Erweiterte Tipps zum Microsoft Enhanced Mitigation Experience Toolkit (EMET)
- Kategorie: Tutorials
Das Microsoft Enhanced Mitigation Experience Toolkit, kurz EMET, ist ein optionaler Download für alle unterstützten Client- und Serverversionen des Windows-Betriebssystems von Microsoft, mit dem die Abwehrkräfte des Systems durch Exploit-Minderung erweitert werden.
Grundsätzlich wurde entwickelt, um zu verhindern, dass Angriffe erfolgreich ausgeführt werden, wenn sie bereits gegen Systemverteidigungen wie Antivirenlösungen verstoßen haben.
EMITS ist einfach zu installieren und sofort einsatzbereit, aber um das Programm optimal nutzen zu können, müssen Sie Zeit damit verbringen, es kennenzulernen und zu konfigurieren.
In diesem Artikel finden Sie Tipps, wie Sie EMET optimal nutzen können.
1. Wichtige Prozesse schützen
EMET schützt Microsoft und eine Handvoll Prozesse von Drittanbietern erst nach der Installation. Dies kümmert sich zwar um Programme wie Java, Adobe Acrobat, Internet Explorer oder Excel, schützt jedoch nicht manuell installierte Programme wie Firefox, Skype oder Chrome.
Während es theoretisch möglich ist, alle Ihre Programme zu EMET hinzuzufügen, sollten Sie stattdessen nur Programme mit hohem Risiko zur Anwendung hinzufügen.
Programme mit hohem Risiko? Eine kurze Definition eines Hochrisikoprogramms besteht darin, dass es entweder regelmäßig ausgenutzt wird (z. B. Internet Explorer), aus dem Internet heruntergeladene Dateien ausführen kann (Webbrowser, E-Mail-Client) oder wertvolle Daten für Sie speichert (z. B. Verschlüsselungssoftware).
Dies würde Firefox, Chrome und Thunderbird zu hochwertigen Zielen machen und Notepad, Minesweeper und Paint nicht.
Hinzufügen von Anwendungen zur EMET-Schutzliste
- Öffnen Sie EMET im System.
- In der Schnittstelle finden Sie eine Liste der laufenden Prozesse. Wenn das Programm, das Sie schützen möchten, nicht ausgeführt wird, starten Sie es auf dem PC.
- Klicken Sie anschließend mit der rechten Maustaste auf den Prozess und wählen Sie im Kontextmenü die Option 'Prozess konfigurieren'.
- Dadurch wird der ausgewählte Prozess zur Anwendungsliste von EMET hinzugefügt.
- Wählen Sie anschließend OK, um die Auswahl zu speichern und das gerade zu EMET hinzugefügte Programm neu zu starten.
Trinkgeld : Es wird dringend empfohlen, jede Anwendung einzeln zu testen, bevor Sie EMET weitere Prozesse hinzufügen. Ein Programm ist möglicherweise nicht mit allen von EMET angebotenen Exploit-Abschwächungstechniken kompatibel.
2. Debuggen von fehlerhaften Prozessen
Die Wahrscheinlichkeit ist ziemlich hoch, dass nach dem Hinzufügen von Programmen zu EMET Probleme auftreten. Einige Programme können sich weigern, vollständig zu starten, während andere unmittelbar nach dem Start geöffnet und geschlossen werden.
Dies ist normalerweise der Fall, wenn eine oder mehrere Abschwächungen nicht mit dem Prozess kompatibel sind. Das Hauptproblem hierbei ist, dass Sie keine Informationen erhalten, welche Schadensbegrenzung das Problem verursacht hat.
Stellen Sie sicher, dass ein Problem vorliegt
Eine der einfacheren Möglichkeiten, um zu überprüfen, ob etwas nicht richtig funktioniert, besteht darin, im Windows-Ereignisprotokoll nach EMET-Einträgen zu suchen.
- Tippen Sie auf die Windows-Taste, geben Sie die Ereignisanzeige ein und drücken Sie die Eingabetaste.
- Sie finden EMET-Einträge unter Ereignisanzeige (lokal)> Windows-Protokolle> Anwendung.
Ich schlage vor, Sie sortieren nach Datum und Uhrzeit und suchen nach 'Anwendungsfehler' als Quelle. Sie sollten EMET.DLL als Ursache des Problems unter Allgemein finden, wenn Sie einen der Protokolleinträge auswählen.
Natürlich können Sie auch alle Schutzfunktionen für die Anwendung in EMET entfernen und erneut ausführen, um festzustellen, ob das Problem dadurch behoben wird.
Problem beheben
Die einzige todsichere Möglichkeit, die Kompatibilität mit Microsoft EMET durchzusetzen, ist Versuch und Irrtum. Öffnen Sie die Liste der geschützten Anwendungen erneut in EMET, deaktivieren Sie alle Schutzfunktionen und schalten Sie sie nacheinander wieder ein.
Versuchen Sie, das Programm nach jedem Wechsel auszuführen, um festzustellen, ob es funktioniert. Wenn dies der Fall ist, wiederholen Sie den Vorgang, indem Sie die nächste Abschwächung in der Reihe einschalten, bis Sie zu einer kommen, die das Starten des Programms verhindert.
Deaktivieren Sie diese Schadensbegrenzung erneut und setzen Sie den Vorgang fort, bis Sie alle Schadensbegrenzungen aktiviert haben, die mit der ausgewählten Software kompatibel sind.
Beispielsweise konnte Google Chrome die für neue Prozesse ausgewählten Standardminderungen nicht verwenden. Ich stellte fest, dass die einzige Schadensbegrenzung, mit der der Browser nicht kompatibel war, EAF war, die ich infolgedessen deaktivierte.
3. Systemweite Regeln
EMET wird mit vier systemweiten Regeln geliefert, die Sie in der Hauptschnittstelle konfigurieren können. Das Anheften von Zertifikaten, die Verhinderung der Datenausführung und der Überschreibschutz für strukturierte Ausnahmehandler werden als systemweite Regeln aktiviert, während die Randomisierung des Adressraumlayouts stattdessen aktiviert ist.
Dies bedeutet, dass Sie die Regel für jede Anwendung aktivieren müssen, die durch sie geschützt werden soll. Sie können den Status dieser systemweiten Regeln ändern, indem Sie beispielsweise die Opt-In-Regel auch systemweit durchsetzen.
Dies kann jedoch zu Problemen mit Programmen führen, die auf dem System ausgeführt werden. Da es bei Aktivierung für alle Programme erzwungen wird, möchten Sie das System möglicherweise genau überwachen und wieder zur Anmeldung wechseln, wenn Sie Probleme beim Starten oder Ausführen von Anwendungen auf dem Computer bemerken.
4. Importieren und Exportieren von Regeln
Das Konfigurieren von Programmen in EMET so, dass sie von der Anwendung geschützt werden, dauert aufgrund der oben beschriebenen Probleme eine Weile.
Eine gute Nachricht ist, dass Sie den Vorgang auf anderen von Ihnen verwalteten PCs nicht wiederholen müssen, da Sie dafür die Import- und Exportfunktion von EMET verwenden können.
Trinkgeld : EMET wird mit einer Reihe zusätzlicher Regeln geliefert, die Benutzer dem Programm hinzufügen können. Um auf diese zuzugreifen, wählen Sie Import in EMET und dann eine der folgenden Optionen:
- CertTrust - EMET-Standardkonfiguration von Certificate Trust Pinning für MS- und Onlinedienste von Drittanbietern
- Beliebte Software - Aktiviert den Schutz für gängige Software wie Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime und Opera
- Empfohlene Software - Aktiviert den Schutz für minimal empfohlene Software wie Internet Explorer, Microsoft Office, Adobe Acrobat Reader und Java
Option 3 ist die Standardoption, die automatisch geladen wird. Sie können EMET automatisch andere beliebte Programme hinzufügen, indem Sie die Regeln für beliebte Software importieren.
Regelmigration und Richtlinien
Um Regeln zu exportieren, klicken Sie auf die Schaltfläche Exportieren in der Hauptoberfläche von EMET. Wählen Sie im Dialogfeld 'Speichern' einen Namen für die XML-Datei und einen Speicherort aus.
Dieser Regelsatz kann dann auf andere Systeme importiert oder als Schutz auf dem aktuellen Computer aufbewahrt werden.
Da Regeln als XML-Dateien gespeichert werden, können Sie sie auch manuell bearbeiten.
Administratoren können Gruppenrichtlinienanweisungen auch auf Systemen bereitstellen. Die adml / admx-Dateien sind Teil der EMET-Installation und finden Sie nach der Installation unter Bereitstellungs- / Gruppenrichtliniendateien.