Покращені поради щодо покращеного досвіду щодо зменшення наслідків Microsoft (EMET)

• Категорія: Підручники

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Набір інструментів Microsoft Enhanced Experience Toolkit, короткий EMET, - це додаткове завантаження для всіх підтримуваних клієнтських та серверних версій операційної системи Windows, що додає пом'якшення експлуатації для захисту системи.

В основному, він був розроблений для запобігання успішному виконанню атак, якщо вони вже порушили захисну систему, таку як антивірусні рішення.

EMITS простий в установці та закінчується, але щоб максимально використати програму, потрібно витратити час на її знайомство та налаштування.

У цій статті ви знайдете поради, як максимально використати EMET.

1. Захист важливих процесів

EMET захищає основні Microsoft та декілька сторонніх процесів лише після встановлення. Хоча це стосується таких програм, як Java, Adobe Acrobat, Internet Explorer або Excel, це не захистить програми, встановлені вручну, такі як Firefox, Skype або Chrome.

Хоча теоретично можливо додати всі свої програми до EMET, ви можете розглянути можливість додавання до програми лише програм високого ризику.

Програми з високим рівнем ризику? Коротке визначення програми з високим ризиком полягає в тому, що вона або регулярно експлуатується (наприклад, Internet Explorer), здатна виконувати файли, завантажені з Інтернету (веб-браузер, клієнт електронної пошти), або зберігає для вас цінні дані (наприклад, програмне забезпечення для шифрування).

Це зробило б Firefox, Chrome та Thunderbird цільовими цілями, а Блокнот, Міночистка та Paint - ні.

Щоб додати програми до списку захисту EMET

1. Відкрийте EMET у системі.
2. Ви знайдете список запущених процесів в інтерфейсі. Якщо програма, яку ви хочете захистити, не працює, запустіть її на ПК.
3. Після цього клацніть правою кнопкою миші її процес і виберіть у контекстному меню пункт 'Налаштувати процес'.
4. Це додає вибраний процес до списку програм EMET.
5. Після цього виберіть гаразд, щоб зберегти вибір і перезапустіть програму, яку ви тільки що додали до EMET.

Порада : Настійно рекомендується протестувати кожну програму окремо, перш ніж почати додавати більше процесів у EMET. Програма може бути не сумісною з усіма методами пом'якшення експлуатації, які пропонує EMET.

2. Налагодження несправедливих процесів

Досить високий шанс, що у вас виникнуть проблеми після додавання програм до EMET. Деякі програми можуть повністю відмовитись від запуску, тоді як інші можуть відкриватися та закриватися відразу після їх запуску.

Зазвичай це відбувається, коли одне або кілька пом'якшення наслідків не сумісні з процесом. Основна проблема тут полягає в тому, що ви не отримаєте інформацію, яке пом'якшення спричинило проблему.

Перевірте, чи є проблема

Один з найпростіших способів перевірити, що щось не працює, - це перевірити записи EMET у журналі подій Windows.

1. Торкніться клавіші Windows, введіть переглядач подій і натисніть клавішу Enter.
2. Записи EMET можна знайти в «Переглядачі подій» (локально)> Журнали Windows> Програма.

Я пропоную сортувати за датою та часом і шукати 'Помилка програми' як джерело. Ви повинні знайти EMET.DLL, вказаний як джерело проблеми в розділі Загальні, коли вибираєте одну з записів журналу.

Очевидно, ви також можете зняти всі захисні програми для програми в EMET і запустити її ще раз, щоб побачити, чи вирішує вона проблему.

Виправлення питання

Єдиний надійний спосіб забезпечення сумісності з Microsoft EMET - це проба та помилки. Знову відкрийте список захищених програм у EMET, вимкніть усі захисні програми та почніть знову вмикати їх.

Спробуйте запустити програму після кожного перемикання, щоб побачити, чи працює вона. Якщо це так, повторіть процес, увімкнувши наступне пом'якшення по черзі, поки ви не перейдете до того, який не запускає програму.

Знову вимкніть це пом'якшення і продовжуйте процес, поки ви не включите всі пом'якшення, сумісні з обраним програмним забезпеченням.

Наприклад, Google Chrome не вдалося почати використовувати пом'якшення за замовчуванням, вибране для нових процесів. Я виявив, що єдине пом'якшення, з яким браузер не сумісний, - це EAF, який я відключив як наслідок.

3. Загальносистемні правила

EMET постачається з чотирма загальносистемними правилами, які можна налаштувати в головному інтерфейсі. Закріплення сертифікатів, запобігання виконанню даних та захист від перезапису обробника оброблюваних винятків увімкнено як загальносистемні правила, тоді як замість рандомізації розміщення адресного простору замість нього включено.

Це означає, що вам потрібно включити правило для кожної програми, яку ви хочете захистити. Ви можете змінити статус цих загальносистемних правил, наприклад, застосувавши правило відключення також у всій системі.

Однак це може спричинити проблеми з програмами, що працюють в системі. Оскільки він застосовується для всіх програм при включенні, можливо, ви захочете уважно стежити за системою та перейти назад до входу, якщо ви помітите проблеми із запуском або запуском програм на пристрої.

4. Правило імпорту та експорту

Настроювання програм у EMET таким чином, щоб вони були захищені програмою, потребує певного часу через проблеми, викладені вище.

Хороша новина полягає в тому, що вам не потрібно повторювати процес на інших комп'ютерах, якими ви керуєте, оскільки для цього можна використовувати функцію імпорту та експорту EMET.

Порада : EMET постачається з набором додаткових правил, які користувачі можуть додати до програми. Щоб отримати доступ до тих, хто вибирає імпорт в EMET, а потім одне з наступних:

1. CertTrust - конфігурація EMET за замовчуванням закріплення довіри сертифікатів для MS та сторонніх онлайн-сервісів
2. Популярне програмне забезпечення - вмикає захист для таких програм, як Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Рекомендоване програмне забезпечення - дозволяє захищати мінімально рекомендовані програми, такі як Internet Explorer, Microsof Office, Adobe Acrobat Reader та Java

Варіант 3 - це параметр за замовчуванням, який завантажується автоматично. Ви можете додавати інші популярні програми до EMET автоматично, імпортуючи правила Популярного програмного забезпечення.

Міграція правил та політика

Для експорту правил виберіть кнопку експорту в головному інтерфейсі EMET. Виберіть ім'я для файлу xml у діалоговому вікні збереження та місцеположення.

Цей набір правил можна потім імпортувати в інші системи або зберігати як захисний механізм на поточній машині.

Оскільки правила зберігаються як XML-файли, ви також можете їх редагувати вручну.

Адміністратори можуть також розгортати директиви групової політики і в системах. Файли adml / admx є частиною установки EMET і їх можна знайти в розділі Файли розгортання / групової політики після встановлення.