secure-pc-with-microsoft-emet

Палепшаны інструмент па змякчэнні вопыту - гэта сакрэт бяспекі Microsoft, які захоўваецца. Усталяваць EMET і хутка забяспечыць мноства папулярных прыкладанняў, але з EMET можна значна больш.

EMET не з'явіцца і не задасць вам пытанняў, так што гэта рашэнне "усталяваць і забыцца", як толькі вы яго ўсталюеце. Вось як замацаваць больш прыкладанняў з EMET і выправіць іх, калі яны зламаюцца.

Ведайце, калі EMET парушае прыкладанне

Звязаныя: хутка забяспечыць ваш кампутар інструментам Microsoft для паляпшэння вопыту па змякчэнні наступстваў (EMET)

Калі прыкладанне робіць тое, што вашыя правілы EMET забараняе, EMET закрые прыкладанне - гэта ў любым выпадку налады па змаўчанні. EMET закрывае прыкладанні, якія паводзяць сябе патэнцыйна небяспечна, таму ніякіх подзвігаў не можа адбыцца. Windows не робіць гэтага па змаўчанні для ўсіх прыкладанняў, паколькі гэта парушае сумяшчальнасць са шматлікімі старымі праграмамі Windows, якія выкарыстоўваюцца сёння.

Калі прыкладанне не працуе, прыкладанне адразу ж закрыецца, і вы ўбачыце ўсплывальнае акно са значком EMET у сістэмным трэі. Ён таксама будзе запісаны ў часопіс падзей Windows - гэтыя параметры можна наладзіць з акна справаздачы на ​​стужцы ў верхняй частцы акна EMET.

emet-error-pop-up

Выкарыстоўвайце 64-разрадную версію Windows

Звязаныя: Чаму 64-разрадная версія Windows больш бяспечная

64-бітныя версіі Windows больш бяспечныя, паколькі яны маюць доступ да такіх функцый, як рандымізацыя размяшчэння адраснай прасторы (ASLR). Не ўсе гэтыя функцыі будуць даступныя, калі вы выкарыстоўваеце 32-разрадную версію Windows. Як і сам Windows, функцыі бяспекі EMET больш поўныя і карысныя на 64-бітных ПК.

Блакаванне пэўных працэсаў

Вы, верагодна, захочаце заблакаваць пэўныя прыкладанні замест усёй вашай сістэмы. Засяродзьцеся на дадатках, якія, хутчэй за ўсё, будуць парушаны. Гэта азначае, што вэб-браўзэры, убудовы для браўзэраў, праграмы для чата і любое іншае праграмнае забеспячэнне, якое мае зносіны з Інтэрнэтам альбо адкрывае загружаныя файлы. Сістэмныя паслугі і прыкладанні нізкага ўзроўню, якія працуюць у аўтаномным рэжыме без адкрыцця загружаных файлаў, менш падвяргаюцца рызыцы. Калі ў вас ёсць нейкае важнае дзелавое прыкладанне - магчыма, такое, што мае доступ да Інтэрнэту - гэта можа быць прыкладанне, якое вы хочаце максімальна абараніць.

Для забеспячэння бяспекі запушчанага прыкладання знайдзіце яго ў спісе EMET, пстрыкніце яго правай кнопкай мышы і выберыце Наладзіць працэс.

(Калі вы хочаце забяспечыць бяспечны працэс, адкрыйце акно прыкладанняў і выкарыстоўвайце кнопкі Дадаць прыкладанне або Дадаць замяненне.)

emet-create-rule-for-process

З'явіцца акно канфігурацыі прыкладання, калі ваша дадатак будзе выдзелена. Па змаўчанні ўсе правілы будуць аўтаматычна ўключаны. Проста націсніце тут кнопку ОК, каб прымяніць усе правілы.

emet-application-rules

Калі ваша праграма не працуе належным чынам, вы хочаце вярнуцца сюды і паспрабаваць адключыць некаторыя абмежаванні для гэтага прыкладання. Адключыце іх па чарзе, пакуль прыкладанне не працуе, і вы зможаце ізаляваць праблему.

Калі вы наогул не жадаеце абмяжоўваць прыкладанне, абярыце яго ў спісе і націсніце кнопку Выдаліць выбранае, каб выдаліць правілы і вярнуць прыкладанне ў стан па змаўчанні.

Змена правілаў сістэмы

Раздзел Стан сістэмы дазваляе выбраць агульнасістэмныя правілы. Магчыма, вы захочаце прытрымлівацца значэнняў па змаўчанні, якія дазваляюць праграмам уключыць гэтыя меры абароны.

Для максімальнай бяспекі вы можаце выбраць "Заўсёды ўключэнне" або "Адмова ад прыкладання". Гэта можа зламаць шмат прыкладанняў, асабліва старых. Калі прыкладанні пачынаюць працаваць дрэнна, вы можаце вярнуцца да налад па змаўчанні альбо стварыць правілы "адмовіцца" ад прыкладанняў.

правілы emet-wide-wide

Каб стварыць правіла адмовы, пстрыкніце правай кнопкай мышы працэс і абярыце Наладзіць працэс. Зніміце сродак абароны, ад якога вы хочаце адмовіцца - таму, калі вы хочаце адмовіцца ад агульнасістэмнага ASLR, вы здымеце сцяжкі MandatoryASLR і BottomUpASLR для гэтага працэсу. Націсніце OK, каб захаваць правіла.

Звярніце ўвагу, што мы ўключылі "Заўсёды ўключэнне" для DEP вышэй, таму мы не можам адключыць DEP ні для якіх працэсаў у акне Канфігурацыя прыкладання ніжэй.

enable-aslr-Execution-for-application-in-emet

Правілы тэсціравання ў рэжыме "Толькі аўдыт"

Калі вы хочаце праверыць правілы EMET, але не хочаце змагацца з любымі праблемамі, вы можаце ўключыць рэжым "Толькі аўдыт". Націсніце на значок прыкладання ў EMET, каб атрымаць доступ да акна налады прыкладання. Вы знойдзеце раздзел дзеянняў па змаўчанні ў стужцы ўверсе экрана. Па змаўчанні ўстаноўлена "Стоп на эксплойт" - EMET закрые прыкладанне, калі парушае правіла. Вы таксама можаце ўсталяваць яго толькі для праверкі. Калі прыкладанне парушае адно з вашых правілаў EMET, EMET паведаміць пра праблему і дазволіць прыкладанню працягваць працаваць.

Гэта, відавочна, выключае перавагі бяспекі запуску EMET, але гэта добры спосаб праверкі правілаў перад вяртаннем EMET у рэжым "Стоп на эксплойт".

Рэжым толькі emet-audit

Правілы экспарту і імпарту

Пасля таго, як вы стварылі і пратэставалі свае правілы, не забудзьцеся скарыстацца кнопкай Экспарт або Экспарт абранага для экспарту вашых правілаў у файл. Затым вы можаце імпартаваць іх на любых іншых ПК, якія вы выкарыстоўваеце, і атрымліваць тыя ж меры бяспекі без дадатковых меркаваньняў.

У карпаратыўных сетках правілы EMET і сам EMET могуць быць разгорнуты праз групавую палітыку.

эмет-экспарт

Нішто з гэтага не з'яўляецца абавязковым. Калі вы хатні карыстальнік, які не жадае гэтым займацца, не саромейцеся проста ўсталяваць EMET і прытрымлівацца рэкамендаваных налад па змаўчанні.