6 Zaawansowane porady dotyczące zabezpieczania aplikacji na komputerze za pomocą EMET
Zestaw narzędzi Enhanced Mitigation Experience Toolkit to najlepiej zachowany sekret bezpieczeństwa firmy Microsoft. Łatwo jest zainstalować EMET i szybko zabezpieczyć wiele popularnych aplikacji, ale o wiele więcej możesz zrobić z EMET.
EMET nie pojawi się i zadadzą ci pytania, więc jest to rozwiązanie typu "załóż i zapomnij" po skonfigurowaniu. Oto, jak zabezpieczyć więcej aplikacji za pomocą narzędzia EMET i naprawić je, jeśli się zepsują.
Wiedzieć, czy EMET łamie aplikację
Jeśli aplikacja zrobi coś, czego nie pozwalają reguły EMET, EMET wyłączy aplikację - i tak jest to ustawienie domyślne. EMET zamyka aplikacje, które zachowują się w potencjalnie niebezpieczny sposób, więc nie mogą wystąpić żadne exploity. System Windows nie robi tego domyślnie dla wszystkich aplikacji, ponieważ naruszałoby to zgodność z wieloma używanymi obecnie aplikacjami systemu Windows.
Jeśli aplikacja zostanie zerwana, aplikacja zostanie natychmiast zamknięta, a na pasku zadań pojawi się okienko z ikoną EMET. Zostanie również zapisany w dzienniku zdarzeń systemu Windows - te opcje można dostosować w polu Raportowanie na wstążce u góry okna EMET.
Użyj 64-bitowej wersji systemu Windows
64-bitowe wersje systemu Windows są bezpieczniejsze, ponieważ mają dostęp do funkcji takich jak randomizacja układu przestrzeni adresowej (ASLR). Nie wszystkie z tych funkcji będą dostępne, jeśli używasz 32-bitowej wersji systemu Windows. Podobnie jak sam system Windows, funkcje zabezpieczeń EMET są bardziej wszechstronne i przydatne na 64-bitowych komputerach.
Zablokuj określone procesy
Prawdopodobnie będziesz chciał zablokować określone aplikacje zamiast całego systemu. Skoncentruj się na aplikacjach, które najprawdopodobniej zostaną naruszone. Oznacza to przeglądarki internetowe, wtyczki do przeglądarek, programy czatu i inne oprogramowanie komunikujące się z Internetem lub otwierające pobrane pliki. Niskopoziomowe usługi systemowe i aplikacje uruchamiane w trybie offline bez otwierania pobranych plików są mniej zagrożone. Jeśli masz ważną aplikację biznesową - być może taką, która łączy się z Internetem - może to być aplikacja, którą chcesz zabezpieczyć najbardziej.
Aby zabezpieczyć uruchomioną aplikację, zlokalizuj ją na liście EMET, kliknij ją prawym przyciskiem myszy i wybierz opcję Skonfiguruj proces.
(Jeśli chcesz zabezpieczyć proces, który nie działa, otwórz okno aplikacji i użyj przycisków Dodaj aplikację lub Dodaj symbole wieloznaczne).
Pojawi się okno konfiguracji aplikacji z podświetloną aplikacją. Domyślnie wszystkie reguły zostaną automatycznie włączone. Po prostu kliknij przycisk OK tutaj, aby zastosować wszystkie reguły.
Jeśli twoja aplikacja nie działa poprawnie, zechcesz tu wrócić i spróbować wyłączyć niektóre z ograniczeń tej aplikacji. Wyłącz je jeden po drugim, aż aplikacja zadziała i możesz wyizolować problem.
Jeśli nie chcesz w ogóle ograniczać aplikacji, zaznacz ją na liście i kliknij przycisk Usuń wybrane, aby usunąć reguły i przywrócić aplikację do stanu domyślnego.
Zmień zasady systemowe
Sekcja Status systemu pozwala wybrać reguły dla całego systemu. Prawdopodobnie będziesz chciał trzymać się wartości domyślnych, dzięki czemu aplikacje mogą włączyć te zabezpieczenia.
Możesz wybrać "Zawsze włączone" lub "Opóźnienie aplikacji" dla tych ustawień dla maksymalnego bezpieczeństwa. Może to przerwać wiele aplikacji, zwłaszcza starszych. Jeśli aplikacje zaczną źle działać, możesz przywrócić ustawienia domyślne lub utworzyć reguły "rezygnacji" dla aplikacji.
Aby utworzyć regułę rezygnacji, kliknij proces prawym przyciskiem myszy i wybierz opcję Konfiguruj proces. Odznacz typ ochrony, z której chcesz zrezygnować - jeśli więc chcesz zrezygnować z ASLR w całym systemie, odznacz pola wyboru MandatoryASLR i BottomUpASLR dla tego procesu. Kliknij OK, aby zapisać regułę.
Zauważ, że włączono opcję "Zawsze włączone" dla DEP powyżej, więc nie możemy wyłączyć funkcji DEP dla żadnych procesów w oknie Konfiguracja aplikacji poniżej.
Zasady testowania w trybie "Tylko audyt"
Jeśli chcesz przetestować reguły EMET, ale nie chcesz zajmować się żadnymi problemami, możesz włączyć tryb "Tylko audyt". Kliknij ikonę Aplikacje w oknie EMET, aby uzyskać dostęp do okna Konfiguracja aplikacji. Znajdziesz sekcję Domyślna akcja na wstążce u góry ekranu. Domyślnie jest ustawiony na Zatrzymaj przy użyciu exploita - EMET zamknie aplikację, jeśli złamie regułę. Możesz także ustawić tylko na Audyt. Jeśli aplikacja złamie jedną z reguł EMET, EMET zgłosi problem i pozwoli aplikacji kontynuować działanie.
To w oczywisty sposób eliminuje korzyści bezpieczeństwa związane z uruchamianiem EMET, ale jest to dobry sposób na testowanie reguł przed przywróceniem EMET z powrotem do trybu "Zatrzymaj przy wykorzystaniu".
Zasady eksportu i importu
Po utworzeniu i przetestowaniu reguł, użyj przycisku Eksportuj lub Eksportuj wybrane, aby wyeksportować reguły do pliku. Możesz następnie zaimportować je na dowolnym innym komputerze, z którego korzystasz i uzyskać te same zabezpieczenia bez konieczności używania innych urządzeń.
W sieciach korporacyjnych zasady EMET i sam system EMET można wdrożyć za pomocą zasad grupy.
Nic z tego nie jest obowiązkowe. Jeśli jesteś użytkownikiem domowym, który nie chce sobie z tym poradzić, możesz po prostu zainstalować EMET i trzymać się zalecanych domyślnych ustawień.