De Enhanced Mitigation Experience Toolkit er Microsofts best bevarte sikkerhetshemmelighet. Det er lett å installere EMET og sikre deg raskt mange populære applikasjoner , men det er mye mer du kan gjøre med EMET.
EMET vil ikke dukke opp og stille deg spørsmål, så det er en løs-og-glem-løsning når du har konfigurert den. Slik sikrer du flere applikasjoner med EMET og fikser dem hvis de går i stykker.
Vet om EMET bryter en applikasjon
I SLEKT: Sikre datamaskinen raskt med Microsofts Enhanced Mitigation Experience Toolkit (EMET)
Hvis en applikasjon gjør noe som EMET-reglene dine ikke tillater, lukker EMET applikasjonen - det er uansett standardinnstillingen. EMET lukker applikasjoner som oppfører seg på en potensielt usikker måte, slik at ingen utnyttelser kan forekomme. Windows gjør ikke dette for alle applikasjoner som standard, fordi det vil bryte kompatibiliteten med mange av de gamle Windows-programmene som er i bruk i dag.
Hvis en applikasjon går i stykker, lukkes applikasjonen umiddelbart, og du ser en popup fra EMET-ikonet i systemstatusfeltet. Det vil også bli skrevet til Windows-hendelsesloggen - disse alternativene kan tilpasses fra rapporteringsboksen på båndet øverst i EMET-vinduet.
Bruk en 64-biters versjon av Windows
I SLEKT: Hvorfor 64-biters versjonen av Windows er sikrere
64-biters versjoner av Windows er sikrere fordi de har tilgang til funksjoner som randomisering av adresseplassoppsett (ASLR). Ikke alle disse funksjonene vil være tilgjengelige hvis du bruker en 32-biters versjon av Windows. I likhet med Windows i seg selv er EMETs sikkerhetsfunksjoner mer omfattende og nyttige på 64-biters PC-er.
Lås ned spesifikke prosesser
Du vil sannsynligvis låse bestemte applikasjoner i stedet for hele systemet. Fokuser på applikasjonene som mest sannsynlig er kompromittert. Dette betyr nettlesere, nettlesertillegg, chat-programmer og annen programvare som kommuniserer med Internett eller åpner nedlastede filer. Systemtjenester og applikasjoner på lavt nivå som kjører offline uten å åpne nedlastede filer, er mindre utsatt. Hvis du har noen viktige forretningsapplikasjoner - kanskje en som får tilgang til Internett - kan det være applikasjonen du vil sikre deg mest.
For å sikre et applikasjon som kjører, finn det i EMET-listen, høyreklikk det og velg Konfigurer prosess.
(Hvis du vil sikre en prosess som ikke kjører, åpner du appvinduet og bruker knappene Legg til applikasjon eller Legg til jokertegn.)
Programkonfigurasjonsvinduet vises med applikasjonen din uthevet. Som standard aktiveres alle reglene automatisk. Bare klikk på OK-knappen her for å bruke alle reglene.
Hvis søknaden din ikke fungerer som den skal, vil du komme tilbake hit og prøve å deaktivere noen av begrensningene for den applikasjonen. Deaktiver dem en etter en til applikasjonen fungerer, og du kan isolere problemet.
Hvis du ikke ønsker å begrense et program i det hele tatt, velger du det i listen og klikker på Fjern valgt knapp for å slette reglene og sette applikasjonen tilbake til standardtilstanden.
Endre systembrede regler
I delen Systemstatus kan du velge regler for hele systemet. Du vil sannsynligvis holde deg til standardinnstillingene, slik at applikasjoner kan velge disse sikkerhetsbeskyttelsene.
Du kan velge "Alltid på" eller "Søknadsvalg" for disse innstillingene for maksimal sikkerhet. Dette kan ødelegge mange applikasjoner, spesielt eldre. Hvis applikasjoner begynner å oppføre seg feil, kan du gå tilbake til standardinnstillingene eller opprette "fravalg" -regler for applikasjoner.
For å opprette en fravalgsregel, høyreklikk på en prosess og velg Konfigurer prosess. Fjern merket for hvilken type beskyttelse du vil velge bort - så hvis du ønsker å velge bort ASLR for hele systemet, fjerner du merket for obligatorisk ASLR og BottomUpASLR for den prosessen. Klikk OK for å lagre regelen.
Vær oppmerksom på at vi har aktivert "Alltid på" for DEP ovenfor, så vi kan ikke deaktivere DEP for noen prosesser i vinduet Applikasjonskonfigurasjon nedenfor.
Test regler i “Kun revisjon” -modus
Hvis du vil teste EMET-regler, men ikke vil takle noen problemer, kan du aktivere modusen "Bare revisjon". Klikk på Apps-ikonet i EMET for å få tilgang til vinduet Application Configuration. Du finner en standardhandlingsdel på båndet øverst på skjermen. Som standard er det satt til Stopp ved utnyttelse - EMET stenger et program hvis det bryter en regel. Du kan også stille den til Kun revisjon. Hvis en applikasjon bryter en av EMET-reglene dine, rapporterer EMET problemet og lar applikasjonen fortsette å kjøre.
Dette eliminerer selvsagt sikkerhetsfordelene ved å kjøre EMET, men det er en god måte å teste regler før du setter EMET tilbake i "Stop on exploit" -modus.
Eksport- og importregler
Når du har opprettet og testet reglene dine, må du bruke Eksporter eller Eksporter valgt knapp for å eksportere reglene dine til en fil. Deretter kan du importere dem på andre PC-er du bruker og få samme sikkerhetsbeskyttelse uten å fikle.
På bedriftsnettverk kan EMET-regler og EMET selv distribueres gjennom Gruppepolicy .
Ingenting av dette er obligatorisk. Hvis du er en hjemmebruker som ikke vil takle dette, er det bare å installere EMET og holde deg til de anbefalte standardinnstillingene.
