Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, er en valgfri download for alle understøttede klient-og server-versioner af Microsofts Windows-operativsystem, der tilføjer udnytte modvirkning af systemets forsvar.
Dybest set, det er designet til at forhindre angreb fra gennemføres med succes, hvis de har overtrådt system forsvar såsom antivirus-løsninger, der allerede er.
EMET er nemt at installere og kører ud af kassen, men for at få mest ud af programmet, er du nødt til at bruge tid på at få at vide, at det og konfigurere den.
Denne artikel giver dig tip om, hvordan du får mest ud af EMET.
1. Beskyttelse af vigtige processer
EMET beskytter kernefil i Microsoft og en håndfuld af tredjeparts-processer kun efter installation. Mens der tager sig af programmer som Java, Adobe Acrobat, Internet Explorer, Excel, vil det ikke beskytte de programmer, du har installeret manuelt, såsom Firefox, Skype eller Chrome.
Selvom det er teoretisk muligt at tilføje alle dine programmer til at EMET, kan du overveje at tilføje kun høj-risiko-programmer til anvendelse i stedet.
Høj-risiko-programmer? En kort definition af høj-risiko-program er, at det er enten udnyttet regelmæssigt (fx Internet Explorer), i stand til at udføre filer, der er downloadet fra Internettet (web-browser, e-mail-klient), eller gemmer værdifulde data for dig (fx kryptering software).
Dette ville gøre Firefox, Chrome og Thunderbird høj værdi mål og Notesblok, Minestryger og Maling ikke.
For at tilføje programmer til EMET beskyttelse liste
- Åben EMET på systemet.
- Du finder en liste over kørende processer i grænsefladen. Hvis det program, du ønsker at beskytte, er det ikke kører, skal du starte det på PC ‘ en.
- Højreklik på sin proces bagefter, og vælg “indstil-processen” fra kontekstmenuen.
- Dette tilføjer den valgte proces at EMET ansøgning liste.
- Vælg okay bagefter for at gemme valget og genstarte det program, du lige har tilføjet, at EMET.
Tip: Det er stærkt antydet, at teste hver enkelt ansøgning, før du begynder at tilføje flere processer til at EMET. Et program er muligvis ikke kompatible med alle udnytte risikoreducerende teknikker, som EMET tilbyder.
2. Debugging processer, der ikke makker ret
Chancen er ret stor, at du vil støde på problemer efter tilføjelse af programmer til at EMET. Nogle programmer kan nægte at starte helt, mens andre kan åbne og lukke straks, efter at de har været i gang.
Dette er normalt tilfældet, når en eller flere afhjælpninger er ikke kompatibel med den proces. Det vigtigste spørgsmål her er, at du ikke vil modtage oplysninger, som afbødning forårsaget problemet.
Kontroller, at der er et problem
En af de nemmere måder at kontrollere, at noget ikke fungerer rigtigt, er at tjekke for EMET poster i Windows Event log.
- Tryk på Windows-tasten, skrive logbog, og tryk på enter.
- Du finder EMET poster under Event Viewer (lokale) > Windows-Logger > Ansøgning.
Jeg foreslår, at du sortere efter Dato og Tid, og se efter “Application Error” som kilde. Du skal finde EMET.DLL der er anført som kilde til spørgsmål i Almindelighed, når du vælger en af posterne i logfilen.
Naturligvis, du kan også fjerne alle beskyttelser for anvendelse i EMET og køre det igen for at se, om det løser problemet.
Korrigering af problemet
Den kun rabiat måde at håndhæve kompatibilitet med Microsoft EMET er trial and error. Åbne beskyttede programmer listen igen i EMET, slukke for alle beskyttelser, og begynder at dreje dem på igen én efter én.
Prøv at køre programmet efter hvert skifte til se, hvis det virker. Hvis det sker, skal du gentage processen ved at tænde den næste reduktion i linjen, indtil du kommer til en, der forhindrer programmet i at starte op.
Deaktiver der afbødning af igen, og fortsæt processen, indtil du har aktiveret alle afhjælpninger, der er kompatible med den valgte software.
Google Chrome eksempelvis undladt at begynde at bruge standard afhjælpninger, der er valgt for nye processer. Jeg opdagede, at den eneste afhjælpning browseren ikke var forenelig med, var EAF, som jeg har deaktiveret som følge heraf.
3. System-regler
EMET skibe med fire system-regler, du kan konfigurere i de vigtigste interface. Certifikat-Pinning, Data Execution Prevention og Structured Exception Handler Overskrive Beskyttelse er aktiveret som system-regler, mens Address Space Layout Randomization er indstillet til ” opt-in i stedet.
Dette betyder, at du skal sætte reglen for hvert program, du ønsker beskyttet af det. Du kan ændre status for disse regler, for eksempel ved at håndhæve en opt-i reglen-systemet så godt.
Dette kan dog give problemer med programmer, der kører på systemet. Da det er tvungen for alle programmer, når den er aktiveret, kan du ønsker at overvåge systemet nøje, og skifte tilbage til opt-in, hvis du bemærker problemer, starte eller køre programmer på maskinen.
4. Reglen import og eksport
Konfiguration af programmer i EMET, så de er beskyttet af programmet tager et stykke tid på grund af de problemer, der er skitseret ovenfor.
En god nyhed er, at du ikke behøver at gentage processen på de andre Pc ‘er, som du administrerer, som du kan bruge EMET’ s import og eksport funktion til det.
Tip: EMET skibe med et sæt ekstra regler, som brugerne kan føje til programmet. For at få adgang til dem, skal du vælge importer i EMET, og vælg derefter en af følgende:
- CertTrust – EMET standard config af Certificate Trust-Pinning for MS og 3rd party online-tjenester
- Populære Software – Giver beskyttelse for fælles software, såsom Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
- Anbefalede Software – Giver beskyttelse for minimal anbefalede software såsom Internet Explorer, Microsof Office, Adobe Acrobat Reader, og Java
Mulighed 3 er standardindstillingen, der indlæses automatisk. Du kan tilføje andre populære programmer til at EMET automatisk ved at importere den Populære Software regler.
Reglen migration og politik
For at eksportere regler, vælg knappen eksporter i EMET vigtigste interface. Pick et navn til den xml-fil i dialogboksen gem og en placering.
Dette sæt af regler, som derefter kan importeres i andre systemer, eller holdt som en sikkerhedsforanstaltning på den aktuelle maskine.
Da regler, der er gemt som XML-filer, kan du redigere dem manuelt, så godt.
Administratorer kan bruge gruppepolitik direktiver om systemer samt. Adml/admx filer er en del af EMET installation og kan findes under Installation/Group Policy-Filer efter installationen.