Συμβουλές για το Advanced Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Κατηγορία: Σεμινάρια

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Το Microsoft Enhanced Mitigation Experience Toolkit, σύντομο EMET, είναι μια προαιρετική λήψη για όλες τις υποστηριζόμενες εκδόσεις πελάτη και διακομιστή του λειτουργικού συστήματος Windows της Microsoft που προσθέτει μετριασμό εκμετάλλευσης στις άμυνες του συστήματος.

Βασικά, έχει σχεδιαστεί για να αποτρέπει επιθέσεις με επιτυχία όταν έχουν παραβιάσει την άμυνα του συστήματος, όπως λύσεις προστασίας από ιούς.

EMITS είναι εύκολο να εγκατασταθεί και να εξαντληθεί, αλλά για να αξιοποιήσετε στο έπακρο το πρόγραμμα, πρέπει να αφιερώσετε χρόνο για να το γνωρίσετε και να το διαμορφώσετε.

Αυτό το άρθρο σάς παρέχει συμβουλές για το πώς να αξιοποιήσετε στο έπακρο το EMET.

1. Προστασία σημαντικών διαδικασιών

Το EMET προστατεύει τον πυρήνα της Microsoft και λίγες διαδικασίες τρίτων μόνο μετά την εγκατάσταση. Ενώ αυτό φροντίζει για προγράμματα όπως Java, Adobe Acrobat, Internet Explorer ή Excel, δεν προστατεύει προγράμματα που έχετε εγκαταστήσει μη αυτόματα, όπως Firefox, Skype ή Chrome.

Αν και θεωρητικά είναι δυνατό να προσθέσετε όλα τα προγράμματα σας στο EMET, ίσως θελήσετε να προσθέσετε μόνο προγράμματα υψηλού κινδύνου στην εφαρμογή.

Προγράμματα υψηλού κινδύνου; Ένας σύντομος ορισμός ενός προγράμματος υψηλού κινδύνου είναι ότι είτε εκμεταλλεύεται τακτικά (π.χ. Internet Explorer), μπορεί να εκτελεί αρχεία που λαμβάνονται από το Διαδίκτυο (πρόγραμμα περιήγησης ιστού, πρόγραμμα-πελάτη email) ή αποθηκεύει πολύτιμα δεδομένα για εσάς (π.χ. λογισμικό κρυπτογράφησης).

Αυτό θα έκανε τους Firefox, Chrome και Thunderbird υψηλής αξίας στόχους και Notepad, Minesweeper και Paint όχι.

Για να προσθέσετε εφαρμογές στη λίστα προστασίας του EMET

1. Ανοίξτε το EMET στο σύστημα.
2. Θα βρείτε μια λίστα διεργασιών που εκτελούνται στη διεπαφή. Εάν το πρόγραμμα που θέλετε να προστατεύσετε δεν εκτελείται, ξεκινήστε το από τον υπολογιστή.
3. Κάντε δεξί κλικ στη διαδικασία του στη συνέχεια και επιλέξτε 'Διαμόρφωση διαδικασίας' από το μενού περιβάλλοντος.
4. Αυτό προσθέτει την επιλεγμένη διαδικασία στη λίστα εφαρμογών του EMET.
5. Επιλέξτε εντάξει μετά για να αποθηκεύσετε την επιλογή και επανεκκινήστε το πρόγραμμα που μόλις προσθέσατε στο EMET.

Υπόδειξη : Συνιστάται ιδιαίτερα να δοκιμάσετε κάθε εφαρμογή ξεχωριστά προτού αρχίσετε να προσθέτετε περισσότερες διαδικασίες στο EMET. Ένα πρόγραμμα ενδέχεται να μην είναι συμβατό με όλες τις τεχνικές μετριασμού εκμετάλλευσης που προσφέρει το EMET.

2. Διαδικασίες εντοπισμού σφαλμάτων κακής συμπεριφοράς

Η πιθανότητα είναι μάλλον μεγάλη που θα αντιμετωπίσετε προβλήματα μετά την προσθήκη προγραμμάτων στο EMET. Ορισμένα προγράμματα ενδέχεται να αρνούνται να ξεκινήσουν εντελώς, ενώ άλλα ενδέχεται να ανοίξουν και να κλείσουν αμέσως μετά την εκτέλεσή τους.

Αυτό συμβαίνει συνήθως όταν ένας ή περισσότεροι μετριασμοί δεν είναι συμβατοί με τη διαδικασία. Το κύριο ζήτημα εδώ είναι ότι δεν θα λάβετε πληροφορίες σχετικά με τον περιορισμό που προκάλεσε το πρόβλημα.

Βεβαιωθείτε ότι υπάρχει πρόβλημα

Ένας από τους ευκολότερους τρόπους για να επαληθεύσετε ότι κάτι δεν λειτουργεί σωστά είναι να ελέγξετε για καταχωρήσεις EMET στο αρχείο καταγραφής συμβάντων των Windows.

1. Πατήστε το πλήκτρο Windows, πληκτρολογήστε πρόγραμμα προβολής συμβάντων και πατήστε enter.
2. Μπορείτε να βρείτε καταχωρήσεις EMET στην ενότητα Event Viewer (τοπικά)> Windows Logs> Application.

Σας προτείνω να ταξινομήσετε κατά Ημερομηνία και Ώρα και να αναζητήσετε το «Σφάλμα εφαρμογής» ως πηγή. Θα πρέπει να βρείτε το EMET.DLL ως πηγή του ζητήματος στην ενότητα Γενικά όταν επιλέγετε μία από τις καταχωρήσεις καταγραφής.

Προφανώς, θα μπορούσατε επίσης να καταργήσετε όλες τις προστασίες για την εφαρμογή στο EMET και να την εκτελέσετε ξανά για να δείτε εάν επιλύει το πρόβλημα.

Διόρθωση του ζητήματος

Ο μόνος σίγουρος τρόπος επιβολής συμβατότητας με το Microsoft EMET είναι δοκιμή και σφάλμα. Ανοίξτε ξανά την καταχώριση προστατευμένων εφαρμογών στο EMET, απενεργοποιήστε όλες τις προστασίες και ξεκινήστε να τις ενεργοποιείτε ξανά μία προς μία.

Προσπαθήστε να εκτελέσετε το πρόγραμμα μετά από κάθε διακόπτη για να δείτε εάν λειτουργεί. Εάν ναι, επαναλάβετε τη διαδικασία ενεργοποιώντας τον επόμενο μετριασμό στη σειρά μέχρι να φτάσετε σε αυτό που εμποδίζει την εκκίνηση του προγράμματος.

Απενεργοποιήστε ξανά αυτόν τον μετριασμό και συνεχίστε τη διαδικασία έως ότου ενεργοποιήσετε όλους τους μετριασμούς που είναι συμβατοί με το επιλεγμένο λογισμικό.

Το Google Chrome για παράδειγμα απέτυχε να αρχίσει να χρησιμοποιεί τους προεπιλεγμένους μετριασμούς που έχουν επιλεγεί για νέες διαδικασίες. Ανακάλυψα ότι ο μόνος μετριασμός του προγράμματος περιήγησης δεν ήταν συμβατός με το EAF με το οποίο απενεργοποίησα κατά συνέπεια.

3. Κανόνες σε ολόκληρο το σύστημα

Το EMET αποστέλλεται με τέσσερις κανόνες σε όλο το σύστημα που μπορείτε να διαμορφώσετε στην κύρια διεπαφή. Η καρφίτσα πιστοποιητικών, η πρόληψη εκτέλεσης δεδομένων και η προστασία αντικατάστασης δομημένων εξαιρέσεων ενεργοποιούνται ως κανόνες σε ολόκληρο το σύστημα, ενώ η τυχαία διάταξη διάταξης διαστήματος διευθύνσεων έχει οριστεί για συμμετοχή.

Αυτό σημαίνει ότι πρέπει να ενεργοποιήσετε τον κανόνα για κάθε εφαρμογή που θέλετε να προστατεύεται από αυτήν. Μπορείτε να αλλάξετε την κατάσταση αυτών των κανόνων σε ολόκληρο το σύστημα, για παράδειγμα με την επιβολή του κανόνα επιλογής σε όλο το σύστημα.

Ωστόσο, αυτό μπορεί να προκαλέσει προβλήματα με προγράμματα που εκτελούνται στο σύστημα. Δεδομένου ότι εφαρμόζεται για όλα τα προγράμματα όταν είναι ενεργοποιημένα, ίσως θελήσετε να παρακολουθήσετε στενά το σύστημα και να επιστρέψετε στην επιλογή εάν παρατηρήσετε προβλήματα κατά την έναρξη ή την εκτέλεση εφαρμογών στο μηχάνημα.

4. Κανόνας εισαγωγής και εξαγωγής

Η διαμόρφωση προγραμμάτων στο EMET έτσι ώστε να προστατεύονται από την εφαρμογή διαρκεί λίγο λόγω των ζητημάτων που περιγράφονται παραπάνω.

Τα καλά νέα είναι ότι δεν χρειάζεται να επαναλάβετε τη διαδικασία σε άλλους υπολογιστές που διαχειρίζεστε, καθώς μπορείτε να χρησιμοποιήσετε τη λειτουργία εισαγωγής και εξαγωγής του EMET για αυτό.

Υπόδειξη : Το EMET αποστέλλεται με ένα σύνολο επιπλέον κανόνων που οι χρήστες μπορούν να προσθέσουν στο πρόγραμμα. Για πρόσβαση σε αυτές, επιλέξτε εισαγωγή στο EMET και, στη συνέχεια, ένα από τα ακόλουθα:

1. CertTrust - Προεπιλεγμένη διαμόρφωση EMET του Certificate Trust Pinning για υπηρεσίες MS και τρίτων
2. Δημοφιλές λογισμικό - Επιτρέπει προστασία για κοινό λογισμικό όπως Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Προτεινόμενο λογισμικό - Επιτρέπει προστασία για ελάχιστα προτεινόμενα λογισμικά, όπως Internet Explorer, Microsof Office, Adobe Acrobat Reader και Java

Η επιλογή 3 είναι η προεπιλεγμένη επιλογή που φορτώνεται αυτόματα. Μπορείτε να προσθέσετε αυτόματα άλλα δημοφιλή προγράμματα στο EMET εισάγοντας τους κανόνες του Δημοφιλούς Λογισμικού.

Μετανάστευση κανόνα και πολιτικές

Για κανόνες εξαγωγής επιλέξτε το κουμπί εξαγωγής στην κύρια διεπαφή του EMET. Επιλέξτε ένα όνομα για το αρχείο xml στο διάλογο αποθήκευσης και σε μια τοποθεσία.

Αυτό το σύνολο κανόνων μπορεί στη συνέχεια να εισαχθεί σε άλλα συστήματα ή να διατηρηθεί ως προστασία για το τρέχον μηχάνημα.

Δεδομένου ότι οι κανόνες αποθηκεύονται ως αρχεία XML, μπορείτε επίσης να τους επεξεργαστείτε χειροκίνητα.

Οι διαχειριστές μπορούν να αναπτύξουν οδηγίες πολιτικής ομάδας και σε συστήματα. Τα αρχεία adml / admx αποτελούν μέρος της εγκατάστασης EMET και μπορείτε να τα βρείτε στην ενότητα Deployment / Group Policy Files μετά την εγκατάσταση.