PC Help | ![]() | уроци | | | софтуер | | | хардуер | | | речник | |
| | връзки | ||||||||
![]() ![]() |
| EMET – Enhanced Mitigation Experience toolkit EMET е инструмент, създаден от Майкрософт, по програмата trustworthy computing. На практика той е графичен интерфейс, който дава достъп до част от системата за сигурност на Windows, и позволява финото й настройване. Инструментът се разпространява безплатно от Майкрософт, но с малко търсене може да с намери почти навсякъде в нета. Операционната система, инсталираните драйвери и хардуерната конфигурация оказват пряко влияние върху това как работи EMET и как работи цялата система под влияние на EMET. Поддържаните операционни системи са малко – Windows ХР SP3 и нагоре, като 64 битовите ОС имат предимство при ползването на EMET спрямо 32 битовите, заради допълнителните защити срещу пачване на ядрото, и задължителното изискване за подписани драйвери. Друго предимство за EMET е наличието на хардуерен DEP в процесора и наличието на виртуализация в процесора. Наличието и на двете подпомага не само основните защитни мерки на OS но и на EMET. ЕMET постига максимален ефект при изпълнени определени изисквания: Хардуер: Софтуер: Не си правете наивната илюзия че EMET е панацея. Той няма направи системата ви непробиваема, макар на пръв поглед да оставя подобни впечатления. Няма непробиваема система, няма непробиваема защита. EMET има прост и ясен интерфейс, който позволява бърза и леснанастройка на програмата. Не всички опции на EMET са видими под графичния интерфейс на EMET, има някои, които са считани за опасни, и са умишлено скрити, но те могат да бъдат отворени в случай че ви е зор да си занимавате с тях. ВНИМАНИЕ! Най-честият причинител на проблем, това са драйвери за устройства, които не са написани да са съвместими със системните защити на Windows и в частност ASLR – Address Space Layout Randomization. Най-често драйвери за устройства не могат да се справят с високите нива на ASLR и предизвикват забивания и сини екрани, за това нивото по подразбиране е Opt-In, и сритите настройки които се считат за опасни и предизвикват нестабилност в системата са ASLR – Opt-out и ASLR – Always on. За сведение, системи базирани на AMD и АТИ са особено уязвими, на високите нива на защита, които EMET може да осигури, а системи които са изцяло интел базирани, (процесор, дъно, чипсет, видео, мрежа, звук, памет) са устойчиви на прекаляване с EMET, и се възползват дори от най-високите мерки за защита които има EMET, включая и отключени скрити настройки. Отключването на заключените настройки става ръчно през регистри, като се промени стойността на ключа EnableUnsafeSettings от шестнадесетично 0 на шестнадесетично 1. Точният път е: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET\EnableUnsafeSettings. Това е шестнадесетична Reg_DWORD променлива, чиято стойност по подразбиране е 0 и трябва да промените на 1. Щом го направите пуснете EMET отново, този път скритите опции ще са достъпни за ползване.
Най-доброто решение е да нямате въпросния бъг в софтуера си, Ако имате възможност за изтегляне на пач да го коригира, направете го. Но ако нямате тази възможност по някаква причина, EMET ще ви помогне да го защитите, но не си правете илюзията, че ще сте неуязвими. Нищо не е напълно непробиваемо. Първият раздел, System, configuration, се отваря от бутона Configure system и отваря този прозорец:
В този раздел са досъпни тези, системни защити които са включени фабрично в ОС. В Уин ХР СП3 е включен само DEP, а във уин виста сп1, уин 7 и сървър2008 R1 и R2 са включени DEP, ASLR, SEHOP, и отговарят глобално за цялата система ОС и всички процеси и дайвери и приложения под ОС. Някои приложения като MalwareBytes Antimalware изпитват известни неудобства с настройката на защитата на максимално ниво. Други заглавия като Avira, Microsoft Security Essentials, Windows Defender работят коректно във всякакви условия на глобална системна защита, така че внимавайте, със ставащото в този раздел. Сритите опции на EMET които са опасни за системата, и водят до нестабилност се отнасят за този раздел. И трите скрииншота на EMET включени в тази статия, са правени под изцяло интелски базирана система на леново с уин 7 64 бита, която има процесор покриващ препоръчителните изисквания към хардуера споменати по-горе, и позволява на EMET да достигне пълната си сила, и да работи надеждно и стабилно и да се възползв от високите степени на защита на EMET, включително и отключените скрити настройки на EMET. Следващият раздел е Application configuration. Отваря се от бутона Configure Apps. В Този раздел, можете да задаватe на кои приложения, системата за сигурност на Windows, искате да обърне по-специално внимение. В този раздел са включени всички системни защити които EMET поддържа, и може да се настройва за всяко приложение по отделно, кои защити да се пуснат икои да се спрат.
EMET е постоянно развиващ се проект, който има за цел да намали успеваемостта от опити за експлойтване на системата. Целта на проекта е до такава степен да затрудни откриването, създаването и използването на експлойти, че да няма смисъл от правенето и прилатагенето им, просто защото създаванети плилагането им ще е достатъчно голямо затруднение само по себе си и резултатите от успешното създаване и прилагане, на експлойти, няма да оправдае врEMETо и усилието за създаването им. EMET Разчита да намери подкрепа от процесора с хардуерните функции за виртуализация и хардуерния DEP както и от ОС, като общо взето се опитвада обедини собствения си полезен ефект, полезния ефект на вградените в ОС системни защини и тези хардуерно вградени в процесора, като единни системни защити, които се поддържат и подсилват една друга, с разумната цел, до толкова да повдигне летвата, за успешно експлойтване, че да откаже по-голямата част от нападателите, следвайки правилото че колкото повче повдигате летвата, колкова по-малко хора ще се опитат да я прескочат. Автор: Кристиян Александров Източник: http://diabolikkant.blogspot.com
| |