Avancerade tips för Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Kategori: Handledningar

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, är en valfri nedladdning för alla stödda klient- och serverversioner av Microsofts Windows-operativsystem som lägger till utnyttjande av begränsningar i systemets försvar.

I grund och botten har det utformats för att förhindra att attacker genomförs framgångsrikt om de redan har brutit mot systemförsvar såsom antiviruslösningar.

avger är lätt att installera och går ut ur rutan, men för att få ut mesta möjliga av programmet måste du spendera tid på att lära känna det och konfigurera det.

Den här artikeln ger dig tips om hur du får ut det bästa av EMET.

1. Skydda viktiga processer

EMET skyddar centrala Microsoft och en handfull processer från tredje part endast efter installationen. Det tar hand om program som Java, Adobe Acrobat, Internet Explorer eller Excel, men det skyddar inte program som du har installerat manuellt, till exempel Firefox, Skype eller Chrome.

Även om det teoretiskt är möjligt att lägga till alla dina program till EMET, kanske du vill överväga att bara lägga till högriskprogram till applikationen istället.

Högriskprogram? En kort definition av ett högriskprogram är att det antingen utnyttjas regelbundet (t.ex. Internet Explorer), kan utföra filer som laddats ner från Internet (webbläsare, e-postklient) eller lagrar värdefull data för dig (t.ex. krypteringsprogram).

Detta skulle göra Firefox, Chrome och Thunderbird högvärdesmål och Notepad, Minesweeper och Paint inte.

Lägga till applikationer i EMETs skyddslista

1. Öppna EMET på systemet.
2. Du hittar en lista över processer som körs i gränssnittet. Om programmet som du vill skydda inte körs börjar du det på datorn.
3. Högerklicka på processen efteråt och välj 'konfigurera process' från snabbmenyn.
4. Detta lägger till den valda processen till EMETs applikationslista.
5. Välj okej efteråt för att spara markeringen och starta om programmet du just har lagt till i EMET.

Dricks : Det rekommenderas starkt att testa varje applikation individuellt innan du börjar lägga till fler processer till EMET. Ett program kanske inte är kompatibelt med alla utnyttjande mildringstekniker som EMET erbjuder.

2. Felsöka felprocesser

Chansen är ganska hög att du kommer att stöta på problem efter att du har lagt program till EMET. Vissa program kan vägra att starta helt medan andra öppnar och stänger omedelbart efter att de har startats.

Detta är vanligtvis fallet när en eller flera begränsningar inte är kompatibla med processen. Huvudfrågan här är att du inte kommer att få information som begränsat problemet.

Kontrollera att det finns ett problem

Ett av de enklare sätten att kontrollera att något inte fungerar korrekt är att kontrollera om EMET-poster i Windows Event logg.

1. Klicka på Windows-tangenten, skriv händelsevisaren och tryck på Enter.
2. Du hittar EMET-poster under Event Viewer (lokalt)> Windows Logs> Application.

Jag föreslår att du sorterar efter datum och tid och letar efter 'applikationsfel' som källa. Du bör hitta EMET.DLL som källa till problemet under Allmänt när du väljer en av loggposterna.

Uppenbarligen kan du också ta bort alla skydd för applikationen i EMET och köra den igen för att se om den löser problemet.

Korrigera problemet

Det enda säkra sättet att säkerställa kompatibilitet med Microsoft EMET är rättegång och fel. Öppna listan över skyddade applikationer igen i EMET, stäng av alla skydd och börja slå på dem en efter en.

Försök att köra programmet efter varje switch för att se om det fungerar. Om det gör det, upprepa processen genom att slå på nästa begränsning i raden tills du kommer till en som hindrar programmet från att starta.

Inaktivera den begränsningen igen och fortsätt processen tills du har aktiverat alla begränsningar som är kompatibla med den valda programvaran.

Google Chrome till exempel kunde inte börja använda de standardminskningar som valts för nya processer. Jag upptäckte att den enda mildring som webbläsaren inte var kompatibel med var EAF som jag inaktiverade som en följd.

3. Systemomfattande regler

EMET levereras med fyra systemomfattande regler som du kan konfigurera i huvudgränssnittet. Certifikatsfästning, förebyggande av datakörning och strukturerat undantagshanterare Överskrivningsskydd är aktiverade som systemövergripande regler medan adressutrymme Layout Randomisering är inställd på att välja in istället.

Detta innebär att du måste aktivera regeln för varje applikation du vill skydda av den. Du kan ändra statusen för dessa systemövergripande regler, till exempel genom att säkerställa att opt-in-regeln också är hela systemet.

Detta kan dock orsaka problem med program som körs på systemet. Eftersom det verkställs för alla program när det är aktiverat, kanske du vill övervaka systemet noggrant och växla tillbaka till opt-in om du märker problem som startar eller kör applikationer på maskinen.

4. Reglera import och export

Det tar ett tag att konfigurera program i EMET så att de skyddas av applikationen på grund av de problem som anges ovan.

Goda nyheter är att du inte behöver upprepa processen på andra datorer som du hanterar eftersom du kan använda EMETs import- och exportfunktion för det.

Dricks : EMET levereras med en uppsättning extra regler som användare kan lägga till i programmet. För att komma åt dessa väljer du import i EMET och sedan något av följande:

1. CertTrust - EMETs standardkonfiguration för Certificate Trust Pinning för MS och tredje parts onlinetjänster
2. Populär mjukvara - Aktiverar skydd för vanlig programvara som Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Rekommenderad programvara - Aktiverar skydd för minimal rekommenderad programvara som Internet Explorer, Microsof Office, Adobe Acrobat Reader och Java

Alternativ 3 är standardalternativet som laddas automatiskt. Du kan lägga till andra populära program till EMET automatiskt genom att importera reglerna för populär programvara.

Regel migration och policyer

För att exportera regler väljer du exportknappen i EMETs huvudgränssnitt. Välj ett namn för xml-filen i spara dialogrutan och en plats.

Denna uppsättning regler kan sedan importeras till andra system eller förvaras som en skydd på den aktuella maskinen.

Eftersom regler sparas som XML-filer kan du också redigera dem manuellt.

Administratörer kan också distribuera grupprincipdirektiv på system. Adml / admx-filerna är en del av EMET-installationen och kan hittas under Deployment / Group Policy Files efter installationen.