Avanserte Microsoft Enhanced Mitigation Experience Toolkit (EMET) tips

• Kategori: Guider

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Microsoft Enhanced Mitigation Experience Toolkit, kort EMET, er en valgfri nedlasting for alle støttede klient- og serverversjoner av Microsofts Windows-operativsystem som gir utvidelsesbegrensning til systemets forsvar.

I utgangspunktet er det designet for å forhindre at angrep blir utført vellykket hvis de allerede har brutt systemforsvar som antivirusløsninger.

avgir er enkel å installere og går tom for boksen, men for å få mest mulig ut av programmet, må du bruke tid på å bli kjent med det og konfigurere det.

Denne artikkelen gir deg tips om hvordan du kan få mest mulig ut av EMET.

1. Å beskytte viktige prosesser

EMET beskytter kjernen fra Microsoft og en håndfull tredjepartsprosesser bare etter installasjon. Selv om det tar vare på programmer som Java, Adobe Acrobat, Internet Explorer eller Excel, beskytter det ikke programmer som du har installert manuelt, for eksempel Firefox, Skype eller Chrome.

Selv om det teoretisk er mulig å legge til alle programmene dine til EMET, kan det være lurt å vurdere å legge til høyrisikoprogrammer til applikasjonen i stedet.

Høyrisikoprogrammer? En kort definisjon av et høyrisikoprogram er at det enten blir utnyttet regelmessig (f.eks. Internet Explorer), er i stand til å utføre filer som er lastet ned fra Internett (nettleser, e-postklient), eller lagrer verdifull data for deg (f.eks. Krypteringsprogramvare).

Dette ville gjøre Firefox, Chrome og Thunderbird målverdier med høy verdi og Notisblokk, Minesveiper og Maling ikke.

For å legge til applikasjoner i EMETs beskyttelsesliste

1. Åpne EMET på systemet.
2. Du finner en liste over kjørende prosesser i grensesnittet. Hvis programmet du vil beskytte ikke kjører, start det på PC-en.
3. Høyreklikk på prosessen etterpå og velg 'konfigurer prosess' fra hurtigmenyen.
4. Dette legger den valgte prosessen til EMETs applikasjonsliste.
5. Velg greit etterpå for å lagre markeringen og starte programmet du nettopp har lagt til EMET.

Tips : Det anbefales sterkt å teste hver applikasjon individuelt før du begynner å legge til flere prosesser til EMET. Et program er kanskje ikke kompatibelt med alle utnyttelsestiltaksteknikker som EMET tilbyr.

2. Feilsøke feil oppføringsprosesser

Sjansen er ganske stor for at du vil støte på problemer etter å ha lagt til programmer i EMET. Noen programmer kan nekte å starte helt mens andre åpner og lukker umiddelbart etter at de er startet.

Dette er vanligvis tilfelle når en eller flere avbøtninger ikke er kompatible med prosessen. Hovedproblemet her er at du ikke vil motta informasjon som begrensning forårsaket problemet.

Kontroller at det er et problem

En av de enkleste måtene å bekrefte at noe ikke fungerer riktig er å se etter EMET-oppføringer i Windows Event log.

1. Trykk på Windows-tasten, skriv inn hendelsesvisning og trykk enter.
2. Du finner EMET-oppføringer under Event Viewer (lokal)> Windows Logs> Application.

Jeg foreslår at du sorterer etter dato og klokkeslett, og ser etter 'Application Error' som kilden. Du bør finne EMET.DLL oppført som kilden til problemet under Generelt når du velger en av loggoppføringene.

Det er klart at du også kan fjerne alle beskyttelser for applikasjonen i EMET og kjøre den igjen for å se om den løser problemet.

Retting av problemet

Den eneste sikre måten å håndheve kompatibilitet med Microsoft EMET er prøving og feiling. Åpne listen over beskyttede applikasjoner igjen i EMET, slå av alle beskyttelser og begynn å slå dem på en etter en.

Forsøk å kjøre programmet etter hver bryter for å se om det fungerer. Gjør det, gjenta prosessen ved å slå på neste avbøtende linje i kø til du kommer til en som forhindrer at programmet starter opp.

Deaktiver den avbøtningen igjen og fortsett prosessen til du har aktivert alle avbøtninger som er kompatible med den valgte programvaren.

Google Chrome klarte for eksempel ikke å bruke standardmindringene som er valgt for nye prosesser. Jeg oppdaget at den eneste avbøtningen nettleseren ikke var kompatibel med, var EAF som jeg deaktiverte som en konsekvens.

3. System-brede regler

EMET leveres med fire system-brede regler som du kan konfigurere i hovedgrensesnittet. Sertifikatsnetting, databehandlingsforebygging og strukturert unntak Håndterer overskrivingsbeskyttelse er aktivert som systemomfattende regler mens adresselokalisering Randomisering er satt til å melde deg på i stedet.

Dette betyr at du må aktivere regelen for hvert program du vil beskytte av det. Du kan endre statusen til disse systembreddsreglene, for eksempel ved å håndheve opt-in-regelen også hele systemet.

Dette kan imidlertid føre til problemer med programmer som kjører på systemet. Siden det håndheves for alle programmer når det er aktivert, kan det være lurt å overvåke systemet nøye og bytte tilbake til opt-in hvis du merker problemer med å starte eller kjøre applikasjoner på maskinen.

4. Regel om import og eksport

Det tar en stund å konfigurere programmer i EMET slik at de blir beskyttet av applikasjonen på grunn av problemene beskrevet ovenfor.

Gode ​​nyheter er at du ikke trenger å gjenta prosessen på andre PCer som du administrerer, da du kan bruke EMETs import og eksportfunksjon til det.

Tips : EMET leveres med et sett med ekstra regler som brukere kan legge til programmet. For å få tilgang til disse velger du import i EMET og deretter ett av følgende:

1. CertTrust - EMET standardkonfigurasjon av Certificate Trust Pinning for MS og tredjeparts online tjenester
2. Populær programvare - Aktiverer beskyttelse for vanlig programvare som Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Anbefalt programvare - Aktiverer beskyttelse for minimalt anbefalt programvare som Internet Explorer, Microsof Office, Adobe Acrobat Reader og Java

Alternativ 3 er standardalternativet som lastes automatisk. Du kan legge til andre populære programmer til EMET automatisk ved å importere Popular Software-reglene.

Regel migrering og politikk

For å eksportere regler velger du eksportknappen i EMETs hovedgrensesnitt. Velg et navn for xml-filen i lagringsdialogen og et sted.

Dette regelverket kan deretter importeres til andre systemer, eller oppbevares som en beskyttelse på den gjeldende maskinen.

Siden regler er lagret som XML-filer, kan du redigere dem manuelt også.

Administratorer kan også distribuere gruppepolitiske direktiver på systemer. Adml / admx-filene er en del av EMET-installasjonen og finner du under Deployment / Group Policy Files etter installasjonen.