Suggerimenti avanzati per Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Categoria: Esercitazioni

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Microsoft Enhanced Mitigation Experience Toolkit, breve EMET, è un download opzionale per tutte le versioni client e server supportate del sistema operativo Windows di Microsoft che aggiunge la mitigazione degli exploit alle difese del sistema.

Fondamentalmente, è stato progettato per impedire che gli attacchi vengano eseguiti con successo se hanno già violato le difese del sistema come le soluzioni antivirus.

emette è facile da installare ed è pronto all'uso, ma per ottenere il massimo dal programma, è necessario dedicare tempo a conoscerlo e configurarlo.

Questo articolo fornisce suggerimenti su come ottenere il massimo da EMET.

1. Protezione dei processi importanti

EMET protegge il core Microsoft e una manciata di processi di terze parti solo dopo l'installazione. Sebbene si occupi di programmi come Java, Adobe Acrobat, Internet Explorer o Excel, non proteggerà i programmi che hai installato manualmente come Firefox, Skype o Chrome.

Sebbene sia teoricamente possibile aggiungere tutti i tuoi programmi a EMET, potresti prendere in considerazione l'aggiunta di solo programmi ad alto rischio all'applicazione.

Programmi ad alto rischio? Una breve definizione di programma ad alto rischio è che viene sfruttato regolarmente (ad es.Internet Explorer), in grado di eseguire file scaricati da Internet (browser web, client di posta elettronica) o memorizza dati preziosi per te (ad es. Software di crittografia).

Ciò renderebbe Firefox, Chrome e Thunderbird obiettivi di alto valore e Notepad, Minesweeper e Paint no.

Per aggiungere applicazioni all'elenco di protezione di EMET

1. Apri EMET sul sistema.
2. Troverai un elenco di processi in esecuzione nell'interfaccia. Se il programma che si desidera proteggere non è in esecuzione, avviarlo sul PC.
3. Successivamente, fai clic con il pulsante destro del mouse sul processo e seleziona 'configura processo' dal menu contestuale.
4. Questo aggiunge il processo selezionato all'elenco delle applicazioni di EMET.
5. Selezionare quindi okay per salvare la selezione e riavviare il programma appena aggiunto a EMET.

Mancia : Si consiglia vivamente di testare singolarmente ciascuna applicazione prima di iniziare ad aggiungere altri processi a EMET. Un programma potrebbe non essere compatibile con tutte le tecniche di mitigazione degli exploit offerte da EMET.

2. Debug dei processi con comportamenti anomali

È piuttosto alta la possibilità che si verifichino problemi dopo l'aggiunta di programmi a EMET. Alcuni programmi potrebbero rifiutarsi di avviarsi completamente mentre altri potrebbero aprirsi e chiudersi immediatamente dopo essere stati avviati.

Questo di solito è il caso in cui una o più mitigazioni non sono compatibili con il processo. Il problema principale qui è che non riceverai informazioni sulla mitigazione che ha causato il problema.

Verifica che ci sia un problema

Uno dei modi più semplici per verificare che qualcosa non funzioni correttamente è controllare le voci EMET nel registro eventi di Windows.

1. Tocca il tasto Windows, digita visualizzatore eventi e premi invio.
2. Puoi trovare le voci EMET in Visualizzatore eventi (locale)> Registri di Windows> Applicazione.

Ti suggerisco di ordinare per data e ora e cercare 'Errore dell'applicazione' come fonte. Dovresti trovare EMET.DLL elencato come origine del problema in Generale quando selezioni una delle voci di registro.

Ovviamente, potresti anche rimuovere tutte le protezioni per l'applicazione in EMET ed eseguirla di nuovo per vedere se risolve il problema.

Correggere il problema

L'unico modo sicuro per imporre la compatibilità con Microsoft EMET è tentativi ed errori. Apri nuovamente l'elenco delle applicazioni protette in EMET, disattiva tutte le protezioni e ricomincia a riattivarle una per una.

Prova a eseguire il programma dopo ogni passaggio per vedere se funziona. In tal caso, ripetere il processo attivando la successiva mitigazione in linea fino a quando non si arriva a quella che impedisce l'avvio del programma.

Disabilitare nuovamente tale mitigazione e continuare il processo finché non sono state abilitate tutte le mitigazioni compatibili con il software selezionato.

Google Chrome, ad esempio, non è riuscito a iniziare a utilizzare le mitigazioni predefinite selezionate per i nuovi processi. Ho scoperto che l'unica mitigazione con cui il browser non era compatibile era EAF che ho disabilitato di conseguenza.

3. Regole a livello di sistema

EMET viene fornito con quattro regole a livello di sistema che è possibile configurare nell'interfaccia principale. Il blocco dei certificati, la prevenzione dell'esecuzione dei dati e la protezione da sovrascrittura del gestore delle eccezioni strutturato sono abilitati come regole a livello di sistema, mentre la randomizzazione del layout dello spazio degli indirizzi è impostata su opt-in.

Ciò significa che è necessario abilitare la regola per ogni applicazione che si desidera proteggere da essa. È possibile modificare lo stato di queste regole a livello di sistema, ad esempio applicando la regola di attivazione anche a livello di sistema.

Ciò potrebbe tuttavia causare problemi con i programmi in esecuzione sul sistema. Dal momento che è applicato a tutti i programmi quando abilitato, potresti voler monitorare attentamente il sistema e tornare all'attivazione se noti problemi nell'avvio o nell'esecuzione di applicazioni sulla macchina.

4. Regola importazione ed esportazione

La configurazione dei programmi in EMET in modo che siano protetti dall'applicazione richiede del tempo a causa dei problemi descritti in precedenza.

La buona notizia è che non è necessario ripetere il processo su altri PC che gestisci poiché puoi utilizzare la funzione di importazione ed esportazione di EMET per questo.

Mancia : EMET viene fornito con una serie di regole extra che gli utenti possono aggiungere al programma. Per accedere a quelli selezionare importa in EMET e quindi uno dei seguenti:

1. CertTrust: configurazione predefinita EMET di Certificate Trust Pinning per MS e servizi online di terze parti
2. Software popolare - Abilita la protezione per software comuni come Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Software consigliato - Abilita la protezione per il software minimo consigliato come Internet Explorer, Microsof Office, Adobe Acrobat Reader e Java

L'opzione 3 è l'opzione predefinita che viene caricata automaticamente. È possibile aggiungere automaticamente altri programmi popolari a EMET importando le regole del software popolare.

Regola la migrazione e le politiche

Per esportare le regole selezionare il pulsante di esportazione nell'interfaccia principale di EMET. Scegli un nome per il file xml nella finestra di dialogo di salvataggio e una posizione.

Questo insieme di regole può quindi essere importato su altri sistemi o mantenuto come protezione sulla macchina corrente.

Poiché le regole vengono salvate come file XML, è possibile modificarle anche manualmente.

Gli amministratori possono distribuire le direttive di Criteri di gruppo anche sui sistemi. I file adml / admx fanno parte dell'installazione di EMET e possono essere trovati in Deployment / Group Policy Files dopo l'installazione.