Ekstra beskyttelse for Windows-PCer med EMET

Det blir stadig mer vanlig å høre om sårbarheter som blir utnyttet aktivt uten en oppdatering tilgjengelig for det berørte produktet. Samtidig er det organisasjoner som av mange årsaker (kompatibilitet, budsjett, support eller mange andre problemer) må stole på programvare som ikke kan oppgraderes / oppdateres, ikke følger sikker kodingspraksis eller ikke bruker sikkerhetsfunksjoner . For å beskytte Windows-PCer i disse scenariene utviklet Microsoft den gratis Enhanced Mitigation Experience Toolkit (EMET).

Verktøyet for utvidet avbøtningsopplevelse er i hovedsak et anti-exploit-verktøy, og bruker utnyttelsesbegrensende teknologier som DEP (Data Execution Prevention (DEP)) og ASLR (Address Space Layout Randomization) til applikasjoner og prosesser som ikke bruker dem opprinnelig. Det gir et enkelt grensesnitt som lar administratorer herde et hvilket som helst antall applikasjoner, enten de er fra Microsoft eller fra andre leverandører. Du finner den nyeste versjonen (versjon 3.0 på dette tidspunktet) av EMET her. .NET Framework 2.0 må være installert for at EMET skal fungere med Windows XP og Windows Server 2003. For alle andre støttede versjoner av Windows er det ingen tilleggskrav, og den kan brukes på både 32 eller 64-biters systemer.

Når den er installert, kan du starte EMET fra kommandolinjen eller GUI. GUI-grensesnittet er delt i to deler, en for systemstatus og en for løpeprosesser. Figur A viser grensesnittet på et Windows 7-system:

Klikk på bilder for å forstørre.
I avsnittet Systemkonfigurasjon ( figur B ) er formildinger konfigurert hele systemet uten å måtte spesifisere de individuelle prosessene som skal bruke dem. De tilgjengelige systemalternativene varierer avhengig av operativsystemet der EMET er installert. I Windows XP er for eksempel SEHOP (Structured Exception Handler Overwrite Protection) og ASLR ikke tilgjengelig, selv om dette på ingen måte reduserer bruken av verktøyet for dette operativsystemet. Til å begynne med er det best å bare bruke de anbefalte innstillinger for systemsikkerhet, siden å bruke disse avbøtningene kraftig på hele systemet har det største potensialet for å forårsake problemer med kompatibilitet eller stabilitet.

Figur B

Applikasjonskonfigurasjonsdelen ( figur C ) er der du kan aktivere individuelle avbøtninger til de forskjellige applikasjonene eller prosessene i systemet. Som standard er listen tom, men du kan klikke på Legg til-knappen for å finne spesifikke kjørbare filer på systemet ditt og aktivere de spesifikke sikkerhetsmekanismene du vil at den skal bruke. Siden de fleste angrep på null dager fokuserer på applikasjoner som vender mot Internett, kan det være lurt å legge til alle nettleserne som er installert på systemet ditt, installerte Java-forekomster, mediaspillere (Windows Media Player, VLC, QuickTime, osv.) Og Adobe-produkter.

Figur C

Alternativt inkluderer EMET et antall forhåndsdefinerte profiler som dekker vanlige applikasjoner som kan hjelpe deg i gang. Disse profilene (i XML-format) finner du i EMET-installasjonsmappen under Deployment \ Protection Profiles. Det er tre profiler inkludert: Internet Explorer.xml som muliggjør avbøtninger for støttede versjoner av nettleseren, Office Software.xml som legger til Microsoft Office og noen Adobe-produkter, og All.xml som i tillegg dekker vanlige applikasjoner. Figur D viser en del av produktene som er inkludert i All-profilen:

Figur D

Legg merke til at for individuelle applikasjoner er det ytterligere begrensninger tilgjengelig, inkludert beskyttelse mot teknikker som "heap spraying" og null dereferences. EMETs brukerhåndbok som er inkludert i installasjonsmappen gir en veldig god oversikt over alle disse avbøtningene og en kompatibilitetsveiledning for de forskjellige operativsystemene.

EMET 3.0 gir støtte for virksomhetsdistribusjoner ved bruk av Group Policy eller administrasjonsverktøy som Configuration Manager. For gruppepolitikk inkluderer EMET en ADMX-fil med de samme forhåndsdefinerte profilene som er nevnt før, og som kan aktiveres eller deaktiveres ved hjelp av GPO-er. For de som ønsker å bruke skript for distribusjon, kan EMET også konfigureres ved å bruke kommandolinjen. EMET-varsleren, en ny funksjon som er lagt til i denne versjonen, hjelper også organisasjoner med å overvåke EMET, ettersom den kan skrive hendelser til applikasjonsloggen og presentere brukeren varsler på oppgavelinjeområdet når en applikasjon er avsluttet på grunn av en forsøkt utnyttelse. Før du utfører en massiv distribusjon, bør du imidlertid teste EMET grundig med applikasjonene dine fordi det er den reelle risikoen for å oppstå kompatibilitets- eller stabilitetsproblemer. Spesielt eldre applikasjoner er mer utsatt for kompatibilitetsproblemer.

EMET er definitivt ikke en sølvkule. Det øker en PCs sikkerhetsstilling ved å gjøre det veldig vanskelig å utnytte visse typer sårbarheter, men den vil ikke beskytte mot andre, for eksempel sikkerhetsproblemer på tvers av nettsteder. Det er best å vurdere det som en del av din dyptgående forsvarsstrategi, som skal brukes sammen med standardverktøy som anti-malware og brannmurer. Når det er sagt, er EMET et veldig interessant sikkerhetsverktøy, med et brukervennlig grensesnitt og enkle distribusjonsalternativer som vil gi et fint tillegg til ethvert Windows-brukersikkerhetsarsenal.

© Copyright 2020 | mobilegn.com