EMET не будет всплывать и задавать вам вопросы, так что это решение «установить-и-забыть», как только вы его настроите. Вот как защитить большее количество приложений с помощью EMET и исправить их, если они сломаются.
Знайте, если EMET нарушает приложение
Если приложение делает что-то, что запрещено правилами EMET, EMET отключит приложение - это значение по умолчанию. EMET закрывает приложения, которые ведут себя потенциально опасным образом, поэтому никаких эксплойтов не происходит. Windows не делает этого для всех приложений по умолчанию, потому что это нарушит совместимость со многими старыми приложениями Windows, которые используются сегодня.
Если приложение ломается, приложение немедленно отключится, и вы увидите всплывающее окно с символа EMET на панели задач. Он также будет записан в журнал событий Windows - эти параметры могут быть настроены из окна «Отчеты» на ленте в верхней части окна EMET.
Используйте 64-битную версию Windows
64-разрядные версии Windows более безопасны, поскольку они имеют доступ к таким функциям, как рандомизация размещения адресного пространства (ASLR). Не все эти функции будут доступны, если вы используете 32-разрядную версию Windows. Как и сама Windows, функции безопасности EMET более полны и полезны на 64-битных ПК.
Блокировать конкретные процессы
Вероятно, вы захотите заблокировать определенные приложения, а не всю вашу систему. Сосредоточьтесь на приложениях, которые, скорее всего, будут скомпрометированы. Это означает веб-браузеры, плагины браузера, программы чата и любое другое программное обеспечение, которое общается с Интернетом или открывает загруженные файлы. Низкоуровневые системные службы и приложения, работающие в автономном режиме без открытия загруженных файлов, подвергаются меньшему риску. Если у вас есть какое-то важное деловое приложение - возможно, доступное в Интернете - это приложение, которое вы хотите обеспечить больше всего.
Чтобы защитить запущенное приложение, найдите его в списке EMET, щелкните его правой кнопкой мыши и выберите «Настроить процесс».
(Если вы хотите защитить процесс, который не запущен, откройте окно «Приложения» и используйте кнопки «Добавить приложение» или «Добавить подстановочные знаки»).
Откроется окно «Настройка приложения» с вашим приложением. По умолчанию все правила будут автоматически активированы. Просто нажмите кнопку «ОК» здесь, чтобы применить все правила.
Если вы вообще не хотите ограничивать приложение, выберите его в списке и нажмите кнопку «Удалить выбранное», чтобы удалить ваши правила и вернуть приложение в состояние по умолчанию.
Изменение общесистемных правил
Раздел «Состояние системы» позволяет вам выбирать общесистемные правила. Вероятно, вы захотите придерживаться настроек по умолчанию, которые позволяют приложениям выбирать эти меры безопасности.
Вы можете выбрать «Always On» или «Optify Out» для этих настроек для максимальной безопасности. Это может нарушить многие приложения, особенно старые. Если приложения начинают ошибочно работать, вы можете вернуться к настройкам по умолчанию или создать правила «отказаться» для приложений.
Обратите внимание, что мы включили «Всегда включено» для DEP выше, поэтому мы не можем отключить DEP для любых процессов в окне «Конфигурация приложения» ниже.
Правила тестирования в режиме «Только для аудита»
Если вы хотите протестировать правила EMET, но не хотите решать какие-либо проблемы, вы можете включить режим «Только для аудита». Нажмите значок «Приложения» в EMET, чтобы открыть окно «Конфигурация приложения». Вы найдете раздел Действие по умолчанию на ленте в верхней части экрана. По умолчанию он настроен на «Остановить» на эксплоите - EMET отключит приложение, если оно нарушит правило. Вы также можете настроить его только на Аудит. Если приложение нарушает одно из ваших правил EMET, EMET сообщит о проблеме и позволит приложению продолжать работать.
Это явно исключает преимущества безопасности при работе с EMET, но это хороший способ проверить правила перед тем, как вернуть EMET в режим «Stop on exploit».
Правила экспорта и импорта
После того как вы создали и протестировали свои правила, обязательно используйте кнопку «Экспорт» или «Экспортировать выбранные», чтобы экспортировать ваши правила в файл. Затем вы можете импортировать их на любые другие ПК, которые вы используете, и получать одинаковые меры безопасности без лишних усилий.
В корпоративных сетях правила EMET и EMET могут быть развернуты с помощью групповой политики.
Ничто из этого не является обязательным. Если вы являетесь домашним пользователем, который не хочет иметь дело с этим, не стесняйтесь просто устанавливать EMET и придерживаться рекомендуемых настроек по умолчанию.
