6 Додаткові поради щодо захисту програм на вашому комп'ютері за допомогою програми EMET
Покращений набір інструментів для зменшення досвіду є найпотаємнішою таємницею безпеки Microsoft. Легко встановити EMET і швидко забезпечити багато популярних додатків, але з EMET ви можете зробити ще багато іншого.
EMET не вискочить і не задасть вам запитань, тому це рішення, яке ви ставите і забудьте. Ось як забезпечити більше додатків з EMET і виправити їх, якщо вони зламаються.
Знайте, якщо EMET порушує застосування
Якщо програма робить щось, що заборонено вашими правилами EMET, EMET вимкне програму - це типова установка. EMET закриває програми, які ведуть себе потенційно небезпечними способами, так що не може виникнути жодних експлуататів. Windows не робить цього для всіх програм за замовчуванням, оскільки це порушує сумісність з багатьма старими програмами Windows, що використовуються сьогодні.
Якщо програма розривається, програма негайно вимкнеться, і ви побачите спливаюче вікно з значка EMET у системному лотку. Вона також буде записана у журнал подій Windows - ці параметри можна налаштувати у вікні звітності на стрічці у верхній частині вікна EMET.
Використовуйте 64-розрядну версію Windows
64-розрядні версії Windows є більш безпечними, оскільки вони мають доступ до функцій, таких як рандомізація розташування адресного простору (ASLR). Не всі з цих функцій будуть доступні, якщо використовується 32-розрядна версія Windows. Як і самі Windows, функції безпеки EMET є більш всеосяжними і корисними для 64-розрядних ПК.
Заблокувати конкретні процеси
Можливо, ви захочете заблокувати конкретні програми, а не всю систему. Зосередьтеся на додатках, які, ймовірно, будуть скомпрометовані. Це означає веб-браузери, плагіни браузерів, програми чату та будь-яке інше програмне забезпечення, яке здійснює зв'язок з Інтернетом або відкриває завантажені файли. Системні служби низького рівня та програми, які виконуються в автономному режимі без відкриття завантажених файлів, менше ризикують. Якщо у вас є важливі бізнес-додатки - можливо, такі, що мають доступ до Інтернету - це може бути програма, яку ви хочете забезпечити найбільше.
Щоб захистити запущену програму, знайдіть її в списку EMET, клацніть її правою кнопкою миші та виберіть Configure Process.
(Якщо ви хочете захистити процес, який не виконується, відкрийте вікно Програми та використовуйте кнопки Додати програму або Додати підстановку.)
Відобразиться вікно "Конфігурація програми" з виділеною програмою. За замовчуванням всі правила будуть автоматично активовані. Просто натисніть кнопку ОК тут, щоб застосувати всі правила.
Якщо ваша програма не працює належним чином, ви хочете повернутися сюди і спробувати вимкнути деякі обмеження для цієї програми. Вимикайте їх по черзі, поки програма не працює, і ви зможете виділити проблему.
Якщо ви не хочете взагалі обмежувати додаток, виділіть його у списку та натисніть кнопку Видалити вибране, щоб стерти правила та повернути програму до стану за умовчанням.
Зміна загальносистемних правил
У розділі "Статус системи" можна вибрати загальносистемні правила. Можливо, вам доведеться дотримуватися значень за замовчуванням, які дозволяють програмам вибирати ці захисні засоби безпеки.
Ви можете обрати "Завжди ввімкнено" або "Вимкнути додаток" для цих параметрів для максимальної безпеки. Це може порушити багато програм, особливо старі. Якщо програми починають погано поводитися, ви можете повернутися до налаштувань за промовчанням або створити правила "вимкнути" для програм.
Щоб створити правило відмови, клацніть правою кнопкою миші на процесі та виберіть "Налаштувати процес". Зніміть прапорець із типу захисту, з якого ви хочете відмовитися, - отже, якщо ви хочете відмовитися від загальносистемного ASLR, зніміть прапорці із полем MandatoryASLR і BottomUpASLR для цього процесу. Натисніть OK, щоб зберегти правило.
Зауважте, що для параметра DEP ми включили "Завжди увімкнено", тому не можна вимкнути DEP для будь-яких процесів у вікні "Налаштування програм" нижче.
Правила тестування в режимі «Тільки для аудиту»
Якщо ви хочете перевірити правила EMET, але не хочете вирішувати будь-які проблеми, ви можете увімкнути режим "Audit only". Натисніть піктограму Програми в EMET, щоб отримати доступ до вікна "Конфігурація програми". На стрічці у верхній частині екрана відображається розділ за умовчанням. За замовчуванням встановлено значення Stop on exploit - EMET вимикає програму, якщо вона порушує правило. Ви також можете встановити його лише для аудиту. Якщо програма порушує одне з ваших правил EMET, EMET повідомить про проблему і дозволить програмі продовжувати працювати.
Це, очевидно, усуває переваги безпеки запуску EMET, але це хороший спосіб перевірити правила перед тим, як повернути EMET назад у режим "Stop on exploit"..
Правила експорту та імпорту
Після того, як ви створили і перевірили свої правила, обов'язково використовуйте кнопку "Експортувати або експортувати вибрані", щоб експортувати правила до файлу. Потім ви можете імпортувати їх на будь-який інший ПК, який ви використовуєте, і отримати ті ж самі захисні засоби безпеки, що не потребуватимуть додаткових проблем.
У корпоративних мережах правила EMET і EMET можуть бути розгорнуті через групову політику.
Нічого з цього не є обов'язковим. Якщо ви домашній користувач, який не хоче мати справу з цим, не соромтеся просто встановити EMET і дотримуватися рекомендованих налаштувань за замовчуванням.