Microsoft нацеливает EMET на системных администраторов, но любой пользователь Windows может использовать EMET для быстрого включения некоторых дополнительных функций безопасности без каких-либо специальных знаний. Этот инструмент может даже помочь защитить устаревшие системы Windows XP.
Быстрая защита популярных приложений
Загрузите Инструментарий для улучшения навыков смягчения (EMET) из Microsoft и установите его. Выберите параметр «Рекомендуемые настройки», чтобы включить рекомендуемые настройки для защиты обычно используемых программ, таких как Internet Explorer, Microsoft Office, Adobe Reader и незащищенный Java-модуль.
Затем запустите приложение EMET GUI из меню «Пуск» или «Пуск». Нажмите кнопку «Импорт» в верхнем левом углу экрана.
Теперь ваш компьютер должен быть более безопасным. Читайте дальше, если вы хотите узнать, что именно делает EMET и как создавать свои собственные правила.
Как работает EMET?
Когда Microsoft начала серьезно относиться к безопасности с Windows XP SP2, они начали добавлять приложения с функциями безопасности, которые могли бы воспользоваться преимуществами. Например, предотвращение выполнения данных (DEP) позволяет операционной системе отмечать определенные разделы памяти как неисполняемые данные. Если злоумышленник использует уязвимость переполнения буфера в приложении и пытается запустить код из сектора, помеченного как данные, операционная система не будет запускать его. Рандомизация расположения пространства адресов (ASLR) рандомизирует местоположение приложений и системных библиотек в памяти - злоумышленник не может создавать надежные эксплойты, которые зависят от того, как точно знать, где находится определенный код в памяти. Это лишь некоторые из особенностей современных версий Windows, которые позволяют использовать программы. Они помогают защитить систему от использования, даже если злоумышленники обнаруживают дыру в приложении.
Windows позволяет использовать эти функции по умолчанию для своих системных программ. Сторонние разработчики приложений также могут включить их для своих приложений. Однако эти функции не включены по умолчанию для каждой программы - они могут вызывать проблемы, особенно со старыми и устаревшими программами. Для максимальной совместимости Windows запускает приложения без этих функций безопасности, если они не запросят их на поверхностном уровне.
EMET предоставляет возможность включить DEP, ASLR, а также другие функции безопасности для приложений, которые специально не запрашивают их. Это не включенная функция Windows, поскольку она может потенциально нарушить некоторые программы, и большинство пользователей Windows не знают, как исправить такие проблемы.
Заблокировать другие приложения
EMET позволяет вам самостоятельно активировать дополнительные функции безопасности. Например, вы можете щелкнуть поле «Краткое имя профиля» и выбрать «Максимальные параметры безопасности». Это позволит использовать DEP для всех приложений и включить защиту от перезаписи обработчиков структурированных исключений (SEHOP) для приложений, которые специально не отказываются от нее.
Вы можете настроить параметры всей системы, изменив настройки в разделе «Состояние системы» самостоятельно.
Эти защиты не включаются по умолчанию, потому что они могут привести к неправильной работе некоторых приложений. Если приложение ломается, вернитесь в EMET, отключите некоторые функции безопасности для него и посмотрите, работает ли приложение. Если вы изменили общесистемный параметр, и приложение перестало работать должным образом, измените системный параметр или добавьте специальное исключение для этого приложения.
Сетевые администраторы могут использовать EMET для проверки работоспособности приложения, экспорта этого правила и последующего его импорта на других компьютерах, на которых запущен EMET, для развертывания их протестированных правил. Используйте экспорт или экспорт выбранных параметров для экспорта созданных правил.
Если нам повезет, EMET - это такая функция, которую по умолчанию мы увидим встроенными в будущие версии Windows, чтобы повысить безопасность. Microsoft может предоставлять правила по умолчанию, которые хорошо работают и автоматически обновляют их, так же как они предоставляют правила для популярных сторонних приложений вместе с EMET сегодня.