Setul de instrumente Enhanced Mitigation Experience Toolkit este cel mai bun secret de securitate al Microsoft. Este ușor să instalați EMET și să vă asigurați foarte repede multe aplicații populare, dar puteți face mai mult cu EMET.
EMET nu va apărea și vă va pune întrebări, deci este o soluție set-it-and-forget-it odată ce ați pus-o în scenă. Iată cum puteți asigura mai multe aplicații cu EMET și remediați-le dacă se rupe.
Dacă o aplicație face ceva ce nu acceptă regulile dvs. EMET, EMET va închide aplicația - aceasta este setarea implicită, oricum. EMET închide aplicațiile care se comportă într-un mod potențial nesigur, astfel încât nu pot apărea exploatări. Windows nu face acest lucru pentru toate aplicațiile în mod implicit, deoarece ar rupe compatibilitatea cu multe dintre vechile aplicații Windows utilizate astăzi.
Dacă o aplicație se întrerupe, aplicația se va închide imediat și veți vedea un pop-up din pictograma EMET din tava dvs. de sistem. Acesta va fi, de asemenea, scris în jurnalul de evenimente Windows - aceste opțiuni pot fi personalizate din caseta Raportare pe panglica din partea de sus a ferestrei EMET.
Versiunile pe 64 de biți ale sistemului de operare Windows sunt mai sigure deoarece au acces la funcții cum ar fi asignarea spațiului de adrese (ASLR). Nu toate aceste caracteristici vor fi disponibile dacă utilizați o versiune pe 32 de biți a Windows. La fel ca Windows, caracteristicile de securitate EMET sunt mai cuprinzătoare și mai utile pe PC-urile pe 64 de biți.
Probabil doriți să blocați anumite aplicații în locul întregului dvs. sistem. Concentrați-vă pe aplicațiile care sunt cel mai probabil compromise. Aceasta înseamnă browsere web, plug-inuri de browser, programe de chat și orice alt software care comunică cu Internetul sau deschide fișierele descărcate. Serviciile de sistem de nivel scăzut și aplicațiile care rulează offline fără a deschide fișierele descărcate sunt mai puțin expuse riscului. Dacă aveți o aplicație importantă de afaceri - probabil una care accesează Internetul - poate fi aplicația pe care doriți să o asigurați cel mai mult.
Pentru a asigura o aplicație care rulează, localizați-o în lista EMET, faceți clic dreapta pe ea și selectați Configure Process.
(Dacă doriți să securizați un proces care nu se execută, deschideți fereastra Apps și utilizați butoanele Adăugare aplicație sau Adăugare Wildcard.)
Fereastra Configurare aplicație va apărea împreună cu aplicația dvs. evidențiată. În mod implicit, toate regulile vor fi activate automat. Doar faceți clic pe butonul OK aici pentru a aplica toate regulile.
Dacă aplicația dvs. nu funcționează corect, veți dori să reveniți aici și să încercați să dezactivați unele dintre restricțiile aplicației respective. Dezactivați-le una câte una până când aplicația funcționează și puteți izola problema.
Dacă nu doriți să restricționați deloc o aplicație, selectați-o din listă și faceți clic pe butonul Remove Selected pentru a șterge regulile și a pune aplicația înapoi la starea implicită.
Secțiunea Sistem Stare vă permite să alegeți reguli la nivel de sistem. Probabil că veți dori să respectați setările implicite, care permit aplicațiilor să se alăture acestor protecții de securitate.
Aveți posibilitatea să selectați opțiunea "Întotdeauna activată" sau "Oprirea aplicației" pentru aceste setări pentru a obține o securitate maximă. Acest lucru poate rupe multe aplicații, în special cele vechi. Dacă aplicațiile încep să funcționeze necorespunzător, puteți reveni la setările implicite sau puteți crea reguli de renunțare pentru aplicații.
Pentru a crea o regulă de renunțare, faceți clic dreapta pe un proces și selectați Configure Process. Debifați tipul de protecție pe care doriți să-l renunțați. Deci, dacă doriți să renunțați la sistemul ASLR la nivel de sistem, debifați casetele de selectare MandatoryASLR și BottomUpASLR pentru acest proces. Faceți clic pe OK pentru a salva regula.
Rețineți că am activat funcția "Always On" pentru DEP de mai sus, deci nu putem dezactiva DEP pentru niciun proces din fereastra Configurare aplicație de mai jos.
Dacă doriți să testați regulile EMET, dar nu doriți să rezolvați probleme, puteți activa modul "Audit only". Dați clic pe pictograma Aplicații din EMET pentru a accesa fereastra Configurare aplicație. Veți găsi o secțiune de acțiune prestabilită pe panglica din partea superioară a ecranului. În mod prestabilit, este setat la Stop on exploit - EMET va închide o aplicație în cazul în care încalcă o regulă. De asemenea, o puteți seta numai pentru Audit. Dacă o aplicație întrerupe una dintre regulile dvs. EMET, EMET va raporta problema și va permite ca aplicația să continue să ruleze.
Acest lucru elimină în mod evident avantajele de securitate ale funcționării EMET, dar este o modalitate bună de a testa regulile înainte de a pune EMET înapoi în modul "Stop pe exploatare".
Odată ce ați creat și testat regulile dvs., asigurați-vă că utilizați butonul Export sau Export selectat pentru a exporta regulile dvs. într-un fișier. Apoi, puteți să le importați pe orice alt computer pe care îl utilizați și să obțineți aceleași protecții de securitate fără a mai fi nevoie de mai multă informație.
În rețelele corporative, regulile EMET și EMET în sine pot fi implementate prin intermediul politicii de grup.
Niciuna dintre acestea nu este obligatorie. Dacă sunteți un utilizator de acasă care nu dorește să se ocupe de acest lucru, nu ezitați să instalați EMET și să respectați setările implicite recomandate.
