Ekstra beskyttelse til Windows-pc'er med EMET

Det bliver stadig mere almindeligt at høre om sårbarheder, der udnyttes aktivt uden en patch tilgængelig for det berørte produkt. Samtidig er der organisationer, der af mange årsager (kompatibilitet, budget, support eller utallige andre problemer) er nødt til at stole på software, der ikke kan opgraderes / opdateres, ikke følger sikker kodningspraksis eller ikke anvender sikkerhedsfunktioner . For at beskytte Windows-pc'er i disse scenarier udviklede Microsoft den gratis Enhanced Mitigation Experience Toolkit (EMET).

Værktøjet Enhanced Mitigation Experience Toolkit er i det væsentlige et anti-exploit værktøj, der anvender exploit-afbødningsteknologier såsom Data Execution Prevention (DEP) og Address Space Layout Randomization (ASLR) på applikationer og processer, der ikke bruger dem naturligt. Det giver en enkel grænseflade, der giver administratorer mulighed for at hærde ethvert antal applikationer, hvad enten de er fra Microsoft eller fra andre leverandører. Du kan finde den seneste version (version 3.0 på dette tidspunkt) af EMET her. .NET Framework 2.0 skal være installeret for at EMET skal fungere med Windows XP og Windows Server 2003. For alle andre understøttede versioner af Windows er der ingen yderligere krav, og det kan bruges på både 32 eller 64-bit systemer.

Når det er installeret, kan du starte EMET fra kommandolinjen eller GUI. GUI-grænsefladen er opdelt i to dele, en til systemstatus og en til kørende processer. Figur A viser grænsefladen på et Windows 7-system:

Klik på billederne for at forstørre det.
I afsnittet Systemkonfiguration ( figur B ) konfigureres afbrydelser hele systemet uden at skulle specificere de individuelle processer, der skal bruge dem. De tilgængelige systemindstillinger varierer afhængigt af det operativsystem, hvor EMET er installeret. På Windows XP er f.eks. SEHOP (Structured Exception Handler Overwrite Protection) og ASLR ikke tilgængelige, skønt dette på ingen måde formindsker nytten af ​​værktøjet til dette operativsystem. Først er det bedst at kun bruge de anbefalede systemsikkerhedsindstillinger, da kraftfuld anvendelse af disse afhjælpninger på hele systemet har det største potentiale for at forårsage kompatibilitets- eller stabilitetsproblemer.

Figur B

Afsnittet om applikationskonfiguration ( figur C ) er hvor du kan aktivere individuelle afbrydelser til de forskellige applikationer eller processer i systemet. Som standard er listen tom, men du kan klikke på knappen Tilføj for at finde specifikke eksekverbare filer på dit system og aktivere de specifikke sikkerhedsmekanismer, du vil have den til at bruge. Da de fleste angreb på nul dage fokuserer på applikationer, der vender mod internet, kan du tilføje alle webbrowsere, der er installeret på dit system, installerede Java-forekomster, medieafspillere (Windows Media Player, VLC, QuickTime osv.) Og Adobe-produkter.

Fig

Alternativt indeholder EMET et antal foruddefinerede profiler, der dækker almindelige applikationer, der kan hjælpe dig med at komme i gang. Disse profiler (i XML-format) kan findes i EMET-installationsmappen under Deployment \ Protection Profiles. Der er tre profiler inkluderet: Internet Explorer.xml, der muliggør afbrydelser for understøttede versioner af den browser, Office Software.xml, der tilføjer Microsoft Office og nogle Adobe-produkter, og All.xml, der desuden dækker almindelige applikationer. Figur D viser en del af produkterne inkluderet i profilen Alle:

Figur D

Bemærk, at der til individuelle applikationer er yderligere begrænsninger tilgængelige, herunder beskyttelse mod teknikker såsom "heap spraying" og null dereferences. EMETs brugervejledning inkluderet i installationsmappen giver et meget godt overblik over alle disse afhjælpninger og en kompatibilitetsguide til de forskellige operativsystemer.

EMET 3.0 giver support til virksomhedsinstallationer ved hjælp af gruppepolitik eller styringsværktøjer såsom Configuration Manager. Til gruppepolitik inkluderer EMET en ADMX-fil med de samme foruddefinerede profiler, der er nævnt før, som kan aktiveres eller deaktiveres ved hjælp af GPO'er. For dem, der ønsker at bruge scripts til implementering, kan EMET også konfigureres ved hjælp af kommandolinjen. EMET Notifier, en ny funktion tilføjet i denne version, hjælper også organisationer med at overvåge EMET, da den kan skrive begivenheder til applikationsloggen og præsentere brugerne underretninger på proceslinjens område, når en applikation er afsluttet på grund af en forsøgt udnyttelse. Inden du udfører en massiv implementering skal du dog teste EMET grundigt med dine applikationer, fordi der er den reelle risiko for at støde på kompatibilitets- eller stabilitetsproblemer. Især ældre applikationer er mere modtagelige for kompatibilitetsproblemer.

EMET er bestemt ikke en sølvkugle. Det øger en pc's sikkerhedsstilling ved at gøre det meget vanskeligt at udnytte visse typer af sårbarheder, men den vil ikke beskytte mod andre, såsom script-sårbarheder på tværs af websteder. Det er bedst at overveje det som en del af din dybdegående forsvarsstrategi, der skal bruges sammen med standardværktøjer som anti-malware og firewalls. Når det er sagt, er EMET et meget interessant sikkerhedsværktøj med en brugervenlig grænseflade og enkle implementeringsindstillinger, der ville gøre en fin tilføjelse til ethvert Windows-brugersikkerhedsarsenal.

© Copyright 2020 | mobilegn.com