Sfaturi avansate pentru instrumente de îmbunătățire a experienței de atenuare Microsoft (EMET)

• Categorie: Tutoriale

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Selectați Sistemul De Operare Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Alegeți Un Program De Proiecție (Opțional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrie -Ți Problema

Obțineți Un Răspuns

Trimite -Mi Prin E -Mail Afișare Pe Site

Setul de instrumente Microsoft Enhanced Mitigation Experience, scurt EMET, este o descărcare opțională pentru toate versiunile de client și server acceptate ale sistemului de operare Windows Microsoft care adaugă reducerea exploatării la apărarea sistemului.

Practic, a fost conceput pentru a împiedica atacurile să se efectueze cu succes dacă au încălcat deja apărările sistemului, cum ar fi soluțiile antivirus.

EMITS este ușor de instalat și rulează în afara cutiei, dar pentru a obține cât mai mult din program, trebuie să petreci timp pentru a-l cunoaște și configura.

Acest articol vă oferă sfaturi despre cum să profitați la maxim EMET.

1. Protejarea proceselor importante

EMET protejează Microsoft de bază și o mână de procese terțe numai după instalare. În timp ce acesta are grijă de programe precum Java, Adobe Acrobat, Internet Explorer sau Excel, nu va proteja programele pe care le-ați instalat manual, cum ar fi Firefox, Skype sau Chrome.

Deși teoretic este posibil să adăugați toate programele dvs. în EMET, poate doriți să luați în considerare adăugarea numai a programelor cu risc ridicat în aplicație.

Programe cu risc ridicat? O definiție scurtă a unui program cu risc ridicat este aceea că este exploatat în mod regulat (de exemplu, Internet Explorer), capabil să execute fișiere descărcate de pe Internet (browser web, client de e-mail) sau să stocheze date valoroase pentru dvs. (de exemplu, software de criptare).

Acest lucru ar face ca Firefox, Chrome și Thunderbird să nu fie ținte de mare valoare și Notepad, Minesweeper și Paint să nu.

Pentru a adăuga aplicații la lista de protecție EMET

1. Deschideți EMET pe sistem.
2. Găsiți o listă de procese care rulează în interfață. Dacă programul pe care doriți să îl protejați nu funcționează, porniți-l pe computer.
3. Faceți clic dreapta pe procesul său după care selectați „configurați procesul” din meniul contextual.
4. Aceasta adaugă procesul selectat la lista de aplicații EMET.
5. Selectați bine după aceea pentru a salva selecția și reporniți programul pe care tocmai l-ați adăugat în EMET.

Bacsis : Este foarte recomandat să testați fiecare aplicație individual înainte de a începe să adăugați mai multe procese la EMET. Este posibil ca un program să nu fie compatibil cu toate tehnicile de atenuare a exploatării oferite de EMET.

2. Debugarea proceselor de comportare greșită

Șansa este destul de mare că veți întâmpina probleme după adăugarea de programe în EMET. Unele programe pot refuza pornirea completă în timp ce altele se pot deschide și închide imediat după ce au fost pornite.

Acesta este de obicei cazul în care una sau mai multe atenuări nu sunt compatibile cu procesul. Problema principală aici este că nu veți primi informații care atenuează cauza problemei.

Verificați dacă există o problemă

Una dintre cele mai ușoare metode de a verifica dacă ceva nu funcționează corect este să verificați înregistrările EMET în jurnalul de evenimente Windows.

1. Atingeți tasta Windows, tastați vizualizatorul de evenimente și apăsați Enter.
2. Puteți găsi intrări EMET în Event Viewer (local)> Windows Logs> Application.

Vă sugerez să sortați după dată și oră și să căutați ca „sursă de eroare” ca sursă. Ar trebui să găsiți EMET.DLL listat ca sursa problemei la General când selectați una dintre intrările de jurnal.

Evident, puteți elimina, de asemenea, toate protecțiile pentru aplicație din EMET și rulați-o din nou pentru a vedea dacă rezolvă problema.

Corectarea problemei

Singurul mod sigur de a impune compatibilitatea cu Microsoft EMET este încercarea și eroarea. Deschideți lista de aplicații protejate din nou în EMET, opriți toate protecțiile și începeți să le activați din nou una câte una.

Încercați să rulați programul după fiecare comutator pentru a vedea dacă funcționează. În acest caz, repetați procesul activând următoarea atenuare în linie până când veți ajunge la una care împiedică pornirea programului.

Dezactivează din nou această atenuare și continuă procesul până când ai activat toate atenuările compatibile cu software-ul selectat.

De exemplu, Google Chrome nu a reușit să folosească atenuările implicite selectate pentru procesele noi. Am descoperit că singura atenuare cu care browserul nu era compatibil era EAF pe care am dezactivat-o în consecință.

3. Reguli la nivel de sistem

EMET este livrat cu patru reguli la nivel de sistem pe care le puteți configura în interfața principală. Stilarea certificatelor, prevenirea execuției datelor și protecția de suprascriere a manipulatorului de excepție structurată sunt activate ca reguli la nivelul întregului sistem, în timp ce Randomizarea dispunerii spațiului de adrese este setată să se înscrie în loc.

Aceasta înseamnă că trebuie să activați regula pentru fiecare aplicație pe care doriți să o protejați. Puteți schimba starea acestor reguli pe întregul sistem, de exemplu, aplicând și regulile opt-in la nivel de sistem.

Acest lucru poate provoca probleme cu programele care rulează pe sistem. Întrucât este aplicat pentru toate programele atunci când este activat, poate doriți să monitorizați îndeaproape sistemul și să reveniți la opt-in dacă observați probleme de pornire sau de execuție a aplicațiilor pe aparat.

4. Regula de import și export

Configurarea programelor în EMET astfel încât acestea să fie protejate de aplicație durează ceva din cauza problemelor expuse mai sus.

O veste bună este că nu trebuie să repetați procesul pe alte PC-uri pe care le gestionați, deoarece puteți utiliza funcția de import și export EMET pentru asta.

Bacsis : EMET se livrează cu un set de reguli suplimentare pe care utilizatorii le pot adăuga la program. Pentru a accesa cele selectați importul în EMET și apoi una dintre următoarele:

1. CertTrust - Configurare implicită EMET a certificării Pinning Trust Trust pentru MS și servicii online ale unor terți
2. Software popular - Permite protecții pentru software comun, cum ar fi Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Software recomandat - Permite protecții pentru software-ul minim recomandat, cum ar fi Internet Explorer, Microsof Office, Adobe Acrobat Reader și Java

Opțiunea 3 este opțiunea implicită care se încarcă automat. Puteți adăuga alte programe populare în EMET automat, importând regulile software populare.

Reglarea migrației și a politicilor

Pentru a exporta regulile, selectați butonul export în interfața principală EMET. Alegeți un nume pentru fișierul xml din dialogul de salvare și o locație.

Acest set de reguli poate fi apoi importat în alte sisteme sau păstrat ca garanție pe mașina curentă.

Deoarece regulile sunt salvate ca fișiere XML, le puteți edita și manual.

Administratorii pot implementa directive de politică de grup și pe sisteme. Fișierele adml / admx fac parte din instalarea EMET și pot fi găsite în Fișierele de implementare / Politică de grup după instalare.