Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, er en valgfrie laste ned for alle støttede klient og server versjoner av Microsoft Windows operativsystem som legger utnytte avbøtende til systemet forsvar.
I utgangspunktet, det har blitt designet for å forhindre angrep fra gjennomføres vellykket hvis de har brutt system forsvar for eksempel antivirus løsninger allerede.
EMET er lett å installere og kjører ut av boksen”, men for å få mest mulig ut av programmet, må du bruke tid på å få vite det, og konfigurere den.
Denne artikkelen gir deg tips om hvordan du kan få mest mulig ut av EMET.
1. Beskytter viktige prosesser
EMET beskytter core Microsoft og en håndfull av tredjeparter behandler kun etter installasjon. Mens de som tar seg av programmer som Java, Adobe Acrobat reader, Internet Explorer eller Excel, det vil ikke beskytte programmer som du har installert manuelt, for eksempel Firefox, Skype eller Chrome.
Mens det er teoretisk mulig å legge til alle dine programmer for å EMET, kan du vurdere å legge til bare høy-risiko programmer til programmet i stedet.
Høy-risiko programmer? En kort definisjon av en høy-risiko programmet er at det er enten utnyttet regelmessig (for eksempel Internet Explorer), i stand til å utføre filer lastet ned fra Internett (nettleser, e-postklient), eller butikker verdifulle data for deg (f.eks. kryptering programvare).
Dette ville gjøre Firefox og Thunderbird høy verdi mål og Notisblokk, Minesveiper og Maling ikke.
For å legge til programmer til EMET beskyttelse liste
- Åpne EMET på systemet.
- Du finner en liste over prosesser som kjører i det grensesnittet. Hvis programmet du ønsker å beskytte er ikke kjører, starter du den på PC-en.
- Høyre-klikk på sin prosessen etterpå, og velg “konfigurer prosessen” fra hurtigmenyen.
- Dette legger til det valgte prosess for å EMET et program fra listen.
- Velg greit etterpå for å lagre valget og starte programmet på nytt, du har bare lagt til EMET.
Tips: Det er sterkt anbefalt å teste hver søknad individuelt før du begynner å legge til flere prosesser for å EMET. Et program er kanskje ikke kompatible med alle utnytte avbøtende teknikker som EMET tilbyr.
2. Debugging prosessene ikke fungerer som den skal
Sjansen er ganske stor for at du vil støte på problemer når du legger til programmer for å EMET. Noen programmer kan nekte å starte helt, mens andre kan åpne og lukke umiddelbart etter at de har vært i gang.
Dette er vanligvis tilfelle når ett eller flere tiltakene er ikke kompatible med den prosessen. Det største problemet her er at du vil ikke motta informasjon som avbøtende forårsaket problemet.
Kontroller at det er et problem
En av de enklere måter å bekrefte at noe ikke fungerer riktig, er å sjekke for EMET oppføringer i Windows Event log.
- Trykk på Windows-tasten, type event viewer og trykk enter.
- Du finner EMET oppføringer under Event Viewer (lokale) > Windows-Logger > Program.
Jeg foreslår at du sortere etter Dato og Klokkeslett, og se etter “Application Error” som kilde. Du bør finne EMET.DLL oppført som er kilden til problemet under Generelt når du velger en av oppføringer.
Tydeligvis, du kan også fjerne all beskyttelse for programmet i EMET og kjøre den på nytt for å se om det løser problemet.
Utbedring av problemet
Den eneste surefire måte å håndheve kompatibilitet med Microsoft EMET er prøving og feiling. Åpne beskyttet programmer notering igjen i EMET, deaktivere beskyttelse av alle bilder, og begynner å slå dem på igjen, en etter en.
Prøv å kjøre programmet etter hvert bytte for å se om det fungerer. Hvis den gjør det, må du gjenta prosessen ved å bytte om på de neste klimatiltak i linje til du kommer til en som hindrer programmet i å starte opp.
Deaktiver at avbøtende igjen og fortsett prosessen til du har gjort alle tiltakene som er kompatible med den valgte programvaren.
Google Chrome for eksempel sviktet i å begynne å bruke standard-tiltakene som er valgt for nye prosesser. Jeg oppdaget at det bare avbøtende nettleseren ikke var kompatibel med var EAF som jeg funksjonshemmede som en konsekvens.
3. System-wide regler
EMET skip med fire system-wide regler som du kan konfigurere i hovedgrensesnittet. Sertifikat Låsing, Data Execution Prevention og Strukturert Unntak Handler Overskrive-Beskyttelse er aktivert som system-wide regler mens Address Space Layout Randomization er satt til “opt-in” i stedet.
Dette betyr at du må aktivere regelen for hvert program du vil beskyttet av det. Du kan endre statusen for disse system bredt regler, for eksempel ved å håndheve opt-in regel system-wide, så vel.
Dette kan imidlertid føre til problemer med programmer som kjører på systemet. Siden det er bruk for alle programmer når den er aktivert, kan det hende du ønsker å overvåke systemet tett og gå tilbake til opt-in hvis du oppdager problemer som starter eller kjører programmer på maskinen.
4. Regelen import og eksport
Konfigurere programmer i EMET slik at de er beskyttet av programmet tar en stund på grunn av problemene som er skissert ovenfor.
Gode nyheten er at du ikke trenger å gjenta prosessen på andre Pc-er som du administrerer, som du kan bruke EMET import og eksport funksjon for det.
Tips: EMET leveres med et sett av ekstra regler som brukere kan legge til programmet. For å få tilgang til disse velg importer i EMET og deretter ett av følgende:
- CertTrust – EMET standard config av Sertifikat Tillit Låsing for MS og 3. parts online tjenester
- Populære Software – Gjør det mulig beskyttelse for felles programvare som for eksempel Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
- Anbefalt Programvare – Gjør det mulig beskyttelse for minimal anbefalte programvare som for eksempel Internet Explorer, Microsof Office, Adobe Acrobat Reader og Java
Alternativ 3 er standard valget som blir lagt inn automatisk. Du kan legge til andre populære programmer for å EMET automatisk ved å importere den Populære Programvaren regler.
Regelen migrasjon og politikk
For å eksportere regler velg eksporter-knappen i EMET viktigste grensesnittet. Velg et navn for xml-filen i dialogboksen lagre og et sted.
Disse reglene kan deretter importeres til andre systemer, eller holdes som en ekstra sikkerhet på den aktuelle maskinen.
Siden reglene er lagret som XML-filer, kan du redigere dem manuelt i tillegg.
Administratorer kan bruke gruppepolicy direktiver på systemer som godt. Den adml/admx-filer er en del av EMET installasjon og kan bli funnet under Distribusjon/Group Policy-Filer etter installasjon.