Покращений інструментарій щодо зменшення наслідків - це найкраще зберігається секрет безпеки Microsoft. Це легко встановіть EMET та швидко захистіть багато популярних програм , але за допомогою EMET можна зробити набагато більше.
EMET не з’являтиметься та не задаватиме вам запитань, тому, коли ви його налаштуєте, це рішення «налаштуй і забудь». Ось як захистити більше програм за допомогою EMET та виправити їх, якщо вони зламаються.
Знайте, чи EMET порушує заявку
Якщо програма робить щось, що заборонено вашими правилами EMET, EMET вимкне програму - у будь-якому випадку це налаштування за замовчуванням. EMET закриває програми, які поводяться потенційно небезпечно, тому не може відбуватися експлойтів. Windows не робить цього для всіх програм за замовчуванням, оскільки це порушить сумісність із багатьма старими програмами Windows, що використовуються сьогодні.
Якщо програма зламається, програма негайно вимкнеться, і ви побачите спливаюче вікно із значком EMET у системній області. Він також буде записаний до журналу подій Windows - ці параметри можна налаштувати у вікні звітування на стрічці у верхній частині вікна EMET.
Використовуйте 64-розрядну версію Windows
ПОВ'ЯЗАНІ: Чому 64-розрядна версія Windows є більш безпечною
64-розрядні версії Windows є більш безпечними оскільки вони мають доступ до таких функцій, як рандомізація макета адресного простору (ASLR). Не всі ці функції будуть доступні, якщо ви використовуєте 32-розрядну версію Windows. Як і сама Windows, функції безпеки EMET є більш комплексними та корисними на 64-розрядних ПК.
Заблокувати конкретні процеси
Можливо, вам захочеться заблокувати певні програми, а не всю вашу систему. Зосередьтеся на програмах, які найімовірніше будуть скомпрометовані. Це означає веб-браузери, плагіни браузера, програми чату та будь-яке інше програмне забезпечення, яке взаємодіє з Інтернетом або відкриває завантажені файли. Низькорівневі системні служби та програми, які працюють в автономному режимі, не відкриваючи завантажені файли, менш схильні до ризику. Якщо у вас є якась важлива комерційна програма - можливо, така, що має доступ до Інтернету - це може бути програма, яку ви хочете захистити найбільше.
Щоб захистити запущений додаток, знайдіть його у списку EMET, клацніть правою кнопкою миші та виберіть Налаштувати процес.
(Якщо ви хочете захистити процес, який не запущений, відкрийте вікно Програми та скористайтесь кнопками Додати програму або Додати підстановку.)
З'явиться вікно конфігурації програми з виділеною програмою. За замовчуванням усі правила автоматично вмикаються. Просто натисніть кнопку ОК тут, щоб застосувати всі правила.
Якщо ваша програма не працює належним чином, ви захочете повернутися сюди та спробувати відключити деякі обмеження для цієї програми. Вимкніть їх по черзі, поки програма не запрацює, і ви зможете виявити проблему.
Якщо ви взагалі не хочете обмежувати програму, виберіть її у списку та натисніть кнопку Видалити вибране, щоб стерти свої правила та повернути програму у стан за замовчуванням.
Змінити загальносистемні правила
Розділ Статус системи дозволяє вибрати загальносистемні правила. Ви, мабуть, захочете дотримуватися стандартних значень, які дозволяють програмам увімкнути ці засоби захисту.
Ви можете вибрати "Завжди увімкнено" або "Вимкнення програми" для цих параметрів для максимального захисту. Це може зламати багато програм, особливо старих. Якщо програми починають неналежним чином працювати, ви можете повернутися до налаштувань за замовчуванням або створити правила "відмови" для програм.
Щоб створити правило відмови, клацніть процес правою кнопкою миші та виберіть Налаштувати процес. Зніміть прапорець із типу захисту, від якого ви хочете відмовитись - отже, якщо ви хочете відмовитись від загальносистемного ASLR, ви зніміть прапорці MandatoryASLR та BottomUpASLR для цього процесу. Натисніть OK, щоб зберегти правило.
Зверніть увагу, що ми ввімкнули "Завжди увімкнено" для DEP вище, тому ми не можемо відключити DEP для будь-яких процесів у вікні конфігурації програми нижче.
Правила тестування в режимі «Тільки аудит»
Якщо ви хочете протестувати правила EMET, але не хочете вирішувати будь-які проблеми, ви можете ввімкнути режим "Лише аудит". Клацніть на піктограму Програми в EMET, щоб відкрити вікно Конфігурація програми. Ви знайдете розділ Дія за замовчуванням на стрічці у верхній частині екрана. За замовчуванням встановлено Stop on exploit - EMET вимкне програму, якщо порушить правило. Ви також можете встановити для нього значення Аудит. Якщо програма порушує одне з ваших правил EMET, EMET повідомить про проблему та дозволить додатку продовжувати працювати.
Це, очевидно, усуває переваги безпеки запуску EMET, але це хороший спосіб перевірити правила перед тим, як перевести EMET назад у режим "Зупинити на експлойті".
Правила експорту та імпорту
Створивши та протестувавши свої правила, не забудьте скористатися кнопкою Експортувати або Експортувати вибране, щоб експортувати свої правила у файл. Потім ви можете імпортувати їх на будь-який інший ПК, яким ви користуєтесь, і отримати той самий захист безпеки, не вимагаючи зайвих клопотів.
У корпоративних мережах правила EMET та сам EMET можуть бути розгорнуті Групова політика .
Ніщо з цього не є обов’язковим. Якщо ви домашній користувач, який не хоче мати з цим справу, сміливо встановлюйте EMET і дотримуйтесь рекомендованих налаштувань за замовчуванням.
