6 Разширени съвети за осигуряване на приложенията на вашия компютър с EMET

Усъвършенстваният инструментариум за опит за смекчаване е най-добре пазената тайна на сигурността на Microsoft. Лесно е да инсталирате EMET и бързо да осигурите много популярни приложения, но с EMET можете да направите много повече.

EMET няма да изникне и ще ви зададе въпроси, така че това е решение, което е заложено и забравено, след като го настроите. Ето как да осигурите повече приложения с EMET и да ги поправите, ако се счупят.

Знайте дали EMET нарушава дадено заявление

Ако дадено приложение прави нещо, което вашите правила EMET забраняват, EMET ще изключи приложението - това е настройката по подразбиране, така или иначе. EMET затваря приложения, които се държат потенциално опасни, така че да не могат да се появят подвизи. Windows не прави това за всички приложения по подразбиране, защото ще прекъсне съвместимостта с много от старите приложения на Windows, които се използват днес.

Ако дадено приложение прекъсне, приложението незабавно ще се изключи и ще видите изскачащ прозорец от иконата EMET в системната област. Тя също ще бъде записана в регистъра на събитията на Windows - тези опции могат да бъдат персонализирани от полето Reporting на лентата в горната част на прозореца EMET..

Използвайте 64-битова версия на Windows

64-битовите версии на Windows са по-сигурни, защото имат достъп до функции като рандомизиране на разпределение на адресното пространство (ASLR). Не всички от тези функции ще са достъпни, ако използвате 32-битова версия на Windows. Както и самата Windows, защитните функции на EMET са по-изчерпателни и полезни за 64-битовите компютри.

Заключете определени процеси

Вероятно ще искате да заключите определени приложения вместо цялата система. Съсредоточете се върху приложенията, които е най-вероятно да бъдат компрометирани. Това означава уеб браузъри, приставки за браузъри, програми за чат и всеки друг софтуер, който комуникира с интернет или отваря изтеглени файлове. Ниско ниво на системни услуги и приложения, които работят офлайн, без да отварят изтеглени файлове, са по-малко застрашени. Ако имате някакво важно бизнес приложение - може би такова, което има достъп до интернет - може да е приложението, което искате да осигурите най-много.

За да осигурите изпълнявано приложение, намерете го в списъка EMET, щракнете с десния бутон върху него и изберете Configure Process.

(Ако искате да защитите процес, който не се изпълнява, отворете прозореца на Приложения и използвайте бутоните Добавяне на приложение или Добавяне на заместващи символи.)

Прозорецът за конфигуриране на приложения ще се появи с подчертано приложение. По подразбиране всички правила ще бъдат активирани автоматично. Просто натиснете бутона OK, за да приложите всички правила.

Ако приложението ви не работи правилно, ще искате да се върнете тук и да опитате да деактивирате някои от ограниченията за това приложение. Деактивирайте ги един по един, докато приложението работи и можете да изолирате проблема.

Ако изобщо не искате да ограничите приложението, изберете го в списъка и кликнете върху бутона „Премахване на избраното“, за да изтриете правилата си и да го върнете в стандартното си състояние.

Промяна на правилата за цялата система

Секцията Статус на системата ви позволява да изберете правила за цялата система. Вероятно ще искате да се придържате към настройките по подразбиране, които позволяват на приложенията да изберат тези защити за сигурност.

Можете да изберете „Винаги включено“ или „Приложение Opt Out“ за тези настройки за максимална сигурност. Това може да наруши много приложения, особено по-старите. Ако приложенията започнат да се държат неправилно, можете да се върнете към настройките по подразбиране или да създадете правила за отказване за приложения.

За да създадете правило за отказ, щракнете с десния бутон върху процес и изберете Конфигуриране на процес. Махнете отметката от типа защита, от който искате да се откажете - затова, ако искате да се откажете от ASLR за цялата система, премахнете отметките от квадратчетата MandatoryASLR и BottomUpASLR за този процес. Кликнете върху OK, за да запазите правилото си.

Обърнете внимание, че ние сме активирали „Винаги включено“ за DEP по-горе, така че не можем да деактивираме DEP за процеси в прозореца за конфигуриране на приложения по-долу.

Правила за тестване в режим „Само одит“

Ако искате да тествате правилата на EMET, но не искате да се справяте с някакви проблеми, можете да активирате режима само за одит. Кликнете върху иконата Приложения в EMET, за да влезете в прозореца за конфигуриране на приложения. Ще намерите секция за действие по подразбиране на лентата в горната част на екрана. По подразбиране той е настроен на Stop on exploit - EMET ще затвори приложение, ако наруши правило. Можете също да го настроите само за одит. Ако дадено приложение наруши едно от вашите правила на EMET, EMET ще докладва за проблема и ще позволи на приложението да продължи да работи.

Това очевидно елиминира предимствата на защитата при работа с EMET, но това е добър начин да се тестват правилата, преди да се пусне EMET в режим "Stop on exploit"..

Правила за износ и внос

След като създадете и тествате правилата си, не забравяйте да използвате бутона за експортиране или експортиране, за да експортирате правилата си във файл. След това можете да ги импортирате на всеки друг компютър, който използвате, и да получавате същите защити за сигурност, без да се нуждаете от по-голяма игра.

В корпоративните мрежи правилата на EMET и EMET могат да бъдат разгърнати чрез групова политика.

Нищо от това не е задължително. Ако сте домашен потребител, който не иска да се занимава с това, можете да инсталирате EMET и да се придържате към препоръчителните настройки по подразбиране.