Set de instrumente pentru experiență de atenuare îmbunătățită este secretul de securitate cel mai bine păstrat de Microsoft. Este ușor să instalați EMET și securizați rapid multe aplicații populare , dar puteți face mult mai multe cu EMET.
EMET nu va apărea și nu vă va pune întrebări, așa că este o soluție set-it-and-uita-it odată ce ați configurat-o. Iată cum să securizați mai multe aplicații cu EMET și să le remediați dacă se întrerup.
Știți dacă EMET încalcă o aplicație
Dacă o aplicație face ceva ce regulile EMET nu le permit, EMET va închide aplicația - oricum este setarea implicită. EMET închide aplicațiile care se comportă într-un mod potențial nesigur, astfel încât să nu poată avea loc exploitări. Windows nu face acest lucru în mod implicit pentru toate aplicațiile, deoarece ar rupe compatibilitatea cu multe dintre vechile aplicații Windows utilizate în prezent.
Dacă o aplicație se întrerupe, aplicația se va închide imediat și veți vedea o fereastră pop-up de pe pictograma EMET din tava de sistem. De asemenea, va fi scris în jurnalul de evenimente Windows - aceste opțiuni pot fi personalizate din caseta Raportare de pe panglica din partea de sus a ferestrei EMET.
Utilizați o versiune de Windows pe 64 de biți
LEGATE DE: De ce versiunea Windows pe 64 de biți este mai sigură
Versiunile pe 64 de biți ale Windows sunt mai sigure deoarece au acces la caracteristici precum randomizarea aspectului spațiului de adrese (ASLR). Nu toate aceste funcții vor fi disponibile dacă utilizați o versiune de 32 de biți de Windows. La fel ca Windows în sine, caracteristicile de securitate ale EMET sunt mai cuprinzătoare și mai utile pe computerele pe 64 de biți.
Blocați procesele specifice
Probabil că veți dori să blocați anumite aplicații în locul întregului sistem. Concentrați-vă pe aplicațiile cel mai probabil să fie compromise. Aceasta înseamnă browsere web, plugin-uri pentru browser, programe de chat și orice alt software care comunică cu Internetul sau deschide fișierele descărcate. Serviciile și aplicațiile de sistem de nivel scăzut care rulează offline fără a deschide fișiere descărcate sunt mai puțin expuse riscului. Dacă aveți o aplicație importantă pentru afaceri - poate una care accesează Internetul - poate fi aplicația pe care doriți să o securizați cel mai mult.
Pentru a securiza o aplicație care rulează, localizați-o în lista EMET, faceți clic dreapta pe ea și selectați Configurare proces.
(Dacă doriți să asigurați un proces care nu rulează, deschideți fereastra Aplicații și utilizați butoanele Adăugați aplicație sau Adăugați caractere wildcard.)
Fereastra de configurare a aplicației va apărea cu aplicația dvs. evidențiată. În mod implicit, toate regulile vor fi activate automat. Doar faceți clic pe butonul OK aici pentru a aplica toate regulile.
Dacă aplicația dvs. nu funcționează corect, va trebui să reveniți aici și să încercați să dezactivați unele dintre restricțiile pentru acea aplicație. Dezactivați-le unul câte unul până când aplicația funcționează și puteți izola problema.
Dacă nu doriți deloc să restricționați o aplicație, selectați-o în listă și faceți clic pe butonul Eliminați selectați pentru a șterge regulile și a pune aplicația înapoi la starea sa implicită.
Schimbați regulile la nivel de sistem
Secțiunea Stare sistem vă permite să alegeți reguli la nivel de sistem. Probabil că veți dori să respectați valorile implicite, care permit aplicațiilor să opteze pentru aceste protecții de securitate.
Puteți selecta „Always On” sau „Application Opt Out” pentru aceste setări pentru securitate maximă. Acest lucru poate rupe multe aplicații, în special cele mai vechi. Dacă aplicațiile încep să se comporte greșit, puteți reveni la setările implicite sau puteți crea reguli de „renunțare” pentru aplicații.
Pentru a crea o regulă de renunțare, faceți clic dreapta pe un proces și selectați Configurare proces. Debifați tipul de protecție de la care doriți să renunțați - deci, dacă doriți să renunțați la ASLR la nivel de sistem, debifați casetele de selectare Obligatoriu ASLR și BottomUpASLR pentru acest proces. Faceți clic pe OK pentru a vă salva regula.
Rețineți că am activat „Always On” pentru DEP de mai sus, deci nu putem dezactiva DEP pentru niciun proces din fereastra de configurare a aplicației de mai jos.
Reguli de testare în modul „Numai audit”
Dacă doriți să testați regulile EMET, dar nu doriți să rezolvați probleme, puteți activa modul „Numai audit”. Faceți clic pe pictograma Aplicații din EMET pentru a accesa fereastra de configurare a aplicației. Veți găsi o secțiune Acțiune implicită pe panglica din partea de sus a ecranului. În mod implicit, este setat la Stop on exploit - EMET va închide o aplicație dacă încalcă o regulă. De asemenea, îl puteți seta doar la Audit. Dacă o aplicație încalcă una dintre regulile dvs. EMET, EMET va raporta problema și va permite aplicației să ruleze în continuare.
Acest lucru elimină în mod evident avantajele de securitate ale rulării EMET, dar este o modalitate bună de a testa regulile înainte de a pune EMET înapoi în modul „Stop on exploit”.
Reguli de export și import
După ce ați creat și testat regulile, asigurați-vă că utilizați butonul Export sau Exportați selectate pentru a exporta regulile într-un fișier. Puteți apoi să le importați pe orice alte PC-uri pe care le utilizați și să obțineți aceleași protecții de securitate fără a juca mai mult.
În rețelele corporative, regulile EMET și EMET în sine pot fi implementate Politica de grup .
Nimic din toate acestea nu este obligatoriu. Dacă sunteți un utilizator acasă care nu dorește să se ocupe de acest lucru, nu ezitați să instalați EMET și să respectați setările implicite recomandate.
