Microsoft Enhanced Mitigation Experience Toolkit, breve EMET, è un download facoltativo per tutti supportati nelle versioni client e server di Microsoft del sistema operativo Windows che aggiunge sfruttare mitigazione per le difese del sistema.
Fondamentalmente, è stato progettato per prevenire gli attacchi vengano svolte correttamente se hanno violato il sistema di difese come antivirus soluzioni già.
EMET è facile da installare e funziona out of the box, ma per ottenere il massimo dal programma, è necessario spendere tempo per conoscere e configurandolo.
Questo articolo fornisce suggerimenti su come rendere la maggior parte di EMET.
1. Proteggere importanti processi
EMET protegge il core di Microsoft e una manciata di terze parti processi solo dopo l’installazione. Mentre che si occupa di programmi come Java, Adobe Acrobat, Internet Explorer o in Excel, non proteggere i programmi che hai installato manualmente, quali Firefox, Skype o google Chrome.
Mentre è teoricamente possibile aggiungere tutti i vostri programmi di EMET, si potrebbe voler prendere in considerazione l’aggiunta solo ad alto rischio, i programmi per l’applicazione, invece.
Ad alto rischio, i programmi? Una breve definizione di alto rischio di programma è che non è sfruttato regolarmente (ad esempio Internet Explorer), in grado di eseguire i file scaricati da Internet (web browser, client di posta elettronica), o negozi di dati importanti per voi (ad esempio, software di cifratura).
Questo renderebbe Firefox, Chrome e Thunderbird obiettivi di alto valore e il blocco note, Dragamine e Vernice.
Per aggiungere applicazioni a PROBLEMI di protezione dell’elenco
- Aprire EMET sul sistema.
- È possibile trovare un elenco dei processi in esecuzione nell’interfaccia. Se il programma che si desidera proteggere non è in esecuzione, avviare il PC.
- Fai clic destro sul processo e poi selezionare “configura il processo” dal menu contestuale.
- Questo aggiunge il processo selezionato per EMET applicazione dell’elenco.
- Selezionare ok poi per salvare la selezione e riavviare il programma che avete appena aggiunto per EMET.
Suggerimento: è altamente consigliato per testare ogni applicazione individuale prima di iniziare ad aggiungere ulteriori processi di EMET. Un programma potrebbe non essere compatibile con tutte sfruttare tecniche di mitigazione che EMET offre.
2. Il debug funziona in modo anomalo processi
La probabilità è piuttosto alta che si verificano problemi dopo l’aggiunta di programmi di EMET. Alcuni programmi potrebbero non partire del tutto, mentre altri possono aprire e chiudere, subito dopo che sono stati avviati.
Questo è di solito il caso in cui uno o più fattori attenuanti non sono compatibili con il processo. Il problema principale qui è che non riceverete informazioni di mitigazione che ha causato il problema.
Verificare che c’è un problema
Uno dei modi più semplici per verificare che c’è qualcosa che proprio non funziona è quello di verificare per EMET non valide nel registro Eventi di Windows.
- Toccare il tasto di Windows, digitare il visualizzatore eventi e premi invio.
- Si trova EMET voci in Visualizzatore Eventi (locali) > Registri di Windows > Applicazione.
Vi suggerisco di ordinare per Data e Ora, e cercare di “Errore di Applicazione” come sorgente. Si dovrebbe trovare EMET.DLL indicato come l’origine del problema in Generale quando si seleziona una delle voci di registro.
Ovviamente, si potrebbe anche rimuovere tutte le protezioni per l’applicazione di EMET e correre di nuovo per vedere se si risolve il problema.
Correggere il problema
L’unico modo sicuro di far rispettare la compatibilità con Microsoft EMET è prova ed errore. Aprire le applicazioni protette quotazione di nuovo in EMET, disattivare tutte le protezioni, e iniziare a girare di nuovo uno per uno.
Provare a eseguire il programma dopo ogni interruttore per vedere se funziona. Se persiste, ripetere il processo con l’accensione successiva attenuazione di linea fino ad arrivare a quella che impedisce l’avvio del programma.
Disattivare la mitigazione di nuovo e continuare il processo fino a quando hai attivato tutte le attenuazioni che sono compatibili con il software selezionato.
Google Chrome, per esempio, non è riuscito a iniziare a utilizzare le strategie di riduzione del rischio di default selezionato per i nuovi processi. Ho scoperto che l’unico mitigazione del browser non è compatibile con EAF che ho disabilitato come conseguenza.
3. Sistema di regole a livello di
EMET navi con quattro a livello di sistema di regole che è possibile configurare l’interfaccia principale. Certificato di Pinning, Prevenzione dell’Esecuzione dei Dati e Structured Exception Handler di Protezione da Sovrascrittura sono abilitato come sistema di regole a livello mentre Address Space Layout Randomization) è impostato su ” opt-in, invece.
Questo significa che è necessario per attivare la regola per ogni applicazione che si desidera proteggere. Si può cambiare lo stato di questi a livello di sistema di regole, per esempio applicando l’opt-in regola a livello di sistema.
Questo, tuttavia, può causare problemi con i programmi in esecuzione sul sistema. Dal momento che si è imposto per tutti i programmi quando è abilitata, è possibile che si desidera monitorare il sistema da vicino e tornare a opt-in, se si notano problemi di avvio o le applicazioni in esecuzione sulla macchina.
4. Regola l’importazione e l’esportazione di
Configurazione di programmi in EMET in modo che siano tutelati mediante l’applicazione prende un po ‘ a causa dei problemi descritti sopra.
La buona notizia è che non è necessario ripetere il processo su un altro Pc che si gestisce, come si può utilizzare EMET la funzionalità di importazione ed esportazione.
Suggerimento: EMET viene fornito con un set di extra regole che gli utenti possono aggiungere al programma. Per accedere a tali selezionare importa in EMET e quindi una delle seguenti operazioni:
- CertTrust – EMET configurazione di default di Attendibilità del Certificato di Pinning per MS e 3 ° partito di servizi online
- Popolare Software Consente di protezioni per i software più comuni, come Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
- Raccomandato Software Consente di protezioni per il minimo raccomandato software come Internet Explorer, Microsoft Office, Adobe Acrobat Reader e Java
L’opzione 3 è l’opzione di default che viene caricato automaticamente. È possibile aggiungere altri popolari programmi di EMET automaticamente importando il Popolare Software di regole.
Regola la migrazione e politiche
Per le regole di esportazione selezionare il pulsante esporta in EMET interfaccia principale. Scegliere un nome per il file xml nella finestra di dialogo salva una posizione.
Questo insieme di regole che possono poi essere importati in altri sistemi, o come misura di sicurezza sulla macchina attuale.
Visto che le regole vengono salvati come file XML, è possibile modificare manualmente.
Gli amministratori possono implementare Criteri di Gruppo direttive sui sistemi. Il adml/file admx sono parte di EMET installazione e può essere trovato in/Distribuzione di File di Criteri di Gruppo dopo l’installazione.