Die Enhanced Mitigation Experience Toolkit (EMET) ist ein kostenloses Tool von Microsoft, die von Angreifern einen erweiterten Schutz beinhaltet. Das Konzept ermöglicht zusätzlichen Schutz von Methoden, die Hacker-Systeme durch Ausbeutung zu Kompromissen verwenden. Wenn Sie diese neu sind, und sind nicht super technisch versierten und suchen EMET für zu Hause oder den persönlichen Gebrauch zu installieren (keine Sorge! Es ist einfach !!!), Mager bis auf den "Installieren EMET Step-by- Step "Tutorial nur ein wenig nach unten in diesem Artikel befindet.

Ansonsten, lesen Sie weiter!

Gemeinsame Schutzmechanismen wie Address Space Layout Randomization (ASLR), Datenausführungsverhinderung (DEP) und sichere Structured Exception Handler (SafeSEH) sind Schutzmechanismen eingebaut innerhalb von Microsofts neuer Betriebssysteme. Dieser Schutz bieten eine Basis Maß an Sicherheit vor bekannten Methoden zu nutzen. Hacker haben nach und nach die Komplexität der Exploit Entwicklung erhöht und haben Möglichkeiten der Umgehung einen großen Teil dieser Minderungstechniken gefunden.

EMET funktioniert durch eine EMET.dll Injektion in laufenden ausführbaren Speicherebene Schutz zu bieten und Milderungen gegen gemeinsame Techniken nutzen. Nichts ist perfekt - mehrere Personen haben wie EMET jedoch zu umgehen, ist es sehr viel schwieriger geworden ist und hat in den Exploit gebaut werden. 5.1 EMET wurde gestern veröffentlicht (10. November 2014) von Microsoft, die ihre neuesten Iteration von EMET enthält. Die Leute bei Microsoft das Produkt weiterhin nach vorne zu bewegen, indem Korrekturen und Verbesserungen jedes Mal, einschließlich sie beide mehr kompatibel mit mehreren verschiedenen Produkten sowie was es schwieriger macht zu umgehen und umgehen zu machen.

EMET 5.1 umfasst, die umfassen:

• Verschiedene Anwendungskompatibilitätsprobleme mit dem Internet Explorer, Adobe Reader, Adobe Flash und Mozilla Firefox und einige der EMET mitigations gelöst wurden. • Bestimmte Milderungen wurden verbessert und gehärtet, um sie weniger anfällig für Angriffe und Umleitungen zu machen. • Hinzugefügt "Local Telemetry" -Funktion, die lokal ermöglicht Dumps Speicher speichern, wenn eine Milderung ausgelöst wird.

Für neue Individuen zu EMET, es ist die Art und Weise funktioniert, ist man EMET, Baseline-Anwendungen müssen zu implementieren und eine Vorlage, welche Arten von Anwendungen zu erstellen Sie innerhalb EMET abdecken wollen zuerst. Das große Missverständnis für große Unternehmen ist, dass durch den Einsatz von EMET, wird es alles zu brechen. Die Wahrheit der Sache ist, dass EMET schützt nur das, was angegeben ist, getestet und in Ihrem Konfigurationsprofil (xml) konfiguriert. Sie müssen tatsächlich festlegen, welche Anwendungen, die Sie unter EMET schützen wollen (es gibt gemeinsame Vorlagen, die grundlegenden Anwendungen umfassen). TrustedSec hat eine Reihe von groß angelegten Implementierungen für Enterprise-Kunden mit Zehntausenden von Vermögenswerten geschehen - solange der Einsatz angemessen geprüft wird, EMET ist relativ trivial und einfach zu implementieren.

Installieren von EMET Step-by-Step

Zuerst den Kopf über die Microsoft EMET Seite die neueste Version von EMET zum Download bereit. Derzeit ist diese Version 5.1.

Als nächstes wählen Sie herunterladen.

Dann die msi wählen zum Download bereit.

Führen Sie die MSI-Datei, wählen nächste.

Verwenden Sie den Standardinstallationspfad - für zusätzliche Sicherheit gegen automatisierte Angriffe, können Sie diesen Pfad Verzeichnis für Angreifer ändern, die hartkodierte EMET.dll aussehen. Beachten Sie, dass die meisten Speicher orientierte Angriffe einfach zu identifizieren, wenn die EMET.dll geladen wird, nicht tatsächlich überprüfen Sie den Pfad von EMET.

Wählen Sie "Ich stimme zu" und im nächsten Hit.

Hier wird die Installation stattfindet, neben wählen Sie die Installationsphase zu beginnen.

Wählen Sie "Empfohlene Einstellungen verwenden" - wir werden dies in Kürze ändern.

Wählen Sie Beenden, um die Installation abzuschließen.

Sobald die Installation abgeschlossen ist, sollten Sie ein Symbol in der unteren rechten Seite bemerken, das wie ein Schloss aussieht.

Doppelklicken Sie auf das Schloss-Symbol, und Sie werden die Standard-Schnittstelle für EMET 5.1 erhalten.

Ein paar Elemente zur Erläuterung, die untere Hälfte Abschnitt "Laufende Prozesse" ist die Anwendungen, die derzeit von EMET geschützt sind. Beachten Sie, dass in diesem Screenshot wir nichts von EMET geschützt werden konfiguriert haben. Standardmäßig wird EMET gemeinsame Anwendungen zu schützen, wie Java, Adobe und Internet Explorer. Es ist jedoch nicht alles schützen Sie als die üblichen Anwendungen nicht andere angeben. Da wir vorher angegeben "Empfohlene Einstellungen verwenden" es wird die Standard-Anwendungen auswählen gerade erwähnt (Java / Adobe / Internet Explorer). Wir wollen dies in Kürze ändern. Beachten Sie, dass eine geschützte Anwendung ein grünes Häkchen unter "Lauf EMET" auf der unteren rechten Seite haben würde.

Da EMET funktioniert durch eine DLL in den ausführbaren Dateien Speicherplatz eingespritzt wird, wenn wir jedes neue Prozess konfigurieren, indem EMET geschützt werden, wird es von uns verlangen, die Anwendung zu schließen und neu starten (oder Service). Sie stellen keine vollständige Neustart erforderlich, nur die Dienste oder Anwendungen selbst neu gestartet werden.

In der "Systemstatus" Abschnitt von EMET, sicherzustellen, dass die Datenausführungsverhinderung gesetzt ist "Always On", SEHOP zu "Always On" und ASLR "Application Opt In" auf. Das nächste ist Zertifikat vertrauen Pinning die Zertifikatsicherheit überprüft. Diese Einstellung kann lästig sein, wenn aufgrund der Tatsache zu gemeinsamen Workstations und Endpunkte eingesetzt, dass das Zertifikat-Management-Bereich in den meisten Internet ist extrem durcheinander. Dies wird in der Regel auslösen Warnungen für den Endanwender und sorgen für Verwirrung. Für Endpunkte, empfiehlt das Deaktivieren TrustedSec möglicherweise diese Funktion.

Auf der oberen Mitte ist ein "Kurzprofil Name:" Feld - wir empfehlen die Einstellungen auf die "Maximum Security Settings" konfigurieren - während wir die maximalen Sicherheitseinstellungen übernehmen zusätzliche strenge Sicherheitsrichtlinien einige zusätzliche Änderungen hier in Kürze werden tun, und Schutz.

Als nächstes wählen Sie die "Apps" -Taste auf der oben in der Mitte das Anwendungsfenster zu öffnen links:

Im oberen linken Bereich, stellen Sie sicher, dass "Deep Haken", "Anti Detours" und "Gesperrte Funktionen" ausgewählt werden. Diese sollten alle da diese markiert sind Standardkonfigurationen von EMET 5.x. Stellen Sie außerdem sicher "Stop auf ausnutzen" ausgewählt ist. Das einzige Mal, wenn Sie möchten, können "Audit nur" zu implementieren ist, wenn Sie die ersten Tests tun und erleben Anwendung abstürzt. EMET werden Sie eine Zeit benachrichtigen, wenn es traditionell tatsächlich etwas vom Laufen gegen blockieren würde es vom Laufen zu stoppen und Sie können tune EMET der Schutzgeldstrafe nicht einen gewissen Schutz für normale Anwendungsfunktionalität blockieren.

Individuelle Konfigurationen für EMET

Für Enterprise-Anwender und technisch versierten Leute, wünschen Sie zusätzliche Anwendungen für zusätzlichen Schutz zu integrieren. Dies ist sehr zu empfehlen und eine Notwendigkeit für die unternehmensweiten Einsatz.

Im gleichen Fenster wie die vorherigen Schritte, wenn Sie an der unteren Bodenteil aussehen, das ist die aktuelle Liste der alle geschützten Anwendungen, die derzeit unter EMET. Da wir keine Änderungen vorgenommen haben, können Sie diese sehen die Standardanwendungen unter EMET mit dem Sicherheitsprofil ausgewählt geschützt sind. Dazu gehören Java, Internet Explorer, Adobe, Office-Produkte und vieles mehr. Wenn eine Vorlage für Ihre Organisation als Standardkonfiguration für Unternehmen zu schaffen, empfiehlt TrustedSec die Schaffung von zwei getrennten Vorlagen, eine für Server und eine andere für Workstations / Endpunkte.

Um eine neue Anwendung hinzufügen, können Sie wählen Sie einfach "Anwendung hinzufügen" und Punkt EMET zu einer ausführbaren Sie geschützt werden soll. Die Art und Weise TrustedSec aufzubrechen Schutzmechanismen mag sich wie folgt dar:

1. Client Side Angriffe - Anwendungen, die gegen eine Workstation oder Server verwendet werden kann, die für die Remotecodeausführung genutzt werden können. Diese sind typischerweise Anwendungen von Drittanbietern, die installiert werden, die irgendeine Form von Eingaben akzeptieren, ob sich eine Datei oder Befehle. Zum Beispiel, Foxit Software ein PDF-Reader häufig als Ersatz für Adobe verwendet. Sie würden EMET auf die Foxit ausführbare Datei verweisen, und es wäre erfolgreich hinzugefügt werden. Wenn Sie dies aus testen, sollten Sie feststellen, dass, wenn Sie eine Anwendung starten hier hinzugefügt, wird es unter dem "Lauf EMET" Abschnitt als grün angezeigt (nur, wenn die Anwendung ausgeführt wird).

2. Server / Service-Angriffe - diese werden als Dienste kategorisiert, Ports und Protokolle, die subjektiv Angriff sein könnte. Hier ist, wo es ein wenig auf der vorsichtigen Seite bekommt. Microsofts Haltung war meist clientseitige Angriffe vor Ausbeutung zu schützen. Allerdings sind auch gemeinsame Dienste häufig angegriffen. EMET können auf Dienste eingesetzt werden, um einen zusätzlichen Schutz hinzuzufügen. Ein gemeinsames Einsatzszenario, das wir in der Regel sehen wird Platzierung EMET über IIS, SMTP (Transport), RDP, SMB, RPC, und andere häufig angegriffen Dienstleistungen. Bitte beachten Sie, dass dies nicht empfohlen von Microsoft jedoch durch unsere Erfahrung, haben wir keine Kompatibilitätsprobleme gesehen, indem EMET auf diese Dienste. Denken Sie wie ein Angreifer, wenn EMET bereitstellen - wir werden gemeinsam nach Endpunkte gehen, und ausgesetzt Dienste. EMET Nachdem auf diese Dienste im Einsatz reduziert die Fähigkeit, für Zero-Day-Angriffswinkel sowie eine vorübergehende Linderung gegen fehlende Patches. Dies kann sowohl auf eingesetzt werdenWorkstations / Endgeräte und Server. Wir haben auch Implementierungen um Dameware, VNC und andere Fernsteuerungs-Software ohne Probleme getan.

Sobald Sie festgestellt haben, welche Anwendungen hinzuzufügen, gibt es einen anderen Abschnitt, der es super einfach macht gemeinsame Dienste zu konfigurieren, die bereits ausgeführt werden. Beenden Sie das Anwendungsmenü und gehen Sie zurück auf die ursprüngliche EMET Home-Bildschirm. Unter dem Abschnitt "Laufende Prozesse" ist eine Liste aller Prozesse auf Ihrem System ausgeführt wird. Skim durch die Prozesse und identifizieren, welche Dienste Sie schützen möchten, zum Beispiel unten, wir werden die IIS-Abdeckung (inetinfo) Service (ausführbare) unter EMET. Einfach mit der rechten den ausführbaren Prozess, und klicken Sie auf "Konfigurieren Process" wählen. Dies wird EMET automatisch für Schutz der Anwendungsliste hinzuzufügen.

Nun, da dieser Prozess nun so konfiguriert ist, wenn wir tun, um eine Iisreset von der Kommandozeile:

Wir sollten nun die Anwendung sehen vollständig unter "Lauf EMET" geschützt auf der rechten Seite, von einem grünen Häkchen gekennzeichnet.

Das ist es! Sie sind jetzt geschützt. Gehen Sie durch jeden der Prozesse und Anwendungen, die Sie auf geschützte möchten, dass Ihre Basislinie zu erstellen.

Enterprise Deployment Strategies

Für Enterprise-Anwender gibt es zwei Hauptbereitstellungsmethoden, die erfolgreich für Unternehmen, sowohl kleine als auch große arbeiten. Der erste ist der Umgang mit Konfigurationsänderungen über Ihre Patch-Management-Software wie SCCM. Sie können die Änderungen an der Vorlage zu machen, und drücken Sie die xml zu jedem System über SCCM, wenn Änderungen für die Kompatibilität oder Erweiterungen benötigt werden. Denken Sie daran, aus dem Stand der Schritte, Sie zwei separate Konfigurationen behalten möchten, eine für Server und andere für Workstations / Endpunkte (macht die Dinge einfacher, wenn mit zu implementieren und zu verfolgen, Änderungen). Sie können auch EMET über Gruppenrichtlinien verwalten jedoch die Gruppenrichtlinieneinstellungen in der Natur beschränkt sind und nicht die gleiche Granularität wie die XML-Bereitstellungsmethoden verwendet.

Ein guter Artikel über Gruppenrichtlinienbereitstellung finden Sie hier. Ein großer Fang ist auch eine geplante Aufgabe die Schaffung eines EMET_Conf -refresh bei der Anmeldung ausführen, um die neuesten Richtlinien, um sicherzustellen, gedrückt werden, wenn ein neuer Benutzer anmeldet in ihre Maschine.

Die zweite Methode, die am meisten bevorzugt wird, ist durch die automatische Auffrischung EMET Politik über eine geplante Aufgabe und einem Remote-Dateifreigabe. In diesem Fall würde konfigurieren Sie EMET vollständig, testen Sie es mit einem ursprünglichen XML dann exportieren. Sie können dies entweder über die grafische Benutzeroberfläche oder wenn innerhalb des EMET Verzeichnis, können Sie einfach laufen:

EMET_Conf.exe -export EMET_Endpoint_Profile.xml

Die Vorlage wird nun entsprechend exportiert werden. Als nächstes ein GPO erstellen und es so etwas wie "EMET Config Deployment for Endpoints" nennen. Sie sollten auch eine zweite für Serverkonfigurationen erstellen und die gleichen Schritte für den Export des Profils und xml für Ihre Serverkonfigurationen folgen.

Wählen Sie Eigenschaften auf das neue GPO und greifen die eindeutige GUID und dokumentieren die Nummer (sieht etwas wie {343423423-32423432-324324-324-32432}).

Als nächstes zu sysvol \ domain \ Policies \ {new-gpo-guid} gehen auf die SYSVOL-Freigabe auf einem Domänencontroller und zu navigieren.

Legen Sie die EMET_Endpoint_Profile.xml Datei auf dieser neuen Gruppenrichtlinienobjekt.

Nun, da wir unser Profil haben hier, wenn wir die XML-Datei vornehmen müssen Änderungen ersetzen in diesem Ort befindet (entweder für Endpunkt oder Server oder beides). Beachten Sie, dass der Name gleich bleiben muß, da wir eine geplante Aufgabe erstellt werden soll in Kürze, die die spezifische Datei aufruft.

Da es sich um ein sysvol Anteil, jeder, der abgesehen von der Domain-Benutzer-Gruppe wird der Zugang zu dieser Gruppenrichtlinienobjekt und Datei haben, um sie schließlich in EMET importieren.

Als nächstes müssen wir eine Gruppenrichtlinie zu erstellen, die eine geplante Aufgabe ausgeführt wird. Es gibt ein paar verschiedene Möglichkeiten Sie haben, ist die erste durch eine geplante Aufgabe bei der Anmeldung zu schaffen (die häufigste Deployment) oder die andere Option ist, die es in bestimmten Intervallen ausgeführt werden (zB jede Stunde). Im Rahmen der neuen Gruppenrichtlinien Sie (in unserem Beispiel Config Deployment for Endpoints erstellt "navigieren Sie zu dem Computer-Konfiguration, Einstellungen, Einstellungen am Bedienfeld, geplante Aufgaben. Wählen Sie" "New Scheduled Task.

Als nächstes einen Namen wählen, navigieren wir "EMET Update" in diesem Fall verwendet werden, in das Verzeichnis Programmdateien EMET 5.1 und wählen Sie die "EMET_Conf.exe" ausführbar. Für Argumente verwenden, um die -import Flagge mit EMET, die die XML-Datei für uns importiert und unsere Domänencontroller Wählen Sie aus der Gruppenrichtlinie zu ziehen. In diesem Fall verwenden wir das Beispiel von "serverdc1" und den Weg zu unserer neuen Politik bieten wir in der Gruppenrichtlinie und verweisen auf unsere XML erstellt, die wir vor kurzem über "EMET_Endpoint_Profile.xml" kopiert.

Wir können auch angeben, wenn diese xml ausführen können, bei der Anmeldung, täglich, stündlich, wöchentlich, was auch immer Ihre persönlichen Vorlieben sind.

Das ist es! Puh. Sie sollten nun eine geplante Aufgabe haben und wann immer Sie die XML-Datei in dieser Gruppe Politik befindet ersetzen, wird es automatisch ohne die Notwendigkeit, Ihre Benutzerpopulation aktualisieren, um zusätzliche Pakete unternehmensweit wie SCCM durch etwas einzusetzen.

Unterstützte Betriebssysteme

Client-Betriebssysteme • Windows Vista Service Pack 2 • Windows 7 Service Pack 1 • Windows 8 • Windows-8.1

Server Betriebssysteme • Windows Server 2003 Service Pack 2 • Windows Server 2008 Service Pack 2 • Windows Server 2008 R2 Service Pack 1 • Windows Server 2012 • Windows Server 2012 R2

Einpacken

Wrapping Dinge - EMET ist ein leistungsfähiges und kostenloses Tool, das ernsthaft von Heim-Bereitstellung und Unternehmen berücksichtigt werden muss. Es ist erhältlich und einfach, wenn Sie verstehen, wie EMET funktioniert und wie es in einer großen Umgebung zu implementieren. TrustedSec hat gegenüber EMET unzählige Organisationen gesehen zu bewegen und so lange, wie sie in geeigneter Weise geprüft und geplant, sind die Ausgaben minimal oder nicht existent. EMET 5.1 weiter entlang der Linien von einer großen Produktlinie von Microsoft und sollte auf den zusätzlichen Schutzmechanismen gelobt werden, die durch mit EMET an Ort und Stelle eingebracht werden.

Dieser Artikel wurde von David Kennedy geschrieben - CEO von TrustedSec