De Verbeterde Mitigation Experience Toolkit is het best bewaarde beveiligingsgeheim van Microsoft. Het is gemakkelijk installeer EMET en beveilig snel veel populaire applicaties , maar u kunt nog veel meer doen met EMET.
EMET komt niet tevoorschijn en stelt u geen vragen, dus het is een installeer-en-vergeet-het-oplossing zodra u het hebt ingesteld. Hier leest u hoe u meer applicaties kunt beveiligen met EMET en deze kunt oplossen als ze kapot gaan.
Weet of EMET een toepassing verbreekt
VERWANT: Beveilig uw computer snel met de Enhanced Mitigation Experience Toolkit (EMET) van Microsoft
Als een toepassing iets doet dat niet door uw EMET-regels wordt toegestaan, zal EMET de toepassing afsluiten - dat is hoe dan ook de standaardinstelling. EMET sluit toepassingen die zich op een mogelijk onveilige manier gedragen, zodat er geen exploits kunnen plaatsvinden. Windows doet dit niet standaard voor alle applicaties, omdat het de compatibiliteit met veel van de oude Windows-applicaties die tegenwoordig in gebruik zijn, zou verbreken.
Als een applicatie kapot gaat, wordt de applicatie onmiddellijk afgesloten en ziet u een pop-up van het EMET-pictogram in uw systeemvak. Het zal ook naar het Windows-gebeurtenislogboek worden geschreven - deze opties kunnen worden aangepast via het vak Rapportage op het lint bovenaan het EMET-venster.
Gebruik een 64-bits versie van Windows
VERWANT: Waarom de 64-bits versie van Windows veiliger is
64-bits versies van Windows zijn veiliger omdat ze toegang hebben tot functies zoals Address Space Layout Randomization (ASLR). Niet al deze functies zijn beschikbaar als u een 32-bits versie van Windows gebruikt. Net als Windows zelf zijn de beveiligingsfuncties van EMET uitgebreider en nuttiger op 64-bits pc's.
Vergrendel specifieke processen
U wilt waarschijnlijk specifieke applicaties vergrendelen in plaats van uw hele systeem. Concentreer u op de applicaties die het meest waarschijnlijk worden gecompromitteerd. Dit betekent webbrowsers, browserplug-ins, chatprogramma's en alle andere software die met internet communiceert of gedownloade bestanden opent. Systeemservices en applicaties op laag niveau die offline worden uitgevoerd zonder gedownloade bestanden te openen, lopen minder risico. Als u een belangrijke zakelijke applicatie heeft - misschien een die toegang heeft tot internet - is dit misschien de applicatie die u het meest wilt beveiligen.
Om een actieve toepassing te beveiligen, zoekt u deze in de EMET-lijst, klikt u er met de rechtermuisknop op en selecteert u Proces configureren.
(Als u een proces wilt beveiligen dat niet wordt uitgevoerd, opent u het venster Apps en gebruikt u de knop Applicatie toevoegen of Jokerteken toevoegen.)
Het venster Applicatieconfiguratie wordt weergegeven met uw applicatie gemarkeerd. Standaard worden alle regels automatisch ingeschakeld. Klik hier op de OK-knop om alle regels toe te passen.
Als uw applicatie niet correct werkt, komt u hier terug en probeert u enkele beperkingen voor die applicatie uit te schakelen. Schakel ze een voor een uit totdat de applicatie werkt en u het probleem kunt isoleren.
Als u een applicatie helemaal niet wilt beperken, selecteert u deze in de lijst en klikt u op de knop Selectie verwijderen om uw regels te wissen en de applicatie terug te zetten naar de standaardstatus.
Wijzig systeembrede regels
In de sectie Systeemstatus kunt u systeembrede regels kiezen. U zult waarschijnlijk de standaardinstellingen willen behouden, waardoor applicaties zich kunnen aanmelden voor deze beveiligingsmaatregelen.
U kunt voor deze instellingen "Always On" of "Application Opt Out" selecteren voor maximale beveiliging. Dit kan veel applicaties kapot maken, vooral oudere. Als toepassingen zich niet meer gaan gedragen, kunt u terugkeren naar de standaardinstellingen of "opt-out" -regels voor toepassingen maken.
Om een afmeldregel te maken, klikt u met de rechtermuisknop op een proces en selecteert u Proces configureren. Schakel het type bescherming uit waarvoor u zich wilt afmelden. Als u zich dus wilt afmelden voor systeembrede ASLR, moet u de selectievakjes Verplichte ASLR en BottomUpASLR voor dat proces uitschakelen. Klik op OK om uw regel op te slaan.
Houd er rekening mee dat we 'Altijd aan' hebben ingeschakeld voor DEP hierboven, dus we kunnen DEP niet uitschakelen voor processen in het onderstaande toepassingsconfiguratievenster.
Test regels in de modus "Alleen controleren"
Als u EMET-regels wilt testen, maar geen problemen wilt oplossen, kunt u de modus 'Alleen controleren' inschakelen. Klik op het Apps-pictogram in EMET om het venster Applicatieconfiguratie te openen. U vindt een sectie Standaardactie op het lint boven aan het scherm. Standaard is het ingesteld op Stoppen bij misbruik - EMET zal een applicatie afsluiten als deze een regel overtreedt. U kunt het ook instellen op Alleen controleren. Als een applicatie een van uw EMET-regels overtreedt, zal EMET het probleem rapporteren en de applicatie laten draaien.
Dit elimineert uiteraard de beveiligingsvoordelen van het uitvoeren van EMET, maar het is een goede manier om regels te testen voordat EMET weer in de modus 'Stop bij misbruik' wordt gezet.
Regels voor exporteren en importeren
Nadat u uw regels heeft gemaakt en getest, moet u de knop Exporteren of Geselecteerde exporteren gebruiken om uw regels naar een bestand te exporteren. U kunt ze vervolgens importeren op elke andere pc die u gebruikt en dezelfde beveiligingsmaatregelen krijgen zonder meer gedoe.
Op bedrijfsnetwerken kunnen EMET-regels en EMET zelf worden geïmplementeerd via Groepsbeleid .
Dit is niet verplicht. Als je een thuisgebruiker bent die hier niet mee te maken wil hebben, installeer dan gerust EMET en blijf bij de aanbevolen standaardinstellingen.
