6 Avanserte tips for å sikre programmer på PCen med EMET

Innholdsfortegnelse:

6 Avanserte tips for å sikre programmer på PCen med EMET
6 Avanserte tips for å sikre programmer på PCen med EMET

Video: 6 Avanserte tips for å sikre programmer på PCen med EMET

Video: 6 Avanserte tips for å sikre programmer på PCen med EMET
Video: Car Camping in Freezing Cold with Dog - Roof Tent - YouTube 2024, November
Anonim
Enhanced Mitigation Experience Toolkit er Microsofts best bevarte sikkerhetshemmelighet. Det er enkelt å installere EMET og raskt sikre mange populære applikasjoner, men det er mye mer du kan gjøre med EMET.
Enhanced Mitigation Experience Toolkit er Microsofts best bevarte sikkerhetshemmelighet. Det er enkelt å installere EMET og raskt sikre mange populære applikasjoner, men det er mye mer du kan gjøre med EMET.

EMET vil ikke dukke opp og stille deg spørsmål, så det er en sett-det-og-glem-det-løsningen når du setter det opp. Slik sikrer du flere applikasjoner med EMET og reparerer dem hvis de bryter.

Vet Hvis EMET bryter et program

Hvis et program gjør noe EMET-reglene dine tillater, vil EMET stenge programmet - det er i utgangspunktet standardinnstillingen. EMET stenger programmer som oppfører seg på en potensielt usikker måte, slik at ingen utnytter kan forekomme. Windows gjør dette ikke for alle applikasjoner som standard fordi det ville bryte kompatibiliteten med mange av de gamle Windows-programmene som er i bruk i dag.

Hvis et program går i stykker, stopper programmet umiddelbart, og du får se en popup fra EMET-ikonet i systemstatusfeltet. Det vil også bli skrevet til Windows-loggfilen - disse alternativene kan tilpasses fra boksen Rapportering på båndet øverst i EMET-vinduet.

Image
Image

Bruk en 64-biters versjon av Windows

64-biters versjoner av Windows er sikrere fordi de har tilgang til funksjoner som adresselayouts layout-randomisering (ASLR). Ikke alle disse funksjonene vil være tilgjengelige hvis du bruker en 32-biters versjon av Windows. Som selve Windows, er EMETs sikkerhetsfunksjoner mer omfattende og nyttige på 64-biters PCer.

Lås ned bestemte prosesser

Du vil sannsynligvis låse ned bestemte applikasjoner i stedet for hele systemet. Fokuser på programmene som mest sannsynlig vil bli kompromittert. Dette betyr nettlesere, nettleser-pluginprogrammer, chatprogrammer og annen programvare som kommuniserer med Internett eller åpner nedlastede filer. Lavtliggende systemtjenester og applikasjoner som kjører offline uten å åpne noen nedlastede filer, er mindre utsatt. Hvis du har noen viktige forretningsapplikasjoner - kanskje en som får tilgang til Internett - kan det være programmet du vil sikre mest.

For å sikre et løpende program, finn det i EMET-listen, høyreklikk det og velg Konfigurer prosess.

(Hvis du vil sikre en prosess som ikke kjører, åpner du Apps-vinduet og bruker knappene Legg til applikasjon eller Legg til wildcard.)

Programkonfigurasjonsvinduet vises med søknaden din uthevet. Som standard vil alle reglene automatisk bli aktivert. Bare klikk OK-knappen her for å bruke alle reglene.
Programkonfigurasjonsvinduet vises med søknaden din uthevet. Som standard vil alle reglene automatisk bli aktivert. Bare klikk OK-knappen her for å bruke alle reglene.
Hvis din søknad ikke fungerer som den skal, vil du ønske å komme tilbake hit og prøve å deaktivere noen av begrensningene for det programmet. Deaktiver dem en etter en til programmet fungerer, og du kan isolere problemet.
Hvis din søknad ikke fungerer som den skal, vil du ønske å komme tilbake hit og prøve å deaktivere noen av begrensningene for det programmet. Deaktiver dem en etter en til programmet fungerer, og du kan isolere problemet.

Hvis du ikke vil begrense et program i det hele tatt, velger du det i listen og klikker Fjern fjern valgt for å slette reglene dine og sette programmet tilbake til standardstatus.

Endre system-brede regler

Systemstatus-delen lar deg velge systemregler. Du vil sannsynligvis holde fast ved standardinnstillingene, som tillater at applikasjoner velger disse sikkerhetsbeskyttelsene.

Du kan velge "Always On" eller "Application Opt Out" for disse innstillingene for maksimal sikkerhet. Dette kan ødelegge mange applikasjoner, spesielt eldre. Hvis applikasjonene begynner å mislykkes, kan du gå tilbake til standardinnstillingene eller opprette "utelukkende" regler for applikasjoner.

Hvis du vil opprette en utvelgelsesregel, høyreklikker du en prosess og velger Konfigurer prosess. Fjern merket for beskyttelsestypen du vil velge fra - så hvis du ønsker å avvike fra systembasert ASLR, fjerner du avkryssningsfeltene MandatoryASLR og BottomUpASLR for den prosessen. Klikk på OK for å lagre regelen.
Hvis du vil opprette en utvelgelsesregel, høyreklikker du en prosess og velger Konfigurer prosess. Fjern merket for beskyttelsestypen du vil velge fra - så hvis du ønsker å avvike fra systembasert ASLR, fjerner du avkryssningsfeltene MandatoryASLR og BottomUpASLR for den prosessen. Klikk på OK for å lagre regelen.

Vær oppmerksom på at vi har aktivert «Alltid på» for DEP ovenfor, så vi kan ikke deaktivere DEP for noen prosesser i vinduet Programkonfigurasjon nedenfor.

Image
Image

Testregler i "Bare revisjonsmodus"

Hvis du vil teste EMET-regler, men ikke ønsker å håndtere noen problemer, kan du aktivere modusen "Audit only". Klikk på Apps-ikonet i EMET for å få tilgang til vinduet Programkonfigurasjon. Du finner en Standard Action-seksjon på båndet øverst på skjermen. Som standard er det satt til Stopp på utnytte - EMET slår av et program hvis det bryter en regel. Du kan også sette den til Audit bare. Hvis et program bryter et av EMET-reglene, rapporterer EMET problemet og lar applikasjonen fortsette å løpe.

Dette eliminerer tydeligvis sikkerhetsfordelene ved å kjøre EMET, men det er en god måte å teste regler på før du setter EMET tilbake i "Stop on exploit" -modus.

Image
Image

Eksporter og importere regler

Når du har opprettet og testet reglene dine, må du bruke Eksporter eller Eksporter valgte knappen for å eksportere reglene dine til en fil. Du kan deretter importere dem på andre PCer du bruker, og få de samme sikkerhetsbeskyttelsene uten å feste mer.

På bedriftsnettverk kan EMET-regler og EMET selv distribueres gjennom konsernpolitikken.

Image
Image

Ingen av dette er obligatorisk. Hvis du er en hjemmebruker som ikke vil takle dette, kan du bare installere EMET og holde fast ved de anbefalte standardinnstillingene.

Anbefalt: