6 советов по обеспечению безопасности приложений на вашем компьютере с помощью EMET

Набор инструментов Enhanced Mitigation Experience является самым надежным секретом безопасности Microsoft. EMET легко установить и быстро защитить многие популярные приложения, но с EMET вы можете сделать гораздо больше.

EMET не будет появляться и задавать вам вопросы, так что это решение «поставь и забудь», как только вы его настроите. Вот как можно защитить больше приложений с помощью EMET и исправить их, если они сломаются.

Знайте, если EMET ломает приложение

Если приложение делает что-то, запрещенное вашими правилами EMET, EMET закроет приложение - в любом случае это настройка по умолчанию. EMET закрывает приложения, которые ведут себя потенциально небезопасным образом, поэтому никакие эксплойты не могут возникнуть. Windows не делает этого для всех приложений по умолчанию, потому что это нарушит совместимость со многими из старых приложений Windows, используемых сегодня.

Если приложение сломается, оно будет немедленно закрыто, и вы увидите всплывающее окно со значком EMET на панели задач. Он также будет записан в журнал событий Windows - эти параметры можно настроить в поле «Отчетность» на ленте в верхней части окна EMET..

Используйте 64-битную версию Windows

64-разрядные версии Windows более безопасны, поскольку имеют доступ к таким функциям, как рандомизация расположения адресного пространства (ASLR). Не все эти функции будут доступны, если вы используете 32-разрядную версию Windows. Как и сама Windows, функции безопасности EMET более полны и полезны на 64-битных ПК.

Блокировка определенных процессов

Возможно, вы захотите заблокировать определенные приложения вместо всей вашей системы. Сосредоточьтесь на приложениях, которые могут быть скомпрометированы. Это означает, что веб-браузеры, подключаемые модули браузера, программы чата и любое другое программное обеспечение взаимодействует с Интернетом или открывает загруженные файлы. Низкоуровневые системные службы и приложения, работающие в автономном режиме без открытия загруженных файлов, подвержены меньшему риску. Если у вас есть какое-то важное бизнес-приложение, возможно, выходящее в Интернет, это приложение, которое вы хотите защитить наиболее.

Чтобы защитить работающее приложение, найдите его в списке EMET, щелкните его правой кнопкой мыши и выберите «Настроить процесс»..

(Если вы хотите защитить процесс, который не запущен, откройте окно «Приложения» и используйте кнопки «Добавить приложение» или «Добавить подстановочный знак».)

Откроется окно «Конфигурация приложения» с выделенным приложением. По умолчанию все правила будут автоматически включены. Просто нажмите кнопку ОК, чтобы применить все правила.

Если ваше приложение не работает должным образом, вы можете вернуться сюда и попытаться отключить некоторые ограничения для этого приложения. Отключите их по одному, пока приложение не заработает, и вы сможете изолировать проблему.

Если вы вообще не хотите ограничивать приложение, выберите его в списке и нажмите кнопку «Удалить выбранное», чтобы стереть ваши правила и вернуть приложение в состояние по умолчанию..

Изменить общесистемные правила

Раздел System Status позволяет вам выбрать общесистемные правила. Вы, вероятно, захотите придерживаться настроек по умолчанию, которые позволяют приложениям использовать эти средства защиты.

Вы можете выбрать «Всегда включено» или «Отказ от участия» для этих настроек для обеспечения максимальной безопасности. Это может сломать многие приложения, особенно старые. Если приложения начинают плохо себя вести, вы можете вернуться к настройкам по умолчанию или создать правила отказа для приложений..

Чтобы создать правило отказа, щелкните правой кнопкой мыши процесс и выберите «Настроить процесс». Снимите флажок с типа защиты, от которого вы хотите отказаться, поэтому, если вы хотите отказаться от ASLR в масштабе всей системы, вы снимите флажки MandatoryASLR и BottomUpASLR для этого процесса. Нажмите кнопку ОК, чтобы сохранить правило.

Обратите внимание, что мы включили «Всегда включено» для DEP выше, поэтому мы не можем отключить DEP для любых процессов в окне конфигурации приложения ниже.

Правила тестирования в режиме «Только аудит»

Если вы хотите проверить правила EMET, но не хотите решать какие-либо проблемы, вы можете включить режим «Только аудит». Щелкните значок «Приложения» в EMET, чтобы открыть окно «Конфигурация приложения». Вы найдете раздел Действие по умолчанию на ленте в верхней части экрана. По умолчанию установлено «Остановить эксплойт» - EMET закроет приложение, если оно нарушит правило. Вы также можете установить его только для аудита. Если приложение нарушает одно из ваших правил EMET, EMET сообщит о проблеме и позволит приложению продолжить работу.

Это, очевидно, устраняет преимущества безопасности при запуске EMET, но это хороший способ проверить правила, прежде чем вернуть EMET в режим «Остановить эксплойт»..

Правила экспорта и импорта

После того как вы создали и протестировали свои правила, обязательно используйте кнопку «Экспорт» или «Экспорт выбранного», чтобы экспортировать ваши правила в файл. Затем вы можете импортировать их на любые другие компьютеры, которые вы используете, и получить те же средства защиты без лишних хлопот..

В корпоративных сетях правила EMET и сам EMET могут быть развернуты с помощью групповой политики..

Ничто из этого не является обязательным. Если вы домашний пользователь, который не хочет иметь дело с этим, не стесняйтесь просто установить EMET и придерживаться рекомендуемых настроек по умолчанию.