ザ・ Enhanced Mitigation ExperienceToolkit マイクロソフトの最高のセキュリティシークレットです。するのは簡単です EMETをインストールし、多くの一般的なアプリケーションをすばやく保護します 、しかし、EMETでできることはもっとたくさんあります。
EMETはポップアップして質問をすることはないので、一度設定すると、設定して忘れてしまうソリューションになります。 EMETを使用してより多くのアプリケーションを保護し、破損した場合に修正する方法は次のとおりです。
EMETがアプリケーションを破壊しているかどうかを知る
関連: MicrosoftのEnhancedMitigation Experience Toolkit(EMET)を使用してコンピューターをすばやく保護する
EMETルールで許可されていないことをアプリケーションが実行すると、EMETはアプリケーションをシャットダウンします。とにかく、これがデフォルト設定です。 EMETは、潜在的に危険な方法で動作するアプリケーションを閉じるため、エクスプロイトが発生することはありません。 Windowsは、現在使用されている古いWindowsアプリケーションの多くとの互換性を損なうため、デフォルトですべてのアプリケーションに対してこれを行うわけではありません。
アプリケーションが壊れた場合、アプリケーションはすぐにシャットダウンし、システムトレイのEMETアイコンからポップアップが表示されます。また、Windowsイベントログにも書き込まれます。これらのオプションは、EMETウィンドウの上部にあるリボンの[レポート]ボックスからカスタマイズできます。
64ビットバージョンのWindowsを使用する
関連: 64ビットバージョンのWindowsがより安全である理由
64ビットバージョンのWindowsはより安全です アドレス空間配置のランダム化(ASLR)などの機能にアクセスできるためです。 32ビットバージョンのWindowsを使用している場合、これらの機能のすべてが利用できるわけではありません。 Windows自体と同様に、EMETのセキュリティ機能は64ビットPCでより包括的で便利です。
特定のプロセスをロックダウンする
システム全体ではなく、特定のアプリケーションをロックダウンすることをお勧めします。侵害される可能性が最も高いアプリケーションに焦点を当てます。これは、Webブラウザー、ブラウザープラグイン、チャットプログラム、およびインターネットと通信したり、ダウンロードしたファイルを開いたりするその他のソフトウェアを意味します。ダウンロードしたファイルを開かずにオフラインで実行される低レベルのシステムサービスとアプリケーションは、リスクが少なくなります。重要なビジネスアプリケーション(おそらくインターネットにアクセスするアプリケーション)がある場合、それは最も安全にしたいアプリケーションかもしれません。
実行中のアプリケーションを保護するには、EMETリストでそのアプリケーションを見つけて右クリックし、[プロセスの構成]を選択します。
(実行されていないプロセスを保護する場合は、[アプリ]ウィンドウを開き、[アプリケーションの追加]または[ワイルドカードの追加]ボタンを使用します。)
アプリケーションが強調表示された状態で、[アプリケーション構成]ウィンドウが表示されます。デフォルトでは、すべてのルールが自動的に有効になります。ここで[OK]ボタンをクリックするだけで、すべてのルールが適用されます。
アプリケーションが正しく機能していない場合は、ここに戻って、そのアプリケーションの制限の一部を無効にしてみてください。アプリケーションが動作し、問題を特定できるようになるまで、それらを1つずつ無効にします。
アプリケーションをまったく制限したくない場合は、リストでそのアプリケーションを選択し、[選択を削除]ボタンをクリックしてルールを消去し、アプリケーションをデフォルトの状態に戻します。
システム全体のルールを変更する
[システムステータス]セクションでは、システム全体のルールを選択できます。アプリケーションがこれらのセキュリティ保護をオプトインできるようにするデフォルトを維持することをお勧めします。
これらの設定には、セキュリティを最大化するために「常時オン」または「アプリケーションオプトアウト」を選択できます。これにより、多くのアプリケーション、特に古いアプリケーションが破損する可能性があります。アプリケーションが誤動作し始めた場合は、デフォルト設定に戻すか、アプリケーションの「オプトアウト」ルールを作成できます。
オプトアウトルールを作成するには、プロセスを右クリックして[プロセスの構成]を選択します。オプトアウトする保護の種類のチェックを外します。したがって、システム全体のASLRをオプトアウトする場合は、そのプロセスの[必須]チェックボックスと[BottomUpASLR]チェックボックスをオフにします。 [OK]をクリックしてルールを保存します。
上記のDEPで「常時オン」を有効にしているため、以下の[アプリケーション構成]ウィンドウでプロセスのDEPを無効にすることはできません。
「監査のみ」モードでのテストルール
EMETルールをテストしたいが問題に対処したくない場合は、「監査のみ」モードを有効にできます。 EMETの[アプリ]アイコンをクリックして、[アプリケーション構成]ウィンドウにアクセスします。画面上部のリボンに[デフォルトのアクション]セクションがあります。デフォルトでは、エクスプロイト時に停止に設定されています— EMETは、ルールに違反した場合、アプリケーションをシャットダウンします。監査のみに設定することもできます。アプリケーションがEMETルールのいずれかに違反した場合、EMETは問題を報告し、アプリケーションの実行を継続できるようにします。
これにより、EMETを実行することによるセキュリティ上の利点が明らかになくなりますが、EMETを「エクスプロイトで停止」モードに戻す前にルールをテストすることをお勧めします。
エクスポートとインポートのルール
ルールを作成してテストしたら、必ず[エクスポート]または[選択したものをエクスポート]ボタンを使用して、ルールをファイルにエクスポートしてください。その後、使用している他のPCにそれらをインポートして、いじくり回すことなく同じセキュリティ保護を取得できます。
企業ネットワークでは、EMETルールとEMET自体を グループポリシー 。
これは必須ではありません。これに対処したくないホームユーザーの場合は、EMETをインストールして、推奨されるデフォルト設定を使用してください。
