6 Geavanceerde tips voor het beveiligen van de applicaties op uw pc met EMET
De Enhanced Mitigation Experience Toolkit is het best bewaarde beveiligingsgeheim van Microsoft. Het is eenvoudig om EMET te installeren en snel vele populaire applicaties te beveiligen, maar er is nog veel meer dat je kunt doen met EMET.
EMET zal niet verschijnen en je vragen stellen, dus het is een set-it-and-forget-it-oplossing als je het eenmaal hebt ingesteld. Ga als volgt te werk om meer toepassingen met EMET te beveiligen en deze te repareren als ze kapot gaan.
Weet of EMET een toepassing breekt
Als een toepassing iets doet dat volgens uw EMET-regels niet is toegestaan, zal EMET de toepassing afsluiten - in elk geval de standaardinstelling. EMET sluit applicaties die zich op een potentieel onveilige manier gedragen, zodat er geen exploits kunnen optreden. Windows doet dit niet standaard voor alle applicaties omdat dit de compatibiliteit met veel van de oude Windows-applicaties die vandaag worden gebruikt, zou verbreken.
Als een toepassing breekt, wordt de toepassing onmiddellijk afgesloten en verschijnt er een pop-up van het EMET-pictogram in uw systeemvak. Het zal ook worden geschreven naar het Windows-gebeurtenislogboek - deze opties kunnen worden aangepast vanuit het rapportvak op het lint bovenaan het EMET-venster..
Gebruik een 64-bits versie van Windows
64-bits versies van Windows zijn veiliger omdat ze toegang hebben tot functies zoals randomisatie van adresruimte-indeling (ASLR). Niet al deze functies zijn beschikbaar als u een 32-bits versie van Windows gebruikt. Net als Windows zelf zijn de beveiligingsfuncties van EMET uitgebreider en bruikbaarder op 64-bit pc's.
Specifieke processen vergrendelen
Je zult waarschijnlijk specifieke applicaties willen vergrendelen in plaats van je hele systeem. Concentreer u op de toepassingen die het meest waarschijnlijk worden aangetast. Dit betekent webbrowsers, browserinvoegtoepassingen, chatprogramma's en andere software die communiceert met internet of gedownloade bestanden opent. Systeemservices op een laag niveau en toepassingen die offline worden uitgevoerd zonder gedownloade bestanden te openen, lopen minder risico. Als u een belangrijke bedrijfsapplicatie hebt - misschien een die toegang heeft tot internet - kan dit de toepassing zijn die u het meest wilt beveiligen.
Als u een actieve toepassing wilt beveiligen, zoekt u deze in de EMET-lijst, klikt u er met de rechtermuisknop op en selecteert u Configuratieproces.
(Als u een proces dat niet actief is wilt beveiligen, opent u het venster Apps en gebruikt u de knoppen Toepassing toevoegen of Nieuw jokerteken toevoegen.)
Het venster Toepassing configureren verschijnt met uw applicatie gemarkeerd. Standaard worden alle regels automatisch ingeschakeld. Klik hier op de knop OK om alle regels toe te passen.
Als uw app niet goed werkt, wilt u hier mogelijk terugkomen en een aantal beperkingen voor die app uitschakelen. Schakel ze een voor een uit totdat de applicatie werkt en je het probleem kunt isoleren.
Als u een toepassing helemaal niet wilt beperken, selecteert u deze in de lijst en klikt u op de knop Geselecteerde verwijderen om uw regels te wissen en de toepassing terug te zetten naar de standaardstatus.
Verander systeembrede regels
In het gedeelte Systeemstatus kunt u systeembrede regels kiezen. U wilt waarschijnlijk vasthouden aan de standaardwaarden, waardoor toepassingen zich kunnen aanmelden voor deze beveiligingsbeschermingen.
U kunt "Altijd aan" of "Afmelden voor toepassingen" selecteren voor deze instellingen voor maximale beveiliging. Dit kan vele applicaties breken, vooral oudere. Als toepassingen zich niet goed gedragen, kunt u terugkeren naar de standaardinstellingen of regels voor opt-out maken voor toepassingen.
Als u een opt-outregel wilt maken, klikt u met de rechtermuisknop op een proces en selecteert u Configuratieproces. Verwijder het vinkje bij het type beveiliging dat u wilt afmelden. Als u dus niet wilt dat het systeem niet wordt uitgebreid met ASLR, schakelt u de selectievakjes MandatoryASLR en BottomUpASLR voor dat proces uit. Klik op OK om uw regel op te slaan.
Houd er rekening mee dat we 'Altijd aan' hebben ingeschakeld voor DEP hierboven, dus we kunnen DEP niet uitschakelen voor processen in het venster Configuratie van de app hieronder.
Testregels in de modus "Alleen auditeren"
Als u de EMET-regels wilt testen maar geen problemen wilt oplossen, kunt u de modus "Alleen auditeren" inschakelen. Klik op het pictogram Apps in EMET om toegang te krijgen tot het venster Toepassingsconfiguratie. Je vindt een sectie Standaardactie op het lint boven aan het scherm. Standaard is deze ingesteld op Stop bij exploit - EMET zal een toepassing afsluiten als een regel wordt verbroken. U kunt het ook instellen op Alleen audit. Als een toepassing een van uw EMET-regels overtreedt, zal EMET het probleem melden en ervoor zorgen dat de toepassing blijft werken.
Dit elimineert uiteraard de beveiligingsvoordelen van het uitvoeren van EMET, maar het is een goede manier om regels te testen voordat u EMET terugzet in de modus "Stop op exploit".
Regels exporteren en importeren
Nadat u uw regels hebt gemaakt en getest, moet u de knop Selectie exporteren of exporteren gebruiken om uw regels naar een bestand te exporteren. U kunt ze dan op andere pc's die u gebruikt importeren en dezelfde beveiligingsbescherming krijgen zonder dat u meer moeite hoeft te doen.
Op bedrijfsnetwerken kunnen EMET-regels en EMET zelf worden geïmplementeerd via Groepsbeleid.
Dit is allemaal niet verplicht. Als u een thuisgebruiker bent en hier niet mee wilt werken, kunt u EMET gewoon installeren en de aanbevolen standaardinstellingen behouden.