Zestaw narzędzi do ulepszonego łagodzenia problemów to najlepiej zachowany sekret bezpieczeństwa firmy Microsoft. Łatwo jest zainstalować EMET i szybko zabezpieczyć wiele popularnych aplikacji, ale o wiele więcej możesz zrobić z EMET.
EMET nie pojawi się i zadadzą ci pytania, więc jest to rozwiązanie typu "załóż i zapomnij" po skonfigurowaniu. Oto, jak zabezpieczyć więcej aplikacji za pomocą narzędzia EMET i naprawić je, jeśli się zepsują.
Jeśli aplikacja zrobi coś, czego nie pozwalają reguły EMET, EMET wyłączy aplikację - i tak jest to ustawienie domyślne. EMET zamyka aplikacje, które zachowują się w potencjalnie niebezpieczny sposób, więc nie mogą wystąpić żadne exploity. System Windows nie robi tego domyślnie dla wszystkich aplikacji, ponieważ naruszałoby to zgodność z wieloma używanymi obecnie aplikacjami systemu Windows.
Jeśli aplikacja się zepsuje, aplikacja zostanie natychmiast zamknięta, a na pasku zadań pojawi się okienko z ikoną EMET. Zostanie również zapisany w dzienniku zdarzeń systemu Windows - te opcje można dostosować w polu Raportowanie na wstążce u góry okna EMET.
64-bitowe wersje systemu Windows są bezpieczniejsze, ponieważ mają dostęp do funkcji takich jak losowa konfiguracja przestrzeni adresowej (ASLR). Nie wszystkie z tych funkcji będą dostępne, jeśli używasz 32-bitowej wersji systemu Windows. Podobnie jak sam system Windows, funkcje zabezpieczeń EMET są bardziej wszechstronne i przydatne na 64-bitowych komputerach.
Prawdopodobnie będziesz chciał zablokować określone aplikacje zamiast całego systemu. Skoncentruj się na aplikacjach, które najprawdopodobniej zostaną naruszone. Oznacza to przeglądarki internetowe, wtyczki do przeglądarek, programy czatu i wszelkie inne programy komunikujące się z Internetem lub otwierające pobrane pliki. Niskopoziomowe usługi systemowe i aplikacje uruchamiane w trybie offline bez otwierania pobranych plików są mniej zagrożone. Jeśli masz ważną aplikację biznesową - być może taką, która łączy się z Internetem - może to być aplikacja, którą chcesz zabezpieczyć najbardziej.
Aby zabezpieczyć działającą aplikację, zlokalizuj ją na liście EMET, kliknij ją prawym przyciskiem myszy i wybierz opcję Skonfiguruj proces.
(Jeśli chcesz zabezpieczyć proces, który nie działa, otwórz okno aplikacji i użyj przycisków Dodaj aplikację lub Dodaj symbole wieloznaczne).
Pojawi się okno konfiguracji aplikacji z podświetloną aplikacją. Domyślnie wszystkie reguły zostaną automatycznie włączone. Po prostu kliknij przycisk OK tutaj, aby zastosować wszystkie reguły.
Jeśli twoja aplikacja nie działa poprawnie, zechcesz tu wrócić i spróbować wyłączyć niektóre ograniczenia dla tej aplikacji. Wyłącz je jeden po drugim, aż aplikacja zadziała i możesz wyizolować problem.
Jeśli nie chcesz w ogóle ograniczać aplikacji, zaznacz ją na liście i kliknij przycisk Usuń wybrane, aby usunąć reguły i przywrócić aplikację do stanu domyślnego.
Sekcja Status systemu pozwala wybrać reguły dla całego systemu. Prawdopodobnie będziesz chciał trzymać się wartości domyślnych, które pozwalają aplikacjom wybrać te zabezpieczenia.
Możesz wybrać "Zawsze włączone" lub "Opóźnienie aplikacji" dla tych ustawień dla maksymalnego bezpieczeństwa. Może to przerwać wiele aplikacji, szczególnie starszych. Jeśli aplikacje zaczną źle działać, możesz przywrócić ustawienia domyślne lub utworzyć reguły "rezygnacji" dla aplikacji.
Aby utworzyć regułę rezygnacji, kliknij proces prawym przyciskiem myszy i wybierz opcję Skonfiguruj proces. Odznacz typ ochrony, z której chcesz zrezygnować - jeśli więc chcesz zrezygnować z ASLR w całym systemie, odznacz pola wyboru MandatoryASLR i BottomUpASLR dla tego procesu. Kliknij OK, aby zapisać regułę.
Zauważ, że włączono opcję "Zawsze włączone" dla DEP powyżej, więc nie możemy wyłączyć funkcji DEP dla żadnych procesów w poniższym oknie konfiguracji aplikacji.
Jeśli chcesz przetestować reguły EMET, ale nie chcesz zajmować się żadnymi problemami, możesz włączyć tryb "Tylko audyt". Kliknij ikonę Aplikacje w oknie EMET, aby uzyskać dostęp do okna Konfiguracja aplikacji. Znajdziesz sekcję Domyślna akcja na wstążce u góry ekranu. Domyślnie jest ustawiony na Zatrzymaj przy użyciu exploita - EMET zamknie aplikację, jeśli złamie regułę. Możesz także ustawić tylko na Audyt. Jeśli aplikacja złamie jedną z reguł EMET, EMET zgłosi problem i pozwoli aplikacji kontynuować działanie.
To oczywiście eliminuje korzyści bezpieczeństwa związane z uruchamianiem EMET, ale jest to dobry sposób na testowanie reguł przed przywróceniem EMET z powrotem do trybu "Zatrzymaj przy wykorzystaniu".
Po utworzeniu i przetestowaniu reguł, użyj przycisku Eksportuj lub Eksportuj wybrane, aby wyeksportować reguły do pliku. Możesz następnie zaimportować je na dowolnym innym komputerze, z którego korzystasz i uzyskać te same zabezpieczenia bez konieczności używania innych narzędzi.
W sieciach korporacyjnych zasady EMET i sam system EMET można wdrożyć za pomocą zasad grupy.
Nic z tego nie jest obowiązkowe. Jeśli jesteś użytkownikiem domowym, który nie chce sobie z tym poradzić, możesz po prostu zainstalować EMET i trzymać się zalecanych domyślnych ustawień.