Советы по расширенному набору средств Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Категория: Учебники

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Набор средств Microsoft Enhanced Mitigation Experience Toolkit, сокращенно EMET, является необязательной загрузкой для всех поддерживаемых клиентских и серверных версий операционной системы Microsoft Windows, которая добавляет защиту системы от уязвимостей.

По сути, он был разработан для предотвращения успешного проведения атак, если они уже нарушили защиту системы, такую ​​как антивирусные решения.

Издает проста в установке и запускается сразу после установки, но чтобы получить максимальную отдачу от программы, вам нужно потратить время на ее изучение и настройку.

В этой статье вы найдете советы о том, как максимально эффективно использовать EMET.

1. Защита важных процессов

EMET защищает ядро ​​Microsoft и некоторые сторонние процессы только после установки. Хотя это касается таких программ, как Java, Adobe Acrobat, Internet Explorer или Excel, он не защищает программы, которые вы установили вручную, такие как Firefox, Skype или Chrome.

Хотя теоретически возможно добавить все свои программы в EMET, вы можете вместо этого рассмотреть возможность добавления в приложение только программ с высоким риском.

Программы высокого риска? Краткое определение программы с высоким риском заключается в том, что она либо регулярно используется (например, Internet Explorer), способна выполнять файлы, загруженные из Интернета (веб-браузер, почтовый клиент), либо хранит для вас ценные данные (например, программное обеспечение для шифрования).

Это сделало бы Firefox, Chrome и Thunderbird важными целями, а Notepad, Minesweeper и Paint - нет.

Чтобы добавить приложения в список защиты EMET

1. Откройте EMET в системе.
2. Вы найдете список запущенных процессов в интерфейсе. Если программа, которую вы хотите защитить, не запущена, запустите ее на ПК.
3. После этого щелкните его процесс правой кнопкой мыши и выберите «Настроить процесс» из контекстного меню.
4. Это добавит выбранный процесс в список приложений EMET.
5. Затем выберите ОК, чтобы сохранить выбор и перезапустить программу, которую вы только что добавили в EMET.

Наконечник : Настоятельно рекомендуется протестировать каждое приложение по отдельности, прежде чем вы начнете добавлять новые процессы в EMET. Программа может быть несовместима со всеми методами защиты от эксплойтов, которые предлагает EMET.

2. Отладка некорректных процессов

Достаточно высока вероятность того, что вы столкнетесь с проблемами после добавления программ в EMET. Некоторые программы могут полностью отказываться от запуска, в то время как другие могут открываться и закрываться сразу после их запуска.

Обычно это происходит, когда одно или несколько средств защиты несовместимы с процессом. Основная проблема здесь в том, что вы не получите информацию о том, какое средство защиты вызвало проблему.

Убедитесь, что есть проблема

Один из самых простых способов проверить, что что-то не работает, - это проверить записи EMET в журнале событий Windows.

1. Нажмите на клавишу Windows, введите средство просмотра событий и нажмите Enter.
2. Записи EMET можно найти в разделе «Средство просмотра событий (локальное)»> «Журналы Windows»> «Приложение».

Я предлагаю вам сортировать по дате и времени и искать «Ошибка приложения» в качестве источника. Вы должны найти EMET.DLL в списке как источник проблемы в разделе Общие при выборе одной из записей журнала.

Очевидно, вы также можете удалить все средства защиты приложения в EMET и запустить его снова, чтобы увидеть, решит ли оно проблему.

Исправление проблемы

Единственный верный способ обеспечить совместимость с Microsoft EMET - это метод проб и ошибок. Снова откройте список защищенных приложений в EMET, выключите все защиты и начните их снова включать по очереди.

Попробуйте запускать программу после каждого переключения, чтобы проверить, работает ли она. Если это так, повторите процесс, включив следующее в очереди смягчение, пока не дойдете до того, которое препятствует запуску программы.

Снова отключите это смягчение и продолжайте процесс, пока вы не включите все меры, совместимые с выбранным программным обеспечением.

Например, Google Chrome не смог начать использовать средства защиты по умолчанию, выбранные для новых процессов. Я обнаружил, что единственным средством защиты, с которым браузер был несовместим, был EAF, который я как следствие отключил.

3. Общесистемные правила

EMET поставляется с четырьмя общесистемными правилами, которые вы можете настроить в главном интерфейсе. Закрепление сертификатов, предотвращение выполнения данных и защита от перезаписи обработчика структурированных исключений включены в качестве общесистемных правил, в то время как для рандомизации адресного пространства вместо этого установлено согласие.

Это означает, что вам нужно включить правило для каждого приложения, которое вы хотите им защитить. Вы можете изменить статус этих общесистемных правил, например, применив правило включения также и для всей системы.

Однако это может вызвать проблемы с программами, запущенными в системе. Поскольку при включении он применяется для всех программ, вы можете внимательно следить за системой и вернуться к подписке, если вы заметили проблемы с запуском или запуском приложений на машине.

4. Импорт и экспорт правил

Настройка программ в EMET таким образом, чтобы они были защищены приложением, занимает некоторое время из-за проблем, описанных выше.

Хорошая новость заключается в том, что вам не нужно повторять этот процесс на других компьютерах, которыми вы управляете, поскольку для этого вы можете использовать функцию импорта и экспорта EMET.

Наконечник : EMET поставляется с набором дополнительных правил, которые пользователи могут добавлять в программу. Чтобы получить к ним доступ, выберите импорт в EMET, а затем один из следующих вариантов:

1. CertTrust - конфигурация EMET по умолчанию для фиксации доверия сертификатов для MS и сторонних онлайн-сервисов
2. Популярное программное обеспечение - обеспечивает защиту распространенного программного обеспечения, такого как Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera.
3. Рекомендуемое программное обеспечение - обеспечивает защиту минимально рекомендуемого программного обеспечения, такого как Internet Explorer, Microsof Office, Adobe Acrobat Reader и Java.

Вариант 3 - это вариант по умолчанию, который загружается автоматически. Вы можете автоматически добавлять другие популярные программы в EMET, импортировав правила Popular Software.

Перенос правил и политики

Чтобы экспортировать правила, нажмите кнопку экспорта в главном интерфейсе EMET. Выберите имя для XML-файла в диалоговом окне сохранения и местоположение.

Этот набор правил затем можно импортировать в другие системы или сохранить в качестве защиты на текущем компьютере.

Поскольку правила сохраняются в виде файлов XML, вы также можете редактировать их вручную.

Администраторы также могут развертывать директивы групповой политики в системах. Файлы adml / admx являются частью установки EMET и после установки находятся в разделе «Файлы развертывания / групповой политики».