Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, är ett tillval att ladda ner för alla som stöds klient och server versioner av Microsofts operativsystem Windows som lägger utnyttja begränsning till systemets försvar.
I grund och botten, den har utformats för att förhindra att attentat genomförs framgångsrikt om de har brutit mot systemet försvar såsom antivirus lösningar redan.
EMET är lätt att installera och går ut i rutan, men för att få ut det mesta av programmet, du måste spendera tid på att lära känna det och konfigurera det.
Denna artikel ger dig tips om hur man gör det mesta av EMET.
1. Skydda viktiga processer
EMET skyddar kärnan Microsoft och en handfull av tredje part behandlar endast efter installationen. Samtidigt som tar hand om program som Java, Adobe Acrobat reader, Internet Explorer eller Excel, kommer det inte att skydda program som du har installerat manuellt såsom Firefox, Skype eller Krom.
Även om det är teoretiskt möjligt att lägga till alla dina program att EMET, du kanske vill överväga att lägga till endast hög-risk-program till program istället.
Hög-risk-program? En kort definition av en high-risk-programmet är att det är antingen utnyttjas regelbundet (t ex Internet Explorer), som kan utföra filer som hämtats från Internet (webbläsare, e-postklient), eller butiker värdefulla data för dig (t ex krypteringsprogram).
Detta skulle göra Firefox, Chrome och mozilla Thunderbird och high-value targets och Anteckningar, Röj och Måla inte.
För att lägga till applikationer till EMET skydd lista
- Öppna EMET på systemet.
- Du hittar en lista över processer som körs i gränssnittet. Om programmet som du vill skydda är inte körs ska du starta den på DATORN.
- Högerklicka på dess process efteråt och välj “konfigurera processen” från snabbmenyn.
- Detta lägger till den valda processen att EMET: s program listan.
- Välj okej efteråt för att spara valet och starta det program som du just har lagt till EMET.
Tips: Det är mycket rekommenderat att testa varje ansökan individuellt innan du börjar lägga till fler processer för att EMET. Ett program är eventuellt inte kompatibla med alla utnyttja riskreducerande tekniker som EMET erbjuder.
2. Felsökning missköter processer
Chansen är ganska stor att du kommer att stöta på problem när du lägger till program till EMET. Vissa program kan vägra att starta helt och hållet, medan andra kan öppna och stänga omedelbart efter att de har varit igång.
Detta är vanligtvis fallet om en eller flera begränsande faktorer är inte kompatibel med den processen. Den viktigaste frågan här är att du inte får information som begränsning som orsakat problemet.
Kontrollera att det finns ett problem
Ett av de enklare sätten att kontrollera att något inte fungerar är att kontrollera för EMET poster i händelseloggen i Windows.
- Tryck på Windows-tangenten, skriv i loggboken och tryck enter.
- Du hittar EMET poster under loggboken (lokala) > Windows-Loggar > Ansökan.
Jag föreslår att du sortera efter Datum och Tid, och leta efter “Fel” som källa. Du bör hitta EMET.DLL anges som källa i frågan under Övrigt när du väljer något av loggposter.
Självklart kan du även ta bort alla skydd för tillämpning i EMET och köra den igen för att se om det löser problemet.
Korrigera problemet
Det enda bergsäker sättet att upprätthålla kompatibilitet med Microsoft EMET är trial and error. Öppna skyddade program notering igen i EMET, stänga av alla skydd, och börjar vända dem igen en efter en.
Försök att starta programmet efter varje switch för att se om det fungerar. Om den gör det, upprepa processen genom att slå på nästa begränsning i rad tills du kommer till en som förhindrar program från att starta upp.
Du kan inaktivera denna begränsning igen och fortsätt processen tills du har aktiverat alla mildrande åtgärder som är kompatibla med den valda programvaran.
Google Chrome till exempel misslyckats med att börja använda standard-mildrande åtgärder valda för nya processer. Jag upptäckte att den enda begränsning webbläsaren inte var förenligt med var EAF som jag funktionshindrade som följd.
3. System-regler
EMET fartyg med fyra system-regler som du kan konfigurera i det nationella gränssnittet. Intyg Nålning, Data Execution Prevention och Structured Exception Handler Skriva över Skyddet är aktiverat som system-regler medan Address Space Layout Randomisering är satt till opt-in istället.
Detta innebär att du behöver för att aktivera regeln för varje program du vill att skyddas av det. Du kan ändra status för dessa system regler, till exempel genom att opt-i regel-systemet.
Detta kan dock leda till problem med program som körs på systemet. Eftersom det är tvingande för alla program när den är aktiverad, kan du övervaka systemet noga och byta tillbaka till opt-in om du märker problem att starta eller program som körs på den maskinen.
4. Regel importera och exportera
Konfigurera program i EMET så att de är skyddade av ansökan tar ett tag på grund av de frågor som beskrivits ovan.
Goda nyheter är att du inte behöver upprepa proceduren på andra Datorer som du klarar av som du kan använda EMET: s import-och export-funktionen för detta.
Tips: EMET fartyg med en uppsättning extra regler som användare kan lägga till programmet. För att komma åt dem välj importera i EMET och sedan något av följande:
- CertTrust – EMET standard config för Certifikat Lita på Fastlåsning för MS och 3: e parts online-tjänster
- Populära Program – Gör det möjligt skydd för gemensamma program som Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
- Rekommenderas Software – Ger-skydd för minsta rekommenderade program som Internet Explorer, Microsof Office, Adobe Acrobat Reader och Java
Alternativ 3 är standardalternativet som kommer att laddas automatiskt. Du kan lägga till andra populära program för att EMET automatiskt genom att importera den Populära Programvaran regler.
Regeln om invandring och politik
För att exportera regler välj knappen exportera i EMET viktigaste gränssnittet. Plocka ett namn på xml-filen i dialogrutan spara och en plats.
Dessa regler kan sedan importeras till andra system, eller hållas som ett skydd på den aktuella maskinen.
Eftersom regler sparas som XML-filer, kan du ändra dem manuellt.
Administratörer kan använda grupprincip direktiv om system. Den adml/admx-filer är en del av EMET installation och kan hittas under Utbyggnad/grupprincip-Filer efter installation.