Das Microsoft Enhanced Mitigation Experience Toolkit, kurz EMET, ist ein optionaler download für alle unterstützten client-und server-Versionen von Microsoft Windows-Betriebssystem, fügt exploit-mitigation-an das system Abwehrkräfte.
Im Grunde ist es entworfen wurde, um zu verhindern, dass Angriffe von nicht erfolgreich durchgeführt werden, wenn Sie verletzt haben, system Abwehrmechanismen wie antivirus-Lösungen bereits.
EMET ist einfach zu installieren und läuft out of the box, aber um das beste aus dem Programm ist, müssen Sie verbringen Sie Zeit kennen zu lernen und zu konfigurieren.
Dieser Artikel gibt Ihnen Tipps, wie Sie das beste aus EMET.
1. Schutz von wichtigen Prozessen
EMET schützt core Microsoft und eine Handvoll third-party-Prozesse, die nur nach der installation. Während, der kümmert sich um Programme wie Java, Adobe Acrobat, Internet Explorer oder Excel, es wird nicht schützen Sie Programme, die Sie manuell installiert, wie Firefox, Skype oder Chrome.
Es ist zwar theoretisch möglich, fügen Sie alle Ihre Programme zu EMET, möchten Sie vielleicht zu prüfen, indem nur hoch-Risiko-Programme, um die Anwendung statt.
High-risk-Programme? Eine kurze definition eines high-risk-Programms ist, dass es entweder regelmäßig genutzt (z.B. Internet Explorer), der fähig ist, die Ausführung von heruntergeladenen Dateien aus dem Internet (web-browser, E-Mail-client), oder speichert Sie wertvolle Daten für Sie (z.B. Verschlüsselungssoftware).
Damit wäre Firefox, Chrome und Thunderbird high-value-targets und der Editor, Minesweeper und Farbe nicht.
Anwendungen hinzufügen-EMET-Schutz-Liste
- Öffnen Sie das EMET auf dem system.
- Sie finden eine Liste der Laufenden Prozesse in der Schnittstelle. Wenn das Programm, das Sie schützen möchten, nicht ausgeführt wird, starten Sie es auf dem PC.
- Rechtsklick auf den Prozess hinterher, und wählen Sie “configure” aus dem Kontextmenü.
- Dies fügt den ausgewählten Prozess zu EMET – Anwendung Liste.
- Wählen Sie okay danach um die Auswahl zu speichern und starten Sie das Programm, das Sie gerade Hinzugefügt EMET.
Tipp: Es wird dringend empfohlen, um zu testen Sie jede Anwendung einzeln, bevor Sie beginnen, fügen Sie weitere Prozesse zu EMET. Ein Programm wird möglicherweise nicht kompatibel mit allen exploit-mitigation-Techniken, die EMET bietet.
2. Debugging fehlerhafte Prozesse
Die chance ist ziemlich hoch, dass Sie die Probleme nach dem hinzufügen von Programmen zu EMET. Einige Programme verweigern den start völlig, während andere möglicherweise öffnen und schließen sofort, nachdem Sie gestartet wurden.
Dies ist normalerweise der Fall, wenn ein oder mehrere Schadensbegrenzende Maßnahmen sind nicht kompatibel mit dem Prozess. Das Hauptproblem hier ist, dass Sie nicht erhalten die Informationen, die Milderung das problem verursacht.
Stellen Sie sicher, dass es ein problem gibt
Eine der einfachsten Möglichkeiten, um zu überprüfen, dass etwas nicht richtig funktioniert, ist zu prüfen, für EMET-Einträge im Windows-Ereignisprotokoll.
- Tippen Sie auf die Windows-Taste, geben Sie die Ereignisanzeige, und drücken Sie die EINGABETASTE.
- Sie finden EMET Einträge unter ” Ereignisanzeige (lokal) > Windows-Protokolle > Anwendung.
Ich schlage vor, Sie Sortieren Sie nach Datum und Zeit, und suchen Sie nach “Application Error” als Quelle. Sie finden sollte EMET.DLL aufgeführt als die Ursache des Problems unter Allgemeinen, wenn Sie einen der log-Einträge.
Natürlich können Sie auch entfernen Sie alle Schutz für die Anwendung in EMET und führen Sie Sie erneut, um zu sehen, ob es das Problem behebt.
Korrigiert das Problem
Die einzige todsichere Methode, mit der Durchsetzung Ihrer Kompatibilität mit Microsoft EMET-Versuch und Irrtum. Öffnen Sie die geschützte Anwendungen listing wieder in EMET, deaktivieren Sie alle Schutzmaßnahmen, und drehen Sie Sie wieder ein.
Führen Sie das Programm nach jedem Schalter, um zu sehen, ob es funktioniert. Wenn es funktioniert, wiederholen Sie den Vorgang, durch den Wechsel auf die nächste Abschwächung in der Linie, bis Sie zu einem kommen, die verhindert, dass das Programm gestartet wird.
Deaktivieren Sie den Klimaschutz wieder und den Prozess fortsetzen, bis Sie aktiviert haben, werden alle schadensbegrenzenden Maßnahmen, die kompatibel sind mit der ausgewählten software.
Google Chrome zum Beispiel Fehler beim start mit der Standard-Schutzmaßnahmen ausgewählt, die für neue Prozesse. Ich entdeckte, dass die einzige Milderung, die browser sind nicht kompatibel war, EAF, die ich deaktiviert, als Folge.
3. System-weite Regeln
EMET Schiffe mit vier system-weite Regeln, die Sie konfigurieren können, in der Haupt-Schnittstelle. Zertifikat-Pinning, Data Execution Prävention und Structured Exception Handler Overwrite Protection aktiviert sind system-weiten Regeln während Address Space Layout Randomization setzen des opt-in statt.
Dies bedeutet, dass Sie brauchen, um die Regel zu aktivieren, für jede Anwendung, die Sie wollen, geschützt durch ihn. Sie können den status ändern, die von diesen system-weite Regeln, zum Beispiel durch die Durchsetzung der opt-in-Regel-system-weit als gut.
Dies kann jedoch zu Problemen mit Programmen auf dem system laufen. Da es erzwungen ist für alle Programme aktiviert, die Sie möchten möglicherweise überwachen das system aufmerksam, und wechseln Sie wieder zu einem opt-in, wenn Sie bemerken, Probleme starten oder ausführen von Anwendungen auf der Maschine.
4. Regel importieren und exportieren
Konfiguration von Programmen in EMET, so dass Sie geschützt sind durch die Anwendung dauert eine Weile, weil die genannten Probleme.
Die gute Nachricht ist, dass Sie brauchen nicht zu wiederholen Sie den Vorgang auf anderen PCs, die Sie verwalten, wie Sie können, verwenden Sie EMET import-und export-Funktion für diese.
Tipp: EMET Schiffe mit einer Reihe von zusätzlichen Regeln, die der Benutzer hinzufügen können, auf dem Programm. Der Zugriff auf diese importieren wählen Sie in EMET und dann eine der folgenden:
- CertTrust – EMET-default-config des Zertifikats Vertrauen Pinning für MS und 3rd-party-online-Dienste
- Beliebte Software – Ermöglicht den Schutz für gängige software wie der Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
- Empfohlene Software – Ermöglicht den Schutz für minimale empfohlene software wie Internet Explorer, Drucktaste ” Microsoft Office, Adobe Acrobat Reader und Java
Option 3 ist die Standard-option, wird automatisch geladen. Sie können hinzufügen, andere populäre Programme zu EMET automatisch durch den Import der Beliebten Software Regeln.
Regel migration und Politik
Zu Regeln exportieren wählen Sie die Schaltfläche export in EMET die wichtigste Schnittstelle. Wählen Sie einen Namen für die xml-Datei im speichern-dialog und einen Ort.
Dieser Satz von Regeln kann dann importiert werden, die auf anderen Systemen oder gehalten werden als Schutz auf der aktuellen Maschine.
Da die Regeln werden als XML-Dateien gespeichert, Sie können Bearbeiten Sie Sie manuell.
Administratoren können Gruppenrichtlinien Richtlinien über die Systeme als auch. Die adml/admx-Dateien sind Teil des EMET-installation und befindet sich unter Deployment/Gruppenrichtlinien-Dateien nach der installation.