В Расширенный набор инструментов для смягчения последствий это самый хранимый секрет безопасности Microsoft. Легко установите EMET и быстро защитите многие популярные приложения , но с EMET вы можете сделать гораздо больше.
EMET не всплывает и не задает вам вопросы, так что это решение, которое можно настроить и забыть, как только вы его настроите. Вот как защитить больше приложений с помощью EMET и исправить их, если они сломаются.
Знайте, нарушает ли EMET работу приложения
СВЯЗАННЫЕ С: Быстро защитите свой компьютер с помощью Microsoft Enhanced Mitigation Experience Toolkit (EMET)
Если приложение делает что-то, что запрещено правилами EMET, EMET завершит работу приложения - в любом случае это настройка по умолчанию. EMET закрывает приложения, которые ведут себя потенциально небезопасно, поэтому взломы не могут возникнуть. Windows не делает это по умолчанию для всех приложений, потому что это нарушит совместимость со многими из старых приложений Windows, используемых сегодня.
Если приложение не работает, оно немедленно закрывается, и вы увидите всплывающее окно со значком EMET на панели задач. Это также будет записано в журнал событий Windows - эти параметры можно настроить в поле «Отчетность» на ленте в верхней части окна EMET.
Используйте 64-битную версию Windows
СВЯЗАННЫЕ С: Почему 64-битная версия Windows более безопасна
64-битные версии Windows более безопасны потому что у них есть доступ к таким функциям, как рандомизация разметки адресного пространства (ASLR). Не все эти функции будут доступны, если вы используете 32-разрядную версию Windows. Как и сама Windows, функции безопасности EMET более комплексны и полезны на 64-битных ПК.
Блокировка определенных процессов
Вы, вероятно, захотите заблокировать определенные приложения, а не всю систему. Сосредоточьтесь на приложениях, которые могут быть скомпрометированы. Это означает веб-браузеры, плагины браузера, программы чата и любое другое программное обеспечение, которое взаимодействует с Интернетом или открывает загруженные файлы. Низкоуровневые системные службы и приложения, которые работают в автономном режиме без открытия загруженных файлов, менее подвержены риску. Если у вас есть какое-то важное бизнес-приложение - возможно, с доступом в Интернет - это приложение, которое вы хотите защитить в наибольшей степени.
Чтобы защитить работающее приложение, найдите его в списке EMET, щелкните его правой кнопкой мыши и выберите «Настроить процесс».
(Если вы хотите защитить процесс, который не запущен, откройте окно «Приложения» и используйте кнопки «Добавить приложение» или «Добавить подстановочный знак».)
Появится окно конфигурации приложения с выделенным вашим приложением. По умолчанию все правила будут включены автоматически. Просто нажмите здесь кнопку ОК, чтобы применить все правила.
Если ваше приложение не работает должным образом, вы захотите вернуться сюда и попробовать снять некоторые ограничения для этого приложения. Отключите их по одному, пока приложение не заработает, и вы не сможете изолировать проблему.
Если вы вообще не хотите ограничивать приложение, выберите его в списке и нажмите кнопку «Удалить выбранное», чтобы стереть правила и вернуть приложение в состояние по умолчанию.
Изменить общесистемные правила
Раздел «Состояние системы» позволяет выбрать общесистемные правила. Вероятно, вы захотите сохранить значения по умолчанию, которые позволяют приложениям использовать эти средства защиты.
Вы можете выбрать «Всегда включено» или «Отключить приложение» для этих настроек для максимальной безопасности. Это может нарушить работу многих приложений, особенно старых. Если приложения начинают работать некорректно, вы можете вернуться к настройкам по умолчанию или создать правила отказа для приложений.
Чтобы создать правило отказа, щелкните процесс правой кнопкой мыши и выберите «Настроить процесс». Снимите флажок с того типа защиты, от которого хотите отказаться - поэтому, если вы хотите отказаться от общесистемной ASLR, снимите флажки MandatoryASLR и BottomUpASLR для этого процесса. Нажмите ОК, чтобы сохранить правило.
Обратите внимание, что мы включили «Always On» для DEP выше, поэтому мы не можем отключить DEP для каких-либо процессов в окне конфигурации приложения ниже.
Правила тестирования в режиме «Только аудит»
Если вы хотите протестировать правила EMET, но не хотите решать какие-либо проблемы, вы можете включить режим «Только аудит». Щелкните значок приложений в EMET, чтобы открыть окно конфигурации приложения. Вы найдете раздел действий по умолчанию на ленте в верхней части экрана. По умолчанию для него установлено значение Остановить при эксплойте - EMET завершит работу приложения, если оно нарушит правило. Вы также можете выбрать только аудит. Если приложение нарушает одно из ваших правил EMET, EMET сообщит о проблеме и позволит приложению продолжить работу.
Это, очевидно, устраняет преимущества безопасности, связанные с запуском EMET, но это хороший способ проверить правила, прежде чем возвращать EMET в режим «Остановить при эксплойте».
Правила экспорта и импорта
Создав и протестировав правила, обязательно используйте кнопку «Экспорт» или «Экспортировать выбранное», чтобы экспортировать правила в файл. Затем вы можете импортировать их на любые другие ПК, которые вы используете, и получить такую же защиту без дополнительных усилий.
В корпоративных сетях правила EMET и сам EMET можно развернуть через Групповая политика .
Все это не является обязательным. Если вы домашний пользователь, который не хочет с этим сталкиваться, просто установите EMET и придерживайтесь рекомендуемых настроек по умолчанию.
