6 Sfaturi avansate pentru securizarea aplicațiilor de pe PC cu EMET
Setul de instrumente Enhanced Mitigation Experience Toolkit este cel mai bun secret de securitate al Microsoft. Este ușor să instalați EMET și să vă asigurați foarte repede multe aplicații populare, dar aveți multe de făcut cu EMET.
EMET nu va apărea și vă va pune întrebări, deci este o soluție set-it-and-forget-it odată ce ați pus-o în scenă. Iată cum puteți securiza mai multe aplicații cu EMET și remediați-le dacă se rupe.
Știu dacă EMET întrerupe o aplicație
Dacă o aplicație face ceva ce nu acceptă regulile EMET, EMET va închide aplicația - aceasta este setarea implicită, oricum. EMET închide aplicațiile care se comportă într-un mod potențial nesigur, astfel încât nu pot apărea exploatări. Windows nu face acest lucru pentru toate aplicațiile în mod implicit, deoarece ar rupe compatibilitatea cu multe dintre vechile aplicații Windows utilizate astăzi.
Dacă o aplicație se întrerupe, aplicația se va închide imediat și veți vedea un pop-up de pe pictograma EMET din tava dvs. de sistem. Acesta va fi, de asemenea, scris în jurnalul de evenimente Windows - aceste opțiuni pot fi personalizate din caseta de raportare de pe panglica din partea de sus a ferestrei EMET.
Utilizați o versiune de Windows pe 64 de biți
Versiunile pe 64 de biți ale sistemului de operare Windows sunt mai sigure deoarece au acces la caracteristici cum ar fi randomizarea layout layout space (ASLR). Nu toate aceste caracteristici vor fi disponibile dacă utilizați o versiune pe 32 de biți a Windows. La fel ca Windows, caracteristicile de securitate EMET sunt mai cuprinzătoare și mai utile pe PC-urile pe 64 de biți.
Blocați anumite procese
Probabil că doriți să blocați anumite aplicații în locul întregului sistem. Concentrați-vă pe aplicațiile care sunt cel mai probabil compromise. Aceasta înseamnă browsere web, pluginuri de browser, programe de chat și orice alt software care comunică cu Internetul sau deschide fișierele descărcate. Serviciile de sistem de nivel scăzut și aplicațiile care rulează offline fără a deschide fișierele descărcate sunt mai puțin amenințate. Dacă aveți o aplicație importantă de afaceri - probabil una care accesează Internetul - poate fi aplicația pe care doriți să o asigurați cel mai mult.
Pentru a asigura o aplicație care rulează, localizați-o în lista EMET, faceți clic dreapta pe ea și selectați Configure Process.
(Dacă doriți să securizați un proces care nu se execută, deschideți fereastra Apps și utilizați butoanele Adăugare aplicație sau Adăugare Wildcard.)
Fereastra Configurare aplicație va apărea împreună cu aplicația dvs. evidențiată. În mod implicit, toate regulile vor fi activate automat. Doar faceți clic pe butonul OK aici pentru a aplica toate regulile.
Dacă aplicația dvs. nu funcționează corect, veți dori să reveniți aici și să încercați să dezactivați unele dintre restricțiile aplicației respective. Dezactivați-le una câte una până când aplicația funcționează și puteți izola problema.
Dacă nu doriți să restrângeți deloc o aplicație, selectați-o din listă și faceți clic pe butonul Remove Selected pentru a șterge regulile și a pune aplicația înapoi la starea implicită.
Modificați regulile de sistem
Secțiunea Stare sistem vă permite să alegeți reguli la nivel de sistem. Probabil că veți dori să respectați setările implicite, ceea ce permite aplicațiilor să se alăture acestor protecții de securitate.
Aveți posibilitatea să selectați "Întotdeauna activat" sau "Oprire aplicație" pentru aceste setări pentru a obține o securitate maximă. Acest lucru poate rupe multe aplicații, în special cele vechi. Dacă aplicațiile încep să funcționeze necorespunzător, puteți reveni la setările implicite sau puteți crea reguli de renunțare pentru aplicații.
Pentru a crea o regulă de renunțare, faceți clic dreapta pe un proces și selectați Configure Process. Debifați tipul de protecție pe care doriți să-l renunțați - deci, dacă doriți să renunțați la ASLR la nivel de sistem, ați debifa casetele de selectare MandatoryASLR și BottomUpASLR pentru acest proces. Faceți clic pe OK pentru a salva regula.
Rețineți că am activat funcția "Always On" pentru DEP de mai sus, deci nu putem dezactiva DEP pentru niciun proces din fereastra Configurare aplicație de mai jos.
Reguli de testare în modul "Audit Only"
Dacă doriți să testați regulile EMET, dar nu doriți să rezolvați probleme, puteți activa modul "Audit only". Dați clic pe pictograma Aplicații din EMET pentru a accesa fereastra Configurare aplicație. Veți găsi o secțiune de acțiune prestabilită pe panglica din partea superioară a ecranului. În mod prestabilit, este setat la Stop on exploit - EMET va închide o aplicație în cazul în care încalcă o regulă. De asemenea, puteți să-l setați doar la Audit. Dacă o aplicație întrerupe una dintre regulile EMET, EMET va raporta problema și va permite ca aplicația să continue să ruleze.
Acest lucru elimină în mod evident avantajele de securitate ale funcționării EMET, dar este o modalitate bună de a testa regulile înainte de a pune EMET înapoi în modul "Stop on exploit".
Reguli de export și import
Odată ce ați creat și testat regulile dvs., asigurați-vă că utilizați butonul Export sau Export selectat pentru a exporta regulile dvs. într-un fișier. Apoi, puteți să le importați pe orice alt computer pe care îl utilizați și să obțineți aceleași protecții de securitate fără să mai faceți mai multe probleme.
În cazul rețelelor corporative, regulile EMET și EMET în sine pot fi implementate prin intermediul politicii de grup.
Niciuna dintre acestea nu este obligatorie. Dacă sunteți un utilizator de acasă care nu dorește să se ocupe de acest lucru, nu ezitați să instalați EMET și să respectați setările implicite recomandate.
