Avancerede Microsoft Enhanced Mitigation Experience Toolkit (EMET) tip

• Kategori: Vejledninger

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, er en valgfri download til alle understøttede klient- og serverversioner af Microsofts Windows-operativsystem, der tilføjer udnyttelsesbegrænsning til systemets forsvar.

Grundlæggende er det designet til at forhindre angreb i at blive udført med succes, hvis de allerede har brudt systemforsvar som f.eks. Antivirusløsninger.

udsender er let at installere og løber ud af kassen, men for at få mest muligt ud af programmet skal du bruge tid på at lære det at kende og konfigurere det.

Denne artikel giver dig tip til, hvordan du får mest muligt ud af EMET.

1. Beskyttelse af vigtige processer

EMET beskytter grundlæggende Microsoft og en håndfuld tredjepart-processer kun efter installation. Selvom det tager sig af programmer som Java, Adobe Acrobat, Internet Explorer eller Excel, beskytter det ikke programmer, som du har installeret manuelt, såsom Firefox, Skype eller Chrome.

Selvom det teoretisk er muligt at tilføje alle dine programmer til EMET, kan du overveje at tilføje kun højrisikoprogrammer til applikationen i stedet.

Programmer med høj risiko? En kort definition af et højrisikoprogram er, at det enten udnyttes regelmæssigt (f.eks. Internet Explorer), er i stand til at udføre filer, der er downloadet fra Internettet (webbrowser, e-mail-klient), eller gemmer værdifulde data til dig (f.eks. Krypteringssoftware).

Dette ville gøre Firefox, Chrome og Thunderbird mål med høj værdi og Notepad, Minesweeper og Paint ikke.

Sådan føjes applikationer til EMETs beskyttelsesliste

1. Åbn EMET på systemet.
2. Du finder en liste over kørende processer i grænsefladen. Hvis det program, du vil beskytte, ikke kører, skal du starte det på pc'en.
3. Højreklik på processen bagefter og vælg 'konfigurer proces' i genvejsmenuen.
4. Dette tilføjer den valgte proces til EMETs applikationsliste.
5. Vælg okay bagefter for at gemme markeringen og genstarte det program, du lige har tilføjet til EMET.

Tip : Det anbefales stærkt at teste hver applikation individuelt, før du begynder at tilføje flere processer til EMET. Et program er muligvis ikke kompatibelt med alle udnyttelsesreducerende teknikker, som EMET tilbyder.

2. Fejlsøgning forkert opførte processer

Chancen er ret stor for, at du vil støde på problemer, når du har tilføjet programmer til EMET. Nogle programmer nægter muligvis at starte helt, mens andre åbner og lukker umiddelbart efter, at de er startet.

Dette er normalt tilfældet, når en eller flere afbødninger ikke er kompatible med processen. Hovedproblemet her er, at du ikke vil modtage oplysninger, som afbødning forårsagede problemet.

Kontroller, at der er et problem

En af de lettere måder at kontrollere, at noget ikke fungerer rigtigt, er at kontrollere for EMET-poster i Windows Event log.

1. Tryk på Windows-tasten, skriv begivenhedsviseren, og tryk på Enter.
2. Du finder EMET-poster under Event Viewer (lokal)> Windows Logs> Application.

Jeg foreslår, at du sorterer efter dato og tid og kigger efter 'applikationsfejl' som kilde. Du skal finde EMET.DLL listet som kilden til problemet under Generelt, når du vælger en af ​​logposterne.

Det er klart, at du også kan fjerne alle beskyttelser til applikationen i EMET og køre den igen for at se, om den løser problemet.

Rettelse af problemet

Den eneste sikre måde at håndhæve kompatibilitet med Microsoft EMET er prøve og fejl. Åbn listen over beskyttede applikationer igen i EMET, sluk for alle beskyttelser, og start dem igen en efter en.

Prøv at køre programmet efter hver switch for at se, om det fungerer. Hvis det sker, skal du gentage processen ved at tænde for den næste afhjælpning i linjen, indtil du kommer til en, der forhindrer programmet i at starte.

Deaktiver denne afhjælpning igen, og fortsæt processen, indtil du har aktiveret alle afbrydelser, der er kompatible med den valgte software.

Google Chrome for eksempel kunne ikke begynde at bruge standardafbrydelser, der er valgt til nye processer. Jeg opdagede, at den eneste begrænsning, som browseren ikke var kompatibel med, var EAF, som jeg deaktiverede som en konsekvens.

3. System-dækkende regler

EMET sendes med fire systemdækkende regler, som du kan konfigurere i hovedgrænsefladen. Certifikat-fastgørelse, forebyggelse af dataforebyggelse og struktureret undtagelseshåndterer Overskrivningsbeskyttelse er aktiveret som system-dækkende regler, mens adresselokallayout Randomisering er indstillet til at opt-in i stedet.

Dette betyder, at du skal aktivere reglen for hver applikation, du ønsker beskyttet af den. Du kan ændre status for disse systembrede regler, f.eks. Ved at håndhæve opt-in-reglen også hele systemet.

Dette kan dog forårsage problemer med programmer, der kører på systemet. Da det håndhæves for alle programmer, når det er aktiveret, kan du måske overvåge systemet nøje og skifte tilbage til opt-in, hvis du bemærker problemer, der starter eller kører applikationer på maskinen.

4. Regler for import og eksport

Det tager et stykke tid at konfigurere programmer i EMET, så de er beskyttet af applikationen på grund af problemerne beskrevet ovenfor.

Gode ​​nyheder er, at du ikke behøver at gentage processen på andre pc'er, du administrerer, da du kan bruge EMETs import- og eksportfunktion til det.

Tip : EMET sendes med et sæt ekstra regler, som brugerne kan tilføje til programmet. For at få adgang til disse skal du vælge import i EMET og derefter et af følgende:

1. CertTrust - EMET-standardkonfiguration af Certificate Trust Pinning for MS og tredjeparts onlinetjenester
2. Populær software - Aktiverer beskyttelse for almindelig software såsom Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Anbefalet software - Aktiverer beskyttelse af minimalt anbefalet software, f.eks. Internet Explorer, Microsof Office, Adobe Acrobat Reader og Java

Valgmulighed 3 er standardindstillingen, der indlæses automatisk. Du kan tilføje andre populære programmer til EMET automatisk ved at importere reglerne om populær software.

Regler migration og politikker

For at eksportere regler skal du vælge eksportknappen i EMETs hovedgrænseflade. Vælg et navn til xml-filen i dialogboksen Gem og en placering.

Dette sæt regler kan derefter importeres til andre systemer eller opbevares som en beskyttelse på den aktuelle maskine.

Da regler gemmes som XML-filer, kan du også redigere dem manuelt.

Administratorer kan også anvende gruppepolitiske direktiver på systemer. Adml / admx-filerne er en del af EMET-installationen og kan findes under Deployment / Group Policy Files efter installationen.