Det Enhanced Mitigation Experience Toolkit er Microsofts bedst bevarede sikkerhedshemmelighed. Det er let at installere EMET og hurtigt sikre mange populære applikationer , men der er meget mere, du kan gøre med EMET.
EMET dukker ikke op og stiller dig spørgsmål, så det er en sæt-det-og-glem-det-løsning, når du først har konfigureret det. Sådan sikres flere applikationer med EMET og retter dem, hvis de går i stykker.
Ved, om EMET bryder en applikation
RELATEREDE: Sikker hurtigt din computer med Microsofts Enhanced Mitigation Experience Toolkit (EMET)
Hvis en applikation gør noget, som dine EMET-regler ikke tillader, lukker EMET applikationen - det er alligevel standardindstillingen. EMET lukker applikationer, der opfører sig på en potentielt usikker måde, så ingen udnyttelse kan forekomme. Windows gør dette ikke som standard for alle applikationer, fordi det vil bryde kompatibiliteten med mange af de gamle Windows-applikationer, der er i brug i dag.
Hvis en applikation går i stykker, lukkes applikationen med det samme, og du vil se et pop op-vindue fra EMET-ikonet i systembakken. Det vil også blive skrevet til Windows-hændelsesloggen - disse indstillinger kan tilpasses fra rapporteringsboksen på båndet øverst i EMET-vinduet.
Brug en 64-bit version af Windows
RELATEREDE: Hvorfor 64-bit versionen af Windows er mere sikker
64-bit versioner af Windows er mere sikre fordi de har adgang til funktioner som ASLR (randomisering af adressepladslayout). Ikke alle disse funktioner er tilgængelige, hvis du bruger en 32-bit version af Windows. Ligesom Windows selv er EMETs sikkerhedsfunktioner mere omfattende og nyttige på 64-bit pc'er.
Lås specifikke processer ned
Du vil sandsynligvis låse bestemte applikationer ned i stedet for hele dit system. Fokuser på de applikationer, der mest sandsynligt er kompromitterede. Dette betyder webbrowsere, browser-plugins, chatprogrammer og al anden software, der kommunikerer med Internettet eller åbner downloadede filer. Systemtjenester og applikationer på lavt niveau, der kører offline uden at åbne downloadede filer, er mindre udsatte. Hvis du har en vigtig forretningsapplikation - måske en, der får adgang til Internettet - kan det være den applikation, du vil sikre mest.
For at sikre et kørende program skal du finde det på EMET-listen, højreklikke på det og vælge Konfigurer proces.
(Hvis du vil sikre en proces, der ikke kører, skal du åbne vinduet Apps og bruge knapperne Tilføj applikation eller Tilføj jokertegn.)
Vinduet Applikationskonfiguration vises med din applikation fremhævet. Som standard aktiveres alle regler automatisk. Klik bare på OK-knappen her for at anvende alle reglerne.
Hvis din applikation ikke fungerer korrekt, vil du gerne komme tilbage her og prøve at deaktivere nogle af begrænsningerne for den applikation. Deaktiver dem en efter en, indtil applikationen fungerer, og du kan isolere problemet.
Hvis du overhovedet ikke vil begrænse en applikation, skal du vælge den på listen og klikke på knappen Fjern valgt for at slette dine regler og sætte applikationen tilbage til sin standardtilstand.
Skift systembrede regler
I afsnittet Systemstatus kan du vælge regler for hele systemet. Du vil sandsynligvis holde fast ved standardindstillingerne, som gør det muligt for applikationer at vælge disse sikkerhedsbeskyttelser.
Du kan vælge “Always On” eller “Application Opt out” for disse indstillinger for maksimal sikkerhed. Dette kan bryde mange applikationer, især ældre. Hvis applikationer begynder at opføre sig forkert, kan du vende tilbage til standardindstillingerne eller oprette "fravalg" -regler for applikationer.
For at oprette en fravalgsregel skal du højreklikke på en proces og vælge Konfigurer proces. Fjern markeringen af den type beskyttelse, du vil fravælge - så hvis du vil fravælge systemomfattende ASLR, skal du fjerne markeringen i afkrydsningsfelterne Obligatorisk ASLR og BottomUpASLR for den proces. Klik på OK for at gemme din regel.
Bemærk, at vi har aktiveret "Always On" for DEP ovenfor, så vi kan ikke deaktivere DEP for nogen processer i vinduet Application Configuration nedenfor.
Test regler i “Kun revision” -tilstand
Hvis du gerne vil teste EMET-regler, men ikke vil løse problemer, kan du aktivere tilstanden "Kun revision". Klik på Apps-ikonet i EMET for at få adgang til vinduet Application Configuration. Du finder en sektion med standardhandling på båndet øverst på skærmen. Som standard er det indstillet til Stop ved udnyttelse - EMET lukker en applikation, hvis den bryder en regel. Du kan også indstille det til kun revision. Hvis en applikation bryder en af dine EMET-regler, rapporterer EMET problemet og tillader, at applikationen fortsætter.
Dette eliminerer naturligvis sikkerhedsfordelene ved at køre EMET, men det er en god måde at teste regler på, før EMET sættes tilbage i "Stop ved udnyttelse" -tilstand.
Eksport- og importregler
Når du har oprettet og testet dine regler, skal du sørge for at bruge knappen Eksporter eller Eksportér valgt til at eksportere dine regler til en fil. Du kan derefter importere dem på andre pc'er, du bruger, og få den samme sikkerhedsbeskyttelse uden mere at rode.
På virksomhedsnetværk kan EMET-regler og EMET selv implementeres igennem Gruppepolitik .
Intet af dette er obligatorisk. Hvis du er en hjemmebruger, der ikke ønsker at håndtere dette, er du velkommen til bare at installere EMET og holde sig til de anbefalede standardindstillinger.
