Hjemmeside » hvordan » 6 Avanserte tips for å sikre programmer på PCen med EMET

    6 Avanserte tips for å sikre programmer på PCen med EMET

    Enhanced Mitigation Experience Toolkit er Microsofts best bevarte sikkerhetshemmelighet. Det er enkelt å installere EMET og raskt sikre mange populære applikasjoner, men det er mye mer du kan gjøre med EMET.

    EMET vil ikke komme opp og stille spørsmål, så det er en sett-det-og-glem-det-løsningen når du setter det opp. Slik sikrer du flere applikasjoner med EMET og reparerer dem hvis de bryter.

    Vet Hvis EMET bryter et program

    Hvis et program gjør noe EMET-reglene dine tillater, vil EMET stenge programmet - det er i utgangspunktet standardinnstillingen. EMET lukker programmer som oppfører seg på en potensielt usikker måte, slik at ingen utnytter kan forekomme. Windows gjør dette ikke for alle applikasjoner som standard fordi det ville bryte kompatibilitet med mange av de gamle Windows-programmene som er i bruk i dag.

    Hvis et program går i stykker, stopper programmet umiddelbart, og du får se en popup fra EMET-ikonet i systemstatusfeltet. Det vil også bli skrevet til Windows-loggfilen - disse alternativene kan tilpasses fra Reporting-boksen på båndet øverst i EMET-vinduet.

    Bruk en 64-biters versjon av Windows

    64-biters versjoner av Windows er sikrere fordi de har tilgang til funksjoner som adresselayouts layout-randomisering (ASLR). Ikke alle disse funksjonene vil være tilgjengelige hvis du bruker en 32-biters versjon av Windows. Som Windows, er EMETs sikkerhetsfunksjoner mer omfattende og nyttige på 64-biters PCer.

    Lås ned bestemte prosesser

    Du vil sannsynligvis låse ned bestemte applikasjoner i stedet for hele systemet. Fokuser på programmene som mest sannsynlig vil bli kompromittert. Dette betyr nettlesere, nettleser-pluginprogrammer, chatprogrammer og annen programvare som kommuniserer med Internett eller åpner nedlastede filer. Lavtliggende systemtjenester og applikasjoner som kjører uten nett uten å åpne noen nedlastede filer, er mindre utsatt. Hvis du har noen viktige forretningsapplikasjoner - kanskje en som har tilgang til Internett - kan det være søknaden du vil sikre mest.

    For å sikre et løpende program, finn det i EMET-listen, høyreklikk det og velg Konfigurer prosess.

    (Hvis du vil sikre en prosess som ikke kjører, åpner du Apps-vinduet og bruker knappene Legg til applikasjon eller Legg til wildcard.)

    Programkonfigurasjonsvinduet vises med søknaden din uthevet. Som standard vil alle reglene automatisk bli aktivert. Bare klikk OK-knappen her for å bruke alle reglene.

    Hvis din søknad ikke fungerer som den skal, vil du ønske å komme tilbake hit og prøve å deaktivere noen av begrensningene for det programmet. Deaktiver dem en etter en til programmet fungerer, og du kan isolere problemet.

    Hvis du ikke vil begrense et program i det hele tatt, velger du det i listen og klikker Fjern fjern valgt-knappen for å slette reglene dine og sette programmet tilbake til standardstandarden.

    Endre system-brede regler

    Systemstatus-seksjonen lar deg velge systemavhengige regler. Du vil sannsynligvis holde fast ved standardinnstillingene, som tillater at applikasjoner velger disse sikkerhetsbeskyttelsene.

    Du kan velge "Always On" eller "Application Opt Out" for disse innstillingene for maksimal sikkerhet. Dette kan ødelegge mange applikasjoner, spesielt eldre. Hvis applikasjonene begynner å mislykkes, kan du gå tilbake til standardinnstillingene eller opprette "utelukkende" regler for applikasjoner.

    For å opprette en utvelgelsesregel, høyreklikk en prosess og velg Konfigurer prosess. Fjern merket av beskyttelsestypen du vil velge fra - så hvis du ønsker å melde deg av systembasert ASLR, fjerner du avkryssingsfeltene MandatoryASLR og BottomUpASLR for den prosessen. Klikk på OK for å lagre regelen.

    Vær oppmerksom på at vi har aktivert «Alltid på» for DEP ovenfor, så vi kan ikke deaktivere DEP for alle prosesser i vinduet Programkonfigurasjon under.

    Testregler i "Bare revisjonsmodus"

    Hvis du vil teste EMET-regler, men ikke ønsker å håndtere noen problemer, kan du aktivere "Bare revisjon" -modus. Klikk på Apps-ikonet i EMET for å få tilgang til vinduet Programkonfigurasjon. Du finner en Standard Action-seksjon på båndet øverst på skjermen. Som standard er den satt til Stopp på utnytte - EMET slår av et program hvis det bryter en regel. Du kan også sette den bare til revisjon. Hvis et program bryter et av EMET-reglene, vil EMET rapportere problemet og la programmet fortsette å løpe.

    Dette eliminerer åpenbart sikkerhetsfordelene ved å kjøre EMET, men det er en god måte å teste regler på før du setter EMET tilbake i "Stop on exploit" -modus.

    Eksporter og importer Regler

    Når du har opprettet og testet reglene dine, må du bruke Eksporter eller Eksporter valgte knappen for å eksportere reglene dine til en fil. Du kan deretter importere dem på andre PCer du bruker, og få de samme sikkerhetsbeskyttelsene uten å feste mer.

    På bedriftens nettverk kan EMET-regler og EMET selv distribueres gjennom konsernpolitikken.


    Ingen av dette er obligatorisk. Hvis du er en hjemmebruker som ikke vil takle dette, kan du bare installere EMET og holde fast ved de anbefalte standardinnstillingene.