Zusätzlicher Schutz für Windows-PCs mit EMET

Es wird immer häufiger, von Schwachstellen zu hören, die aktiv ausgenutzt werden, ohne dass ein Patch für das betroffene Produkt verfügbar ist. Gleichzeitig gibt es Organisationen, die aus einer Vielzahl von Gründen (Kompatibilität, Budget, Support oder zahlreiche andere Probleme) auf Software angewiesen sind, die nicht aktualisiert / gepatcht werden kann, keine sicheren Codierungspraktiken befolgt oder keine Sicherheitsfunktionen anwendet . Um Windows-PCs in diesen Szenarien zu schützen, hat Microsoft das kostenlose Enhanced Mitigation Experience Toolkit (EMET) entwickelt.

Das Enhanced Mitigation Experience Toolkit ist im Wesentlichen ein Anti-Exploit-Tool, das Exploit-Schadensbegrenzungstechnologien wie Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) auf Anwendungen und Prozesse anwendet, die diese nicht nativ verwenden. Es bietet eine einfache Oberfläche, über die Administratoren eine beliebige Anzahl von Anwendungen sichern können, unabhängig davon, ob sie von Microsoft oder anderen Anbietern stammen. Die neueste Version (derzeit Version 3.0) von EMET finden Sie hier. .NET Framework 2.0 muss installiert sein, damit EMET mit Windows XP und Windows Server 2003 funktioniert. Für alle anderen unterstützten Windows-Versionen gibt es keine zusätzlichen Anforderungen und es kann sowohl auf 32- als auch auf 64-Bit-Systemen verwendet werden.

Nach der Installation können Sie EMET über die Befehlszeile oder die GUI starten. Die GUI-Oberfläche ist in zwei Teile unterteilt, einen für den Systemstatus und einen für die laufenden Prozesse. Abbildung A zeigt die Benutzeroberfläche eines Windows 7-Systems:

Klicken Sie auf die Bilder, um sie zu vergrößern.
Im Abschnitt Systemkonfiguration ( Abbildung B ) werden Schadensbegrenzungen systemweit konfiguriert, ohne dass die einzelnen Prozesse angegeben werden müssen, die sie verwenden sollen. Die verfügbaren Systemoptionen unterscheiden sich je nach Betriebssystem, auf dem EMET installiert ist. Unter Windows XP sind beispielsweise SEHOP (Structured Exception Handler Overwrite Protection) und ASLR nicht verfügbar, obwohl dies die Nützlichkeit des Tools für dieses Betriebssystem in keiner Weise beeinträchtigt. Zunächst ist es am besten, nur die empfohlenen Systemsicherheitseinstellungen zu verwenden, da die gewaltsame Anwendung dieser Maßnahmen auf das gesamte System das größte Potenzial für Kompatibilitäts- oder Stabilitätsprobleme aufweist.

Abbildung B.

Im Abschnitt Anwendungskonfiguration ( Abbildung C ) können Sie individuelle Abschwächungen für die verschiedenen Anwendungen oder Prozesse im System aktivieren. Standardmäßig ist die Liste leer. Sie können jedoch auf die Schaltfläche Hinzufügen klicken, um bestimmte ausführbare Dateien auf Ihrem System zu suchen und die spezifischen Sicherheitsmechanismen zu aktivieren, die verwendet werden sollen. Da sich die meisten Zero-Day-Angriffe auf Anwendungen mit Internetverbindung konzentrieren, möchten Sie möglicherweise alle auf Ihrem System installierten Webbrowser, installierten Java-Instanzen, Media Player (Windows Media Player, VLC, QuickTime usw.) und Adobe-Produkte hinzufügen.

Abbildung C.

Alternativ enthält EMET eine Reihe vordefinierter Profile, die allgemeine Anwendungen abdecken und Ihnen den Einstieg erleichtern. Diese Profile (im XML-Format) finden Sie im EMET-Installationsordner unter Bereitstellung \ Schutzprofile. Es sind drei Profile enthalten: Internet Explorer.xml, mit dem die unterstützten Versionen dieses Browsers gemindert werden können, Office Software.xml, mit der Microsoft Office und einige Adobe-Produkte hinzugefügt werden, und All.xml, das zusätzlich allgemeine Anwendungen abdeckt. Abbildung D zeigt einen Teil der im All-Profil enthaltenen Produkte:

Abbildung D.

Beachten Sie, dass für einzelne Anwendungen zusätzliche Abhilfemaßnahmen verfügbar sind, einschließlich Schutzmaßnahmen gegen Techniken wie "Heap-Sprühen" und Null-Dereferenzen. Das im Installationsordner enthaltene EMET-Benutzerhandbuch bietet einen sehr guten Überblick über all diese Maßnahmen und ein Kompatibilitätshandbuch für die verschiedenen Betriebssysteme.

EMET 3.0 bietet Unterstützung für Unternehmensbereitstellungen mithilfe von Gruppenrichtlinien oder Verwaltungstools wie Configuration Manager. Für Gruppenrichtlinien enthält EMET eine ADMX-Datei mit denselben vordefinierten Profilen, die zuvor erwähnt wurden und die mithilfe von Gruppenrichtlinienobjekten aktiviert oder deaktiviert werden können. Für diejenigen, die Skripts für die Bereitstellung verwenden möchten, kann EMET auch über die Befehlszeile konfiguriert werden. Der EMET Notifier, eine neue Funktion, die in dieser Version hinzugefügt wurde, hilft Organisationen auch bei der Überwachung von EMET, da er Ereignisse in das Anwendungsprotokoll schreiben und dem Benutzer Benachrichtigungen im Taskleistenbereich anzeigen kann, wenn eine Anwendung aufgrund eines versuchten Exploits beendet wurde. Bevor Sie jedoch eine massive Bereitstellung durchführen, sollten Sie EMET gründlich mit Ihren Anwendungen testen, da das reale Risiko von Kompatibilitäts- oder Stabilitätsproblemen besteht. Insbesondere ältere Anwendungen sind anfälliger für Kompatibilitätsprobleme.

EMET ist definitiv keine Silberkugel. Es erhöht die Sicherheitslage eines PCs, indem es sehr schwierig ist, bestimmte Arten von Sicherheitslücken erfolgreich auszunutzen, schützt jedoch nicht vor anderen, z. B. Sicherheitslücken bei Cross-Site-Skripten. Betrachten Sie es am besten als Teil Ihrer umfassenden Verteidigungsstrategie, um es zusammen mit Standardtools wie Anti-Malware und Firewalls zu verwenden. Trotzdem ist EMET ein sehr interessantes Sicherheitstool mit einer benutzerfreundlichen Oberfläche und einfachen Bereitstellungsoptionen, die eine gute Ergänzung für jedes Windows-Sicherheitsarsenal für Benutzer darstellen.

© Copyright 2020 | mobilegn.com