Consells avançats del conjunt d’eines d’experiència de mitigació millorada de Microsoft (EMET) avançats de Microsoft

• Categoria: Tutories

Proveu El Nostre Instrument Per Eliminar Problemes

Seleccioneu El Sistema Operatiu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Trieu Un Programa De Projecció (Opcionalment) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descriviu El Vostre Problema

Obteniu Una Resposta

Envieu -Me Per Correu Electrònic Mostra Al Lloc

El Microsoft Enhanced Mitigation Experience Toolkit, breu EMET, és una descàrrega opcional per a totes les versions de client i servidor compatibles del sistema operatiu Windows de Microsoft que afegeix mitigació a les defenses del sistema.

Bàsicament, ha estat dissenyat per evitar que els atacs es puguin dur a terme amb èxit si ja han incomplert les defenses del sistema com ara solucions antivirus.

EMET és fàcil d’instal·lar i es queda fora de caixa, però per treure el màxim partit del programa, heu de dedicar temps a conèixer-lo i configurar-lo.

Aquest article us proporciona consells sobre com treure el màxim partit a l'EMET.

1. Protecció de processos importants

EMET protegeix el nucli de Microsoft i un grapat de processos de tercers només després de la instal·lació. Si bé s'ocupa de programes com Java, Adobe Acrobat, Internet Explorer o Excel, no protegirà programes que hagueu instal·lat manualment, com Firefox, Skype o Chrome.

Tot i que teòricament és possible afegir tots els vostres programes a EMET, potser voldreu considerar el fet d’afegir només a l’aplicació només programes d’alt risc.

Programes d’alt risc? Una definició breu d’un programa d’alt risc és que s’explota regularment (per exemple, Internet Explorer), capaç d’executar fitxers descarregats d’Internet (navegador web, client de correu electrònic) o emmagatzema dades valuoses per exemple (per exemple, programari de xifrat).

Això faria que Firefox, Chrome i Thunderbird no fossin objectius d’alt valor i el bloc de notes, el navegador minigeni i el Paint.

Per afegir aplicacions a la llista de protecció de EMET

1. Obriu EMET al sistema.
2. Trobeu una llista de processos en execució a la interfície. Si el programa que voleu protegir no s’executa, inicieu-lo a l’ordinador.
3. Després feu clic amb el botó dret sobre el seu procés i seleccioneu 'configura el procés' al menú contextual.
4. Això afegeix el procés seleccionat a la llista d’aplicacions d’EMET.
5. Seleccioneu bé després per desar la selecció i reinicieu el programa que acabeu d'afegir a EMET.

Consell : És molt recomanable provar cada aplicació individualment abans de començar a afegir més processos a EMET. És possible que un programa no sigui compatible amb totes les tècniques de mitigació de les explotacions que ofereix EMET.

2. Depuració de processos de mal comportament

La probabilitat és força alta que trobareu problemes després d’afegir programes a EMET. Alguns programes poden negar-se a començar completament mentre que altres poden obrir-se i tancar-se immediatament després que s'hagin iniciat.

Aquest sol ser el cas quan una o diverses atenuacions no són compatibles amb el procés. El principal problema aquí és que no rebreu informació sobre la mitigació causada pel problema.

Verifiqueu que hi hagi cap problema

Una de les maneres més fàcils de verificar que alguna cosa no funciona correctament és comprovar si hi ha entrades EMET al registre de l’esdeveniment de Windows.

1. Toqueu la tecla Windows, escriviu l’espectador d’esdeveniments i feu clic a Enter.
2. Trobeu entrades EMET a Visualitzador d'esdeveniments (local)> Registres de Windows> Aplicació.

Us suggereixo que ordeneu per data i hora i cerqueu l'error d'aplicació com a origen. Heu de trobar EMET.DLL indicat com a font de l'emissió a General quan seleccioneu una de les entrades del registre.

Evidentment, també podeu eliminar totes les proteccions de l’aplicació a EMET i tornar a executar-la per veure si resol el problema.

Corregint el problema

L'única forma de seguretat de fer aplicar la compatibilitat amb Microsoft EMET és la prova i l'error. Obriu de nou la llista d’aplicacions protegides a EMET, desactiveu totes les proteccions i comenceu a activar-les de nou una a una.

Proveu d'executar el programa després de cada commutador per veure si funciona. Si ho fa, repetiu el procés activant la següent mitigació en línia fins que arribeu a una que impedeixi que el programa s’iniciï.

Desactiveu aquesta mitigació de nou i continueu el procés fins que no hàgiu activat totes les mitigacions compatibles amb el programari seleccionat.

Google Chrome, per exemple, no ha pogut utilitzar les atencions predeterminades seleccionades per als processos nous. Vaig descobrir que l'única mitigació amb què no era compatible el navegador era EAF que vaig desactivar com a conseqüència.

3. Normes a tot el sistema

EMET s’envia amb quatre regles de tot el sistema que podeu configurar a la interfície principal. El Pinning de certificat, la Prevenció de l'execució de dades i la protecció contra sobreescriptors del controlador d'excepcions estiguin habilitades com a regles a tot el sistema, mentre que la Randomization Layout d'espai d'adreces està configurada per desactivar-la.

Això vol dir que heu d’habilitar la regla per a cada aplicació que vulgueu protegir-la. Podeu canviar l'estat d'aquestes regles de tot el sistema, per exemple, mitjançant l'aplicació de les regles optatives també a tot el sistema.

Això pot provocar problemes amb els programes que s’executen al sistema. Com que està aplicat per a tots els programes quan està activat, potser voldreu controlar el sistema de prop i tornar a activar-lo si detecteu problemes d’inici o d’execució d’aplicacions a la màquina.

4. Regla que importa i exporta

La configuració dels programes a EMET de manera que siguin protegits per l’aplicació triga un temps a causa dels problemes esmentats anteriorment.

Una bona notícia és que no heu de repetir el procés en altres equips que gestioneu ja que podeu utilitzar la funció d’importació i exportació d’EMET per això.

Consell : EMET s’envia amb un conjunt de regles addicionals que els usuaris poden afegir al programa. Per accedir a aquestes opcions d'importació a EMET i, seguidament, a una de les accions següents:

1. CertTrust: configuració predeterminada de EMET del certificat Trust Pinning per a serveis en línia de MS i de tercers
2. Programari popular: habilita proteccions per a programes comuns com Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Programari recomanat: habilita proteccions per a programes mínims recomanats com Internet Explorer, Microsof Office, Adobe Acrobat Reader i Java

L’opció 3 és l’opció predeterminada que es carrega automàticament. Podeu afegir altres programes populars a EMET automàticament important les regles del programari popular.

Migració i polítiques de regles

Per exportar regles, seleccioneu el botó d'exportació de la interfície principal d'EMET. Trieu un nom per al fitxer xml al quadre de diàleg de desa i la ubicació.

Aquest conjunt de regles es poden importar en altres sistemes o conservar com a salvaguarda a la màquina actual.

Com que les regles es guarden com a fitxers XML, també podeu editar-les manualment.

Els administradors poden desplegar directives de directiva de grup també en sistemes. Els fitxers adml / admx formen part de la instal·lació d'EMET i es poden trobar a fitxers de polítiques de desplegament / grup després de la instal·lació.