Các Bộ công cụ Trải nghiệm Giảm nhẹ Nâng cao là bí mật bảo mật được giữ kín tốt nhất của Microsoft. Thật dễ dàng để cài đặt EMET và nhanh chóng bảo mật nhiều ứng dụng phổ biến , nhưng bạn có thể làm được nhiều việc hơn với EMET.
EMET sẽ không bật lên và hỏi bạn câu hỏi, vì vậy đây là giải pháp thiết lập và quên ngay khi bạn thiết lập. Dưới đây là cách bảo mật nhiều ứng dụng hơn với EMET và sửa chúng nếu chúng bị hỏng.
Biết nếu EMET đang phá vỡ một ứng dụng
Nếu một ứng dụng thực hiện điều gì đó mà quy tắc EMET của bạn không cho phép, EMET sẽ tắt ứng dụng đó - dù sao thì đó cũng là cài đặt mặc định. EMET đóng các ứng dụng hoạt động theo cách tiềm ẩn không an toàn để không có hành vi khai thác nào có thể xảy ra. Theo mặc định, Windows không làm điều này cho tất cả các ứng dụng vì nó sẽ phá vỡ khả năng tương thích với nhiều ứng dụng Windows cũ đang được sử dụng hiện nay.
Nếu một ứng dụng bị hỏng, ứng dụng sẽ ngay lập tức tắt và bạn sẽ thấy cửa sổ bật lên từ biểu tượng EMET trong khay hệ thống của mình. Nó cũng sẽ được ghi vào nhật ký sự kiện của Windows - các tùy chọn này có thể được tùy chỉnh từ hộp Báo cáo trên dải băng ở đầu cửa sổ EMET.
Sử dụng phiên bản Windows 64 bit
LIÊN QUAN: Tại sao Phiên bản Windows 64-bit lại An toàn hơn
Phiên bản Windows 64 bit an toàn hơn vì họ có quyền truy cập vào các tính năng như ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR). Không phải tất cả các tính năng này đều khả dụng nếu bạn đang sử dụng phiên bản Windows 32 bit. Giống như bản thân Windows, các tính năng bảo mật của EMET toàn diện và hữu ích hơn trên PC 64 bit.
Khóa các quy trình cụ thể
Có thể bạn sẽ muốn khóa các ứng dụng cụ thể thay vì toàn bộ hệ thống của mình. Tập trung vào các ứng dụng có nhiều khả năng bị xâm phạm nhất. Điều này có nghĩa là trình duyệt web, trình cắm của trình duyệt, chương trình trò chuyện và bất kỳ phần mềm nào khác giao tiếp với Internet hoặc mở các tệp đã tải xuống. Các dịch vụ và ứng dụng hệ thống cấp thấp chạy ngoại tuyến mà không cần mở bất kỳ tệp nào đã tải xuống sẽ ít gặp rủi ro hơn. Nếu bạn có một số ứng dụng kinh doanh quan trọng - có lẽ là ứng dụng truy cập Internet - thì đó có thể là ứng dụng bạn muốn bảo mật nhất.
Để bảo mật một ứng dụng đang chạy, hãy tìm ứng dụng đó trong danh sách EMET, nhấp chuột phải vào ứng dụng đó và chọn Định cấu hình quy trình.
(Nếu bạn muốn bảo mật một quy trình không chạy, hãy mở cửa sổ Ứng dụng và sử dụng các nút Thêm ứng dụng hoặc Thêm ký tự đại diện.)
Cửa sổ Cấu hình ứng dụng sẽ xuất hiện với ứng dụng của bạn được tô sáng. Theo mặc định, tất cả các quy tắc sẽ tự động được bật. Chỉ cần nhấp vào nút OK ở đây để áp dụng tất cả các quy tắc.
Nếu ứng dụng của bạn không hoạt động bình thường, bạn sẽ muốn quay lại đây và thử tắt một số hạn chế cho ứng dụng đó. Tắt từng cái một cho đến khi ứng dụng hoạt động và bạn có thể cô lập sự cố.
Nếu bạn không muốn hạn chế một ứng dụng nào đó, hãy chọn ứng dụng đó trong danh sách và nhấp vào nút Xóa các ứng dụng đã chọn để xóa các quy tắc của bạn và đưa ứng dụng trở lại trạng thái mặc định.
Thay đổi quy tắc trên toàn hệ thống
Phần Trạng thái Hệ thống cho phép bạn chọn các quy tắc trên toàn hệ thống. Có thể bạn sẽ muốn gắn bó với các giá trị mặc định, cho phép các ứng dụng chọn tham gia các biện pháp bảo mật này.
Bạn có thể chọn “Luôn bật” hoặc “Chọn không tham gia ứng dụng” cho các cài đặt này để bảo mật tối đa. Điều này có thể làm hỏng nhiều ứng dụng, đặc biệt là những ứng dụng cũ hơn. Nếu các ứng dụng bắt đầu hoạt động sai, bạn có thể hoàn nguyên về cài đặt mặc định hoặc tạo quy tắc “chọn không tham gia” cho các ứng dụng.
Để tạo quy tắc chọn không tham gia, hãy nhấp chuột phải vào quy trình và chọn Định cấu hình quy trình. Bỏ chọn loại bảo vệ bạn muốn từ chối - vì vậy, nếu bạn muốn chọn không tham gia ASLR trên toàn hệ thống, bạn sẽ bỏ chọn các hộp kiểm Bắt buộcASLR và BottomUpASLR cho quy trình đó. Nhấp vào OK để lưu quy tắc của bạn.
Lưu ý rằng chúng tôi đã bật “Luôn bật” cho DEP ở trên, vì vậy chúng tôi không thể tắt DEP cho bất kỳ quy trình nào trong cửa sổ Cấu hình ứng dụng bên dưới.
Quy tắc kiểm tra trong chế độ "Chỉ kiểm tra"
Nếu bạn muốn kiểm tra các quy tắc EMET nhưng không muốn giải quyết bất kỳ vấn đề nào, bạn có thể bật chế độ "Chỉ kiểm tra". Nhấp vào biểu tượng Ứng dụng trong EMET để truy cập cửa sổ Cấu hình ứng dụng. Bạn sẽ tìm thấy phần Hành động mặc định trên dải băng ở đầu màn hình. Theo mặc định, nó được đặt thành Dừng khi khai thác - EMET sẽ tắt ứng dụng nếu nó vi phạm quy tắc. Bạn cũng có thể đặt nó thành Chỉ kiểm tra. Nếu ứng dụng vi phạm một trong các quy tắc EMET của bạn, EMET sẽ báo cáo sự cố và cho phép ứng dụng tiếp tục chạy.
Điều này rõ ràng là loại bỏ các lợi thế bảo mật của việc chạy EMET, nhưng đó là một cách tốt để kiểm tra các quy tắc trước khi đưa EMET trở lại chế độ “Ngừng khai thác”.
Quy tắc xuất và nhập
Sau khi bạn đã tạo và kiểm tra các quy tắc của mình, hãy đảm bảo sử dụng nút Xuất hoặc Xuất các quy tắc đã chọn để xuất các quy tắc của bạn sang tệp. Sau đó, bạn có thể nhập chúng trên bất kỳ PC nào khác mà bạn sử dụng và có được các biện pháp bảo vệ an ninh tương tự mà không cần phải loay hoay thêm.
Trên các mạng công ty, các quy tắc EMET và bản thân EMET có thể được triển khai thông qua Chính sách Nhóm .
Không có điều nào trong số này là bắt buộc. Nếu bạn là người dùng gia đình không muốn giải quyết vấn đề này, vui lòng cài đặt EMET và tuân theo các cài đặt mặc định được đề xuất.
