Наръчникът за подобрено овладяване на смекчаването е най-добрата тайна за защита на Microsoft. Лесно е да инсталирате EMET и бързо да защитите много популярни приложения, но има много повече, които можете да направите с EMET.
ЕМЕТ няма да изскочи и да ви зададе въпроси, така че това е решение за това, което сте решили, след като го настроите. Ето как да осигурите повече приложения с EMET и да ги поправите, ако се счупят.
Ако дадено приложение направи нещо, което вашият EMET правила забрани, EMET ще затвори приложението - това е настройката по подразбиране, така или иначе. EMET затваря приложения, които се държат по потенциално опасен начин, така че не могат да се случат злоупотреби. Windows не прави това по подразбиране за всички приложения, тъй като би нарушило съвместимостта с много от старите приложения на Windows, които се използват днес.
Ако дадено приложение се счупи, приложението веднага ще се изключи и ще видите изскачащ прозорец от иконата EMET в системната област. Той също така ще бъде написан в регистъра на събитията в Windows - тези опции могат да бъдат персонализирани от полето за отчитане на лентата в горната част на прозореца EMET.
64-битовите версии на Windows са по-сигурни, защото имат достъп до функции като рандомизиране на оформлението на адресно пространство (ASLR). Не всички от тези функции ще бъдат налице, ако използвате 32-битова версия на Windows. Подобно на самия Windows, функциите за защита на EMET са по-изчерпателни и полезни за 64-битовите компютри.
Вероятно ще искате да заключите конкретни приложения вместо цялата си система. Фокусирайте се върху приложенията, които най-вероятно ще бъдат компрометирани. Това означава уеб браузъри, приставки за браузъри, чат програми и всеки друг софтуер, който комуникира с интернет или отваря изтеглени файлове. Системните услуги на ниско ниво и приложенията, които се изпълняват офлайн, без да отварят изтеглени файлове, са по-малко застрашени. Ако имате важни бизнес приложения - може би такива, които имат достъп до интернет - това може да е приложението, което искате да защитете най-много.
За да защитите работещото приложение, намерете го в списъка EMET, кликнете с десния бутон върху него и изберете Конфигуриране на процеса.
(Ако искате да защитите процес, който не се изпълнява, отворете прозореца на Apps и използвайте бутоните Добавяне на приложение или Добавяне на заместващи символи.)
Прозорецът за конфигуриране на приложението ще се появи с приложението ви подчертано. По подразбиране всички правила автоматично ще бъдат активирани. Просто кликнете върху бутона OK, за да приложите всички правила.
Ако приложението ви не работи правилно, ще искате да се върнете тук и да опитате да деактивирате някои от ограниченията за това приложение. Деактивирайте ги един по един, докато приложението започне да работи и можете да изолирате проблема.
Ако изобщо не искате да ограничите дадена програма, изберете я от списъка и кликнете върху бутона Премахване на избрания файл, за да изтриете правилата си и да върнете приложението в състояние по подразбиране.
Разделът "Статус на системата" ви позволява да избирате правилата, които са в рамките на цялата система. Вероятно ще искате да се придържате към стандартните настройки, които позволяват на приложенията да се включат в тези защитни мерки.
Можете да изберете "Винаги включено" или "Изключване на приложението" за тези настройки за максимална сигурност. Това може да наруши много приложения, особено по-стари. Ако приложенията започват да вървят зле, можете да върнете настройките по подразбиране или да създадете правила за отказване от приложенията.
За да създадете правило за отказване, щракнете с десния бутон на мишката върху даден процес и изберете Конфигуриране на процес. Премахнете отметката от типа защита, от който искате да се откажете - затова, ако искате да се откажете от системната ASLR, премахнете отметките от квадратчетата MandatoryASLR и BottomUpASLR за този процес. Кликнете върху OK, за да запазите правилото си.
Обърнете внимание, че сме активирали "Винаги включен" за DEP по-горе, затова не можем да деактивираме DEP за процеси в прозореца Configuration на приложението по-долу.
Ако искате да изпробвате правилата на EMET, но не искате да се справите с никакви проблеми, можете да активирате режима "Одит само". Кликнете върху иконата на Apps в EMET, за да отворите прозореца Конфигурация на приложението. На лентата в горната част на екрана ще намерите секция "Действие по подразбиране". По подразбиране той е зададен на Stop to exploit - EMET ще изключи приложение, ако наруши правило. Можете също да го зададете само за одит. Ако дадено приложение наруши едно от вашите EMET правила, EMET ще докладва за проблема и ще позволи на приложението да продължи да работи.
Това очевидно елиминира предимствата на сигурността при използването на EMET, но е добър начин да тествате правилата преди да поставите EMET обратно в режим "Стоп на експлоатиране".
След като създадете и изпробвате правилата си, не забравяйте да използвате бутона "Експортиране или експортиране на избрани", за да експортирате правилата си във файл. След това можете да ги импортирате на всички други компютри, които използвате, и да получавате същите защитни мерки за сигурност, без да се занимавате повече с това.
В корпоративните мрежи правилата на EMET и самата EMET могат да бъдат разгърнати чрез груповата политика.
Нищо от това не е задължително. Ако сте домашен потребител, който не желае да се занимава с това, можете просто да инсталирате EMET и да се придържате към препоръчаните настройки по подразбиране.
