Extra skydd för Windows-datorer med EMET

Det blir allt vanligare att höra om sårbarheter som aktivt utnyttjas utan en patch tillgänglig för den drabbade produkten. Samtidigt finns det organisationer som av många orsaker (kompatibilitet, budget, support eller många andra problem) måste lita på programvara som inte kan uppgraderas / korrigeras, inte följer säker kodningspraxis eller inte tillämpar säkerhetsfunktioner . För att skydda Windows-datorer i dessa scenarier utvecklade Microsoft gratis Enhanced Mitigation Experience Toolkit (EMET).

Enhanced Mitigation Experience Toolkit är i grunden ett anti-exploit-verktyg, och använder tekniker för exploateringsbegränsning som Data Execution Prevention (DEP) och Address Space Layout Randomization (ASLR) på applikationer och processer som inte använder dem naturligt. Det ger ett enkelt gränssnitt som gör det möjligt för administratörer att härda valfritt antal applikationer, oavsett om de kommer från Microsoft eller från andra leverantörer. Du hittar den senaste versionen (version 3.0 för närvarande) av EMET här. .NET Framework 2.0 måste installeras för att EMET ska fungera med Windows XP och Windows Server 2003. För alla andra versioner av Windows stöds det inga ytterligare krav och det kan användas på både 32 eller 64-bitars system.

När du har installerat kan du starta EMET från kommandoraden eller GUI. GUI-gränssnittet är indelat i två delar, en för systemstatus och en för löpande processer. Figur A visar gränssnittet i ett Windows 7-system:

Klicka på bilderna för att förstora.
I avsnittet Systemkonfiguration ( figur B ) konfigureras minskningar systemomfattande utan att behöva ange de enskilda processerna som ska använda dem. De tillgängliga systemalternativen varierar beroende på operativsystemet där EMET är installerat. I Windows XP är till exempel SEHOP (Structured Exception Handler Overwrite Protection) och ASLR inte tillgängliga, även om detta inte på något sätt minskar användbarheten av verktyget för detta operativsystem. Till att börja med är det bäst att bara använda de rekommenderade systemsäkerhetsinställningarna, eftersom en kraftfull tillämpning av dessa begränsningar på hela systemet har den största potentialen för att orsaka kompatibilitets- eller stabilitetsproblem.

Figur B

Avsnittet med applikationskonfiguration ( figur C ) är där du kan aktivera individuella begränsningar för de olika applikationerna eller processerna i systemet. Som standard är listan tom, men du kan klicka på knappen Lägg till för att hitta specifika körbara filer på ditt system och aktivera de specifika säkerhetsmekanismer du vill att den ska använda. Eftersom de flesta nolldagarsattacker fokuserar på applikationer som vetter mot internet, kanske du vill lägga till alla webbläsare som är installerade på ditt system, installerade Java-instanser, mediaspelare (Windows Media Player, VLC, QuickTime, etc.) och Adobe-produkter.

Figur C

Alternativt innehåller EMET ett antal fördefinierade profiler som täcker vanliga applikationer som kan hjälpa dig att komma igång. Dessa profiler (i XML-format) finns i EMET-installationsmappen under Deployment \ Protection Profiles. Det finns tre profiler inkluderade: Internet Explorer.xml som möjliggör begränsningar för de versioner som stöds av den webbläsaren, Office Software.xml som lägger till Microsoft Office och vissa Adobe-produkter och All.xml som dessutom täcker vanliga applikationer. Figur D visar en del av produkterna som ingår i All-profilen:

Figur D

Observera att för enskilda applikationer finns ytterligare begränsningar tillgängliga, inklusive skydd mot tekniker som "heap spraying" och null dereferences. EMETs användarhandbok som ingår i installationsmappen ger en mycket bra översikt över alla dessa begränsningar och en kompatibilitetsguide för de olika operativsystemen.

EMET 3.0 tillhandahåller support för företagsinstallationer med hjälp av grupppolicy eller hanteringsverktyg som Configuration Manager. För grupppolicy inkluderar EMET en ADMX-fil med samma fördefinierade profiler som nämnts tidigare som kan aktiveras eller inaktiveras med GPO: er. För dem som vill använda skript för distribution kan EMET också konfigureras med kommandoraden. EMET Notifier, en ny funktion som läggs till i den här versionen, hjälper också organisationer att övervaka EMET, eftersom det kan skriva händelser till applikationsloggen och presentera användaren meddelanden om aktivitetsfältet när en applikation har avslutats på grund av ett försök att utnyttja. Innan du utför en massiv distribution bör du dock testa EMET noggrant med dina applikationer eftersom det finns den verkliga risken för problem med kompatibilitet eller stabilitet. I synnerhet äldre applikationer är mer mottagliga för kompatibilitetsproblem.

EMET är definitivt inte en silverkula. Det ökar en PC: s säkerhetsställning genom att göra det mycket svårt att framgångsrikt utnyttja vissa typer av sårbarheter, men det kommer inte att skydda mot andra, till exempel problem med skript på flera webbplatser. Det är bäst att betrakta det som en del av din fördjupade strategi, som ska användas tillsammans med standardverktyg som anti-malware och brandväggar. Som sagt, EMET är ett mycket intressant säkerhetsverktyg, med ett lättanvänt gränssnitt och enkla distributionsalternativ som skulle göra ett bra komplement till alla Windows-användarsäkerhetsarsenal.

© Copyright 2020 | mobilegn.com