Tipy pro pokročilé nástroje Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Kategorie: Výukové Programy

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Microsoft Enhanced Mitigation Experience Toolkit, krátký EMET, je volitelné stažení pro všechny podporované klientské a serverové verze operačního systému Microsoft Windows, které přidává zmírnění zneužití k obraně systému.

V zásadě byl navržen tak, aby zabránil úspěšnému provedení útoků, pokud již porušily systémové obrany, jako jsou antivirová řešení.

EMITS je snadná instalace a běží mimo krabici, ale abyste z programu dostali maximum, musíte trávit čas poznáváním a konfigurací.

Tento článek obsahuje tipy, jak co nejlépe využít EMET.

1. Ochrana důležitých procesů

EMET chrání jádro společnosti Microsoft a několik procesů třetích stran až po instalaci. Přestože se stará o programy jako Java, Adobe Acrobat, Internet Explorer nebo Excel, nechrání to programy, které jste nainstalovali ručně, jako je Firefox, Skype nebo Chrome.

I když je teoreticky možné do EMET přidat všechny své programy, můžete do aplikace namísto toho zvážit přidání pouze vysoce rizikových programů.

Vysoce rizikové programy? Krátká definice vysoce rizikového programu je taková, že je využívána pravidelně (např. Internet Explorer), je schopna provádět soubory stahované z Internetu (webový prohlížeč, e-mailový klient), nebo pro vás ukládá cenná data (např. Šifrovací software).

To by učinilo Firefox, Chrome a Thunderbird vysoce hodnotnými cíli a Poznámkový blok, Minolovka a Malování ne.

Přidání aplikací do seznamu ochrany EMET

1. Otevřete v systému EMET.
2. V rozhraní najdete seznam běžících procesů. Pokud program, který chcete chránit, není spuštěn, spusťte jej na PC.
3. Poté klikněte pravým tlačítkem myši na jeho proces a v kontextové nabídce vyberte příkaz „nakonfigurovat proces“.
4. Tímto se přidá vybraný proces do seznamu aplikací společnosti EMET.
5. Poté výběr potvrďte výběrem a restartujte program, který jste právě přidali do EMET.

Spropitné : Důrazně se doporučuje testovat každou aplikaci zvlášť, než začnete do EMET přidávat další procesy. Program nemusí být kompatibilní se všemi technikami zmírňování zneužití, které EMET nabízí.

2. Ladění chybných procesů

Šance je poměrně vysoká, že po přidání programů do EMETu narazíte na problémy. Některé programy mohou odmítnout spustit úplně, zatímco jiné se mohou otevřít a zavřít ihned po jejich spuštění.

To je obvykle případ, kdy jedno nebo více zmírnění není s procesem kompatibilní. Hlavní problém zde je, že nebudete dostávat informace, které zmírnění způsobilo problém.

Ověřte, že se jedná o problém

Jedním z jednodušších způsobů, jak ověřit, že něco nefunguje, je zkontrolovat položky EMET v protokolu událostí systému Windows.

1. Klepněte na klíč Windows, zadejte prohlížeč událostí a stiskněte Enter.
2. Položky EMET najdete pod Prohlížečem událostí (místní)> Protokoly Windows> Aplikace.

Doporučuji třídit podle data a času a jako zdroj hledat „Chyba aplikace“. Měli byste najít EMET.DLL uvedený jako zdroj problému v části Obecné, když vyberete jednu z položek protokolu.

Samozřejmě byste také mohli odstranit všechny ochrany aplikace v EMET a spustit ji znovu, abyste zjistili, zda problém vyřeší.

Oprava problému

Jediným spolehlivým způsobem, jak vynutit kompatibilitu s Microsoft EMET, je pokus a omyl. V EMETu znovu otevřete seznam chráněných aplikací, vypněte všechny ochrany a postupně je znovu zapněte.

Pokuste se spustit program po každém přepnutí, abyste zjistili, zda funguje. Pokud ano, opakujte tento postup tak, že zapnete další zmírnění v řadě, dokud nenajdete ten, který zabrání spuštění programu.

Zakažte toto zmírnění znovu a pokračujte v procesu, dokud nepovolíte všechna omezení, která jsou kompatibilní s vybraným softwarem.

Google Chrome například nepodařilo začít používat výchozí mitigace vybrané pro nové procesy. Zjistil jsem, že jediné zmírnění, s nímž prohlížeč není kompatibilní, bylo EAF, které jsem v důsledku toho deaktivoval.

3. Pravidla pro celý systém

EMET je dodáván se čtyřmi systémovými pravidly, která můžete konfigurovat v hlavním rozhraní. Připínání certifikátů, prevence spuštění dat a ochrana proti přepsání popisovače strukturovaných výjimek jsou povoleny jako pravidla celého systému, zatímco místo toho je náhodně nastaveno randomizace rozložení adresového prostoru.

To znamená, že musíte povolit pravidlo pro každou aplikaci, kterou chcete chránit. Stav těchto pravidel pro celý systém můžete změnit, například vynucením pravidla pro přihlášení v celém systému.

To však může způsobit problémy s programy spuštěnými v systému. Vzhledem k tomu, že je vynucován u všech programů, když je povoleno, můžete chtít systém pečlivě sledovat a přepnout zpět na přihlášení, pokud si všimnete problémů se spuštěním nebo spuštěním aplikací na počítači.

4. Import a export pravidel

Konfigurace programů v EMET tak, aby byly chráněny aplikací, trvá kvůli problémům uvedeným výše.

Dobrou zprávou je, že tento proces nemusíte opakovat na jiných počítačích, které spravujete, protože k tomu můžete použít funkci importu a exportu EMET.

Spropitné : EMET je dodáván se sadou dalších pravidel, která mohou uživatelé přidat do programu. Chcete-li přistupovat k těm, vyberte import v EMET a poté jeden z následujících:

1. CertTrust - výchozí konfigurace EMET pro kódování důvěryhodnosti certifikátů pro MS a online služby třetích stran
2. Populární software - Umožňuje ochranu běžného softwaru, jako je Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Doporučený software - Umožňuje ochranu minimálního doporučeného softwaru, jako je Internet Explorer, Microsof Office, Adobe Acrobat Reader a Java

Možnost 3 je výchozí možnost, která se načte automaticky. Další oblíbené programy můžete do EMET přidat automaticky importem pravidel populárního softwaru.

Pravidla migrace a politiky

Chcete-li exportovat pravidla, vyberte tlačítko exportu v hlavním rozhraní EMET. Vyberte název souboru xml v dialogovém okně uložení a umístění.

Tato sada pravidel pak může být importována do jiných systémů nebo zachována jako ochrana aktuálního počítače.

Protože pravidla jsou uložena jako soubory XML, můžete je také upravovat ručně.

Administrátoři mohou také implementovat směrnice skupinových zásad na systémy. Soubory adml / admx jsou součástí instalace EMET a lze je nalézt po instalaci v části Nasazení / Soubory zásad skupiny.