versiunile pe 64 de biți ale Windows sunt mai sigure deoarece au acces la caracteristici cum ar fi ASLR.Nu toate aceste caracteristici vor fi disponibile dacă utilizați o versiune pe 32 de biți a Windows. La fel ca Windows, caracteristicile de securitate EMET sunt mai cuprinzătoare și mai utile pe PC-urile pe 64 de biți.
Blocați anumite procese
Veți dori probabil să blocați anumite aplicații în locul întregului dvs. sistem. Concentrați-vă pe aplicațiile care sunt cel mai probabil compromise. Aceasta înseamnă browsere web, plug-inuri de browser, programe de chat și orice alt software care comunică cu Internetul sau deschide fișierele descărcate. Serviciile de sistem de nivel scăzut și aplicațiile care rulează offline fără a deschide fișierele descărcate sunt mai puțin expuse riscului. Dacă aveți o aplicație importantă de afaceri - probabil una care accesează Internetul - poate fi aplicația pe care doriți să o asigurați cel mai mult.
Pentru a asigura o aplicație care rulează, localizați-o în lista EMET, faceți clic dreapta pe ea și selectați Configure Process.
( Dacă doriți să securizați un proces care nu se execută, deschideți fereastra Apps și utilizați butoanele Adăugare aplicație sau Adăugare Wildcard.)
Fereastra Configurare aplicație va apărea împreună cu aplicația dvs. evidențiată.În mod implicit, toate regulile vor fi activate automat. Doar faceți clic pe butonul OK aici pentru a aplica toate regulile.
Dacă aplicația dvs. nu funcționează corect, veți dori să reveniți aici și să încercați să dezactivați unele restricții pentru acea aplicație. Dezactivați-le una câte una până când aplicația funcționează și puteți izola problema.
Dacă nu doriți să restrângeți deloc o aplicație, selectați-o din listă și faceți clic pe butonul Remove Selected pentru a șterge regulile și a readuce aplicația la starea implicită.
Modificarea regulilor de sistem
Secțiunea Starea sistemului vă permite să alegeți reguli la nivel de sistem. Probabil că veți dori să respectați setările implicite, care permit aplicațiilor să se alăture acestor protecții de securitate.
Puteți selecta opțiunea "Întotdeauna pornit" sau "Oprire aplicație" pentru aceste setări pentru a obține o securitate maximă.Acest lucru poate rupe multe aplicații, în special cele vechi. Dacă aplicațiile încep să funcționeze necorespunzător, puteți reveni la setările implicite sau puteți crea reguli de renunțare pentru aplicații.
Pentru a crea o regulă de renunțare, faceți clic dreapta pe un proces și selectați Configure Process. Debifați tipul de protecție pe care doriți să-l renunțați - deci, dacă doriți să renunțați la sistemul ASLR la nivel de sistem, ar trebui să debifați casetele de selectare MandatoryASLR și BottomUpASLR pentru acest proces. Faceți clic pe OK pentru a salva regula.
Rețineți că am activat funcția "Always On" pentru DEP de mai sus, astfel încât să nu putem dezactiva DEP pentru niciun proces din fereastra Configurare aplicație de mai jos. Reguli de testare
în modul "Audit Only"
Dacă doriți să testați regulile EMET, dar nu doriți să rezolvați probleme, puteți activa modul "Audit only".Dați clic pe pictograma Aplicații din EMET pentru a accesa fereastra Configurare aplicație. Veți găsi o secțiune de acțiune prestabilită pe panglica din partea superioară a ecranului.În mod prestabilit, este setat la Stop on exploit - EMET va închide o aplicație în cazul în care încalcă o regulă.De asemenea, o puteți seta numai pentru Audit. Dacă o aplicație întrerupe una dintre regulile dvs. EMET, EMET va raporta problema și va permite ca aplicația să continue să ruleze.
Acest lucru elimină în mod evident avantajele de securitate ale rularii EMET, dar este o modalitate bună de a testa regulile înainte de a pune EMET înapoi în modul "Opriți în exploatare".Reguli de export și import
Odată ce ați creat și testat regulile dvs., asigurați-vă că utilizați butonul Exportați sau Exportați selectat pentru a exporta regulile dvs. într-un fișier. Apoi, puteți să le importați pe orice alt computer pe care îl utilizați și să obțineți aceleași protecții de securitate fără a mai fi nevoie de mai multă informație.
Pentru rețele corporative, regulile EMET și EMET în sine pot fi implementate prin intermediul politicii de grup.
Niciuna dintre acestea nu este obligatorie. Dacă sunteți un utilizator de acasă care nu dorește să se ocupe de acest lucru, nu ezitați să instalați EMET și să respectați setările implicite recomandate.
