คำแนะนำขั้นสูงของ Microsoft Enhanced Mitigation Experience Toolkit (EMET)

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

Microsoft Enhanced Mitigation Experience Toolkit ซึ่งเรียกสั้น ๆ ว่า EMET เป็นการดาวน์โหลดที่เป็นทางเลือกสำหรับระบบปฏิบัติการ Windows ของ Microsoft ไคลเอนต์และเซิร์ฟเวอร์เวอร์ชันเซิร์ฟเวอร์ที่เพิ่มการลดการใช้ประโยชน์ให้กับการป้องกันของระบบ

โดยทั่วไปได้รับการออกแบบมาเพื่อป้องกันไม่ให้การโจมตีดำเนินไปอย่างประสบความสำเร็จหากมีการละเมิดการป้องกันระบบเช่นโซลูชันป้องกันไวรัสอยู่แล้ว

ปล่อยออกมา ติดตั้งง่ายและใช้งานไม่ได้ แต่เพื่อให้ได้ประโยชน์สูงสุดจากโปรแกรมคุณต้องใช้เวลาทำความรู้จักและกำหนดค่าโปรแกรม

บทความนี้ให้คำแนะนำเกี่ยวกับการใช้ EMET ให้เกิดประโยชน์สูงสุด

1. การปกป้องกระบวนการที่สำคัญ

EMET ปกป้อง Microsoft หลักและกระบวนการของบุคคลที่สามจำนวนหนึ่งหลังจากการติดตั้งเท่านั้น แม้ว่าจะดูแลโปรแกรมเช่น Java, Adobe Acrobat, Internet Explorer หรือ Excel แต่จะไม่ปกป้องโปรแกรมที่คุณติดตั้งด้วยตนเองเช่น Firefox, Skype หรือ Chrome

แม้ว่าจะสามารถเพิ่มโปรแกรมทั้งหมดของคุณไปยัง EMET ในทางทฤษฎีได้ แต่คุณอาจต้องการพิจารณาเพิ่มเฉพาะโปรแกรมที่มีความเสี่ยงสูงลงในแอปพลิเคชันแทน

โปรแกรมที่มีความเสี่ยงสูง? คำจำกัดความสั้น ๆ ของโปรแกรมที่มีความเสี่ยงสูงคือโปรแกรมนี้อาจถูกใช้ประโยชน์เป็นประจำ (เช่น Internet Explorer) สามารถเรียกใช้ไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต (เว็บเบราว์เซอร์ไคลเอนต์อีเมล) หรือจัดเก็บข้อมูลที่มีค่าสำหรับคุณ (เช่นซอฟต์แวร์เข้ารหัส)

สิ่งนี้จะทำให้เป้าหมายที่มีมูลค่าสูงของ Firefox, Chrome และ Thunderbird และ Notepad, Minesweeper และ Paint

เพื่อเพิ่มแอปพลิเคชันในรายการป้องกันของ EMET

emet add application protection

  1. เปิด EMET บนระบบ
  2. คุณพบรายการกระบวนการที่กำลังทำงานอยู่ในอินเทอร์เฟซ หากโปรแกรมที่คุณต้องการป้องกันไม่ทำงานให้เริ่มต้นบนพีซี
  3. คลิกขวาที่กระบวนการหลังจากนั้นและเลือก 'กำหนดค่ากระบวนการ' จากเมนูบริบท
  4. เพิ่มกระบวนการที่เลือกในรายการแอปพลิเคชันของ EMET
  5. เลือกตกลงหลังจากนั้นเพื่อบันทึกการเลือกและรีสตาร์ทโปรแกรมที่คุณเพิ่งเพิ่มลงใน EMET

ปลาย : ขอแนะนำอย่างยิ่งให้ทดสอบแต่ละแอปพลิเคชันทีละรายการก่อนที่คุณจะเริ่มเพิ่มกระบวนการเพิ่มเติมใน EMET โปรแกรมอาจเข้ากันไม่ได้กับเทคนิคการลดการใช้ประโยชน์ทั้งหมดที่ EMET นำเสนอ

2. การแก้ไขข้อบกพร่องของกระบวนการทำงานที่ไม่เหมาะสม

โอกาสค่อนข้างสูงที่คุณจะพบปัญหาหลังจากเพิ่มโปรแกรมใน EMET บางโปรแกรมอาจปฏิเสธที่จะเริ่มต้นทั้งหมดในขณะที่โปรแกรมอื่น ๆ อาจเปิดและปิดทันทีหลังจากเริ่มต้นแล้ว

โดยปกติจะเป็นกรณีที่การบรรเทาหนึ่งหรือหลายอย่างเข้ากันไม่ได้กับกระบวนการ ปัญหาหลักที่นี่คือคุณจะไม่ได้รับข้อมูลที่ทำให้เกิดปัญหา

ตรวจสอบว่ามีปัญหา

event viewer emet

วิธีหนึ่งที่ง่ายกว่าในการตรวจสอบว่ามีบางอย่างทำงานไม่ถูกต้องคือการตรวจสอบรายการ EMET ในบันทึกเหตุการณ์ของ Windows

  1. แตะที่ปุ่ม Windows พิมพ์ event viewer แล้วกด Enter
  2. คุณพบรายการ EMET ภายใต้ Event Viewer (ในเครื่อง)> Windows Logs> Application

ฉันขอแนะนำให้คุณจัดเรียงตามวันที่และเวลาและมองหา 'Application Error' เป็นแหล่งที่มา คุณควรพบ EMET.DLL ที่แสดงเป็นแหล่งที่มาของปัญหาภายใต้ทั่วไปเมื่อคุณเลือกรายการบันทึกรายการใดรายการหนึ่ง

เห็นได้ชัดว่าคุณสามารถลบการป้องกันทั้งหมดสำหรับแอปพลิเคชันใน EMET และเรียกใช้อีกครั้งเพื่อดูว่าสามารถแก้ไขปัญหาได้หรือไม่

การแก้ไขปัญหา

testing mitigations

วิธีเดียวที่แน่นอนในการบังคับใช้ความเข้ากันได้กับ Microsoft EMET คือการลองผิดลองถูก เปิดรายการแอปพลิเคชันที่ได้รับการป้องกันอีกครั้งใน EMET ปิดการป้องกันทั้งหมดและเริ่มเปิดใช้งานอีกครั้งทีละรายการ

ลองรันโปรแกรมหลังจากสวิตช์แต่ละครั้งเพื่อดูว่าทำงานได้หรือไม่ ถ้าเป็นเช่นนั้นให้ทำซ้ำขั้นตอนโดยการเปิดการลดผลกระทบถัดไปในบรรทัดจนกว่าคุณจะมาถึงขั้นตอนที่ป้องกันไม่ให้โปรแกรมเริ่มทำงาน

ปิดใช้งานการบรรเทานั้นอีกครั้งและดำเนินการต่อไปจนกว่าคุณจะเปิดใช้งานการบรรเทาทั้งหมดที่เข้ากันได้กับซอฟต์แวร์ที่เลือก

ตัวอย่างเช่น Google Chrome ไม่สามารถเริ่มต้นโดยใช้การลดค่าเริ่มต้นที่เลือกไว้สำหรับกระบวนการใหม่ ฉันพบว่าการบรรเทาเพียงอย่างเดียวที่เบราว์เซอร์เข้ากันไม่ได้คือ EAF ซึ่งฉันปิดใช้งานเป็นผล

3. กฎทั้งระบบ

emet system wide rules

EMET มาพร้อมกับกฎทั้งระบบสี่ข้อที่คุณสามารถกำหนดค่าได้ในอินเทอร์เฟซหลัก การปักหมุดใบรับรองการป้องกันการดำเนินการกับข้อมูลและการป้องกันการเขียนทับของตัวจัดการข้อยกเว้นที่มีโครงสร้างถูกเปิดใช้งานเป็นกฎทั้งระบบในขณะที่การสุ่มรูปแบบพื้นที่ที่อยู่ถูกตั้งค่าเป็นเลือกใช้แทน

ซึ่งหมายความว่าคุณต้องเปิดใช้งานกฎสำหรับแต่ละแอปพลิเคชันที่คุณต้องการป้องกัน คุณสามารถเปลี่ยนสถานะของกฎทั้งระบบเหล่านี้ได้ตัวอย่างเช่นโดยการบังคับใช้กฎการเลือกใช้ทั้งระบบด้วย

อย่างไรก็ตามสิ่งนี้อาจทำให้เกิดปัญหากับโปรแกรมที่ทำงานบนระบบ เนื่องจากมีการบังคับใช้กับทุกโปรแกรมเมื่อเปิดใช้งานคุณอาจต้องการตรวจสอบระบบอย่างใกล้ชิดและเปลี่ยนกลับไปเลือกใช้หากคุณสังเกตเห็นปัญหาในการเริ่มต้นหรือเรียกใช้แอปพลิเคชันบนเครื่อง

4. กฎการนำเข้าและส่งออก

emet import export

การกำหนดค่าโปรแกรมใน EMET เพื่อให้แอปพลิเคชันได้รับการปกป้องจะใช้เวลาสักครู่เนื่องจากปัญหาที่ระบุไว้ข้างต้น

ข่าวดีก็คือคุณไม่จำเป็นต้องทำซ้ำขั้นตอนบนพีซีเครื่องอื่นที่คุณจัดการเนื่องจากคุณสามารถใช้คุณสมบัติการนำเข้าและส่งออกของ EMET ได้

ปลาย : EMET มาพร้อมกับชุดกฎพิเศษที่ผู้ใช้สามารถเพิ่มลงในโปรแกรมได้ ในการเข้าถึงสิ่งเหล่านั้นเลือกนำเข้าใน EMET จากนั้นทำอย่างใดอย่างหนึ่งต่อไปนี้:

  1. CertTrust - การกำหนดค่าเริ่มต้น EMET ของ Certificate Trust Pinning สำหรับ MS และบริการออนไลน์ของบุคคลที่สาม
  2. ซอฟต์แวร์ยอดนิยม - เปิดใช้งานการป้องกันสำหรับซอฟต์แวร์ทั่วไปเช่น Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
  3. ซอฟต์แวร์ที่แนะนำ - เปิดใช้งานการป้องกันสำหรับซอฟต์แวร์ที่แนะนำขั้นต่ำเช่น Internet Explorer, Microsof Office, Adobe Acrobat Reader และ Java

ตัวเลือก 3 เป็นตัวเลือกเริ่มต้นที่โหลดโดยอัตโนมัติ คุณสามารถเพิ่มโปรแกรมยอดนิยมอื่น ๆ ใน EMET โดยอัตโนมัติโดยการนำเข้ากฎซอฟต์แวร์ยอดนิยม

การโยกย้ายกฎและนโยบาย

emet group policy

ในการส่งออกกฎให้เลือกปุ่มส่งออกในอินเทอร์เฟซหลักของ EMET เลือกชื่อสำหรับไฟล์ xml ในกล่องโต้ตอบบันทึกและตำแหน่ง

จากนั้นกฎชุดนี้สามารถนำเข้าในระบบอื่นหรือเก็บไว้เพื่อป้องกันในเครื่องปัจจุบัน

เนื่องจากกฎถูกบันทึกเป็นไฟล์ XML คุณจึงสามารถแก้ไขได้ด้วยตนเองเช่นกัน

ผู้ดูแลระบบสามารถปรับใช้คำสั่งนโยบายกลุ่มบนระบบได้เช่นกัน ไฟล์ adml / admx เป็นส่วนหนึ่งของการติดตั้ง EMET และสามารถพบได้ในไฟล์ Deployment / Group Policy หลังการติดตั้ง