Geavanceerde Microsoft EMET-tips (Enhanced Mitigation Experience Toolkit)

• Categorie: Tutorials

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

De Microsoft Enhanced Mitigation Experience Toolkit, afgekort EMET, is een optionele download voor alle ondersteunde client- en serverversies van het Windows-besturingssysteem van Microsoft die exploitatiebeperking toevoegt aan de verdediging van het systeem.

In feite is het ontworpen om te voorkomen dat aanvallen succesvol worden uitgevoerd als ze al inbreuk hebben gemaakt op de systeemverdediging, zoals antivirusoplossingen.

UITGEGEVEN is eenvoudig te installeren en werkt direct uit de doos, maar om het meeste uit het programma te halen, moet u tijd besteden aan het leren kennen en configureren.

In dit artikel vindt u tips om het meeste uit EMET te halen.

1. Bescherming van belangrijke processen

EMET beschermt de kern van Microsoft en een handvol processen van derden pas na installatie. Hoewel dat zorgt voor programma's als Java, Adobe Acrobat, Internet Explorer of Excel, beschermt het geen programma's die u handmatig hebt geïnstalleerd, zoals Firefox, Skype of Chrome.

Hoewel het theoretisch mogelijk is om al uw programma's aan EMET toe te voegen, kunt u overwegen om in plaats daarvan alleen programma's met een hoog risico aan de toepassing toe te voegen.

Programma's met een hoog risico? Een korte definitie van een programma met een hoog risico is dat het ofwel regelmatig wordt uitgebuit (bijv.Internet Explorer), bestanden kan uitvoeren die van internet zijn gedownload (webbrowser, e-mailclient), of waardevolle gegevens voor u opslaat (bijv. Coderingssoftware).

Dit zou Firefox, Chrome en Thunderbird hoogwaardige doelen maken en Kladblok, Mijnenveger en Paint niet.

Om toepassingen toe te voegen aan de beveiligingslijst van EMET

1. Open EMET op het systeem.
2. U vindt een lijst met actieve processen in de interface. Als het programma dat u wilt beschermen niet actief is, start u het op de pc.
3. Klik daarna met de rechtermuisknop op het proces en selecteer 'proces configureren' in het contextmenu.
4. Dit voegt het geselecteerde proces toe aan de applicatielijst van EMET.
5. Selecteer daarna ok om de selectie op te slaan en het programma dat u zojuist aan EMET hebt toegevoegd opnieuw te starten.

Tip : Het wordt sterk aangeraden om elke applicatie afzonderlijk te testen voordat u meer processen aan EMET gaat toevoegen. Een programma is mogelijk niet compatibel met alle technieken voor het beperken van exploit die EMET aanbiedt.

2. Debuggen van slecht werkende processen

De kans is vrij groot dat u tegen problemen aanloopt na het toevoegen van programma's aan EMET. Sommige programma's weigeren mogelijk helemaal te starten, terwijl andere mogelijk onmiddellijk openen en sluiten nadat ze zijn gestart.

Dit is meestal het geval wanneer een of meerdere oplossingen niet compatibel zijn met het proces. Het belangrijkste probleem hier is dat u geen informatie ontvangt die het probleem heeft veroorzaakt.

Controleer of er een probleem is

Een van de eenvoudigere manieren om te controleren of iets niet goed werkt, is door te controleren op EMET-vermeldingen in het Windows-gebeurtenislogboek.

1. Tik op de Windows-toets, typ eventviewer en druk op enter.
2. U vindt EMET-vermeldingen onder Logboeken (lokaal)> Windows-logboeken> Toepassing.

Ik stel voor dat je sorteert op datum en tijd, en zoek naar 'Application Error' als bron. Als u een van de logboekvermeldingen selecteert, wordt EMET.DLL vermeld als de oorzaak van het probleem onder Algemeen.

U kunt natuurlijk ook alle beveiligingen voor de toepassing in EMET verwijderen en opnieuw uitvoeren om te zien of het probleem hiermee is opgelost.

Het probleem oplossen

De enige onfeilbare manier om compatibiliteit met Microsoft EMET af te dwingen, is vallen en opstaan. Open de lijst met beschermde applicaties opnieuw in EMET, schakel alle beveiligingen uit en begin ze een voor een weer in te schakelen.

Probeer het programma na elke switch uit te voeren om te zien of het werkt. Als dit het geval is, herhaalt u het proces door de volgende beperking in de rij in te schakelen totdat u bij een komt die verhindert dat het programma opstart.

Schakel die beperking opnieuw uit en ga door met het proces totdat u alle beperkende maatregelen hebt ingeschakeld die compatibel zijn met de geselecteerde software.

Google Chrome kon bijvoorbeeld niet beginnen met het gebruiken van de standaardbeperkende maatregelen die zijn geselecteerd voor nieuwe processen. Ik ontdekte dat de enige beperking waarmee de browser niet compatibel was, EAF was, die ik als gevolg daarvan heb uitgeschakeld.

3. Systeembrede regels

EMET wordt geleverd met vier systeembrede regels die u kunt configureren in de hoofdinterface. Certificaat vastzetten, voorkomen van gegevensuitvoering en bescherming tegen overschrijven van gestructureerde uitzonderingshandlers zijn ingeschakeld als systeembrede regels, terwijl Randomisatie van adresruimte-indeling is ingesteld op opt-in.

Dit betekent dat u de regel moet inschakelen voor elke toepassing die u erdoor wilt beschermen. U kunt de status van deze systeembrede regels wijzigen, bijvoorbeeld door de opt-in-regel ook systeembreed af te dwingen.

Dit kan echter problemen veroorzaken met programma's die op het systeem worden uitgevoerd. Aangezien het wordt afgedwongen voor alle programma's wanneer ingeschakeld, wilt u het systeem mogelijk nauwlettend in de gaten houden en terugschakelen naar opt-in als u problemen opmerkt bij het starten of uitvoeren van applicaties op de machine.

4. Regel het importeren en exporteren

Het configureren van programma's in EMET zodat ze beschermd worden door de applicatie duurt even vanwege de hierboven beschreven problemen.

Goed nieuws is dat u het proces niet hoeft te herhalen op andere pc's die u beheert, omdat u daarvoor de import- en exportfunctie van EMET kunt gebruiken.

Tip : EMET wordt geleverd met een set extra regels die gebruikers aan het programma kunnen toevoegen. Om toegang te krijgen, selecteert u importeren in EMET en vervolgens een van de volgende:

1. CertTrust - EMET-standaardconfiguratie van Certificate Trust Pinning voor MS en online services van derden
2. Populaire software - Maakt bescherming mogelijk voor veelgebruikte software zoals Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Aanbevolen software - Maakt bescherming mogelijk voor minimaal aanbevolen software zoals Internet Explorer, Microsof Office, Adobe Acrobat Reader en Java

Optie 3 is de standaardoptie die automatisch wordt geladen. U kunt automatisch andere populaire programma's aan EMET toevoegen door de populaire software-regels te importeren.

Regelmigratie en beleid

Selecteer de exportknop in de hoofdinterface van EMET om regels te exporteren. Kies een naam voor het xml-bestand in het opslagvenster en een locatie.

Deze set regels kan vervolgens op andere systemen worden geïmporteerd of als beveiliging op de huidige machine worden bewaard.

Aangezien regels worden opgeslagen als XML-bestanden, kunt u ze ook handmatig bewerken.

Beheerders kunnen ook groepsbeleidsrichtlijnen op systemen implementeren. De adml / admx-bestanden maken deel uit van de EMET-installatie en zijn na installatie te vinden onder Deployment / Group Policy Files.