PC Help

 Към заглавната страница на PC HelpТърсене


Софтуер

 

EMET – Enhanced Mitigation Experience toolkit

EMET е инструмент, създаден от Майкрософт, по програмата trustworthy computing. На практика той е графичен интерфейс, който дава достъп до част от системата за сигурност на Windows, и позволява финото й настройване. Инструментът се разпространява безплатно от Майкрософт, но с малко търсене може да с намери почти навсякъде в нета. Операционната система, инсталираните драйвери и хардуерната конфигурация оказват пряко влияние върху това как работи EMET и как работи цялата система под влияние на EMET. Поддържаните операционни системи са малко – Windows ХР SP3 и нагоре, като 64 битовите ОС имат предимство при ползването на EMET спрямо 32 битовите, заради допълнителните защити срещу пачване на ядрото, и задължителното изискване за подписани драйвери. Друго предимство за EMET е наличието на хардуерен DEP в процесора и наличието на виртуализация в процесора. Наличието и на двете подпомага не само основните защитни мерки на OS но и на EMET. ЕMET постига максимален ефект при изпълнени определени изисквания:

Хардуер:
Минимум: процесор който има хардуерен DEP
Препоръчително: 64 битов процесор който има хардуерен DEP и хардуерна виртуализация

Софтуер:
Минимум: Windows Vista 64 бита
Препоръчително: Windows 7 64 бита, Windows Server 2008 R1, R2 64 бита

Не си правете наивната илюзия че EMET е панацея. Той няма направи системата ви непробиваема, макар на пръв поглед да оставя подобни впечатления. Няма непробиваема система, няма непробиваема защита.

EMET има прост и ясен интерфейс, който позволява бърза и леснанастройка на програмата. Не всички опции на EMET са видими под графичния интерфейс на EMET, има някои, които са считани за опасни, и са умишлено скрити, но те могат да бъдат отворени в случай че ви е зор да си занимавате с тях.

ВНИМАНИЕ!
Преди да започнате да се занимавате със скритите опции, е необходимо да спомена, че тези опции са скрити с повод. Тези опции могат да направят системата нестабилна, и да предизвикат син екран по време на зареждане на системата, така че имайте го наум преди да пипате там.

Най-честият причинител на проблем, това са драйвери за устройства, които не са написани да са съвместими със системните защити на Windows и в частност ASLR – Address Space Layout Randomization. Най-често драйвери за устройства не могат да се справят с високите нива на ASLR и предизвикват забивания и сини екрани, за това нивото по подразбиране е Opt-In, и сритите настройки които се считат за опасни и предизвикват нестабилност в системата са ASLR – Opt-out и ASLR – Always on. За сведение, системи базирани на AMD и АТИ са особено уязвими, на високите нива на защита, които EMET може да осигури, а системи които са изцяло интел базирани, (процесор, дъно, чипсет, видео, мрежа, звук, памет) са устойчиви на прекаляване с EMET, и се възползват дори от най-високите мерки за защита които има EMET, включая и отключени скрити настройки.

Отключването на заключените настройки става ръчно през регистри, като се промени стойността на ключа EnableUnsafeSettings от шестнадесетично 0 на шестнадесетично 1. Точният път е: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET\EnableUnsafeSettings. Това е шестнадесетична Reg_DWORD променлива, чиято стойност по подразбиране е 0 и трябва да промените на 1. Щом го направите пуснете EMET отново, този път скритите опции ще са достъпни за ползване.

Вдясно виждате основния прозорец на EMET, който се появява при стартиране. Главния прозорец показва всички текущи процеси, и кои прочеси се ползват от защитата на EMET, и какви са глобалните настройки за защита на системата. Освен това главнтия прозорец ви дава, 2 бутона за настройки, първият е configure system, който отваря раздела за глобални настройки на цялата система, я втория е configure apps, който позволява да се запишат приложения по избор на потребитеря в EMET, и да се избере на кои защити приложенията да бъдат подложени. Раздела за настройка на приложенията къ момента поддържа 7 системни защити, предназначени да подсилят приложенията и тяхната устойчивост на атаки и експлойтване, като Майкрософт правят следната забележка:

Най-доброто решение е да нямате въпросния бъг в софтуера си, Ако имате възможност за изтегляне на пач да го коригира, направете го. Но ако нямате тази възможност по някаква причина, EMET ще ви помогне да го защитите, но не си правете илюзията, че ще сте неуязвими. Нищо не е напълно непробиваемо.

Първият раздел, System, configuration, се отваря от бутона Configure system и отваря този прозорец:

В този раздел са досъпни тези, системни защити които са включени фабрично в ОС. В Уин ХР СП3 е включен само DEP, а във уин виста сп1, уин 7 и сървър2008 R1 и R2 са включени DEP, ASLR, SEHOP, и отговарят глобално за цялата система ОС и всички процеси и дайвери и приложения под ОС. Някои приложения като MalwareBytes Antimalware изпитват известни неудобства с настройката на защитата на максимално ниво. Други заглавия като Avira, Microsoft Security Essentials, Windows Defender работят коректно във всякакви условия на глобална системна защита, така че внимавайте, със ставащото в този раздел. Сритите опции на EMET които са опасни за системата, и водят до нестабилност се отнасят за този раздел. И трите скрииншота на EMET включени в тази статия, са правени под изцяло интелски базирана система на леново с уин 7 64 бита, която има процесор покриващ препоръчителните изисквания към хардуера споменати по-горе, и позволява на EMET да достигне пълната си сила, и да работи надеждно и стабилно и да се възползв от високите степени на защита на EMET, включително и отключените скрити настройки на EMET.

Следващият раздел е Application configuration. Отваря се от бутона Configure Apps. В Този раздел, можете да задаватe на кои приложения, системата за сигурност на Windows, искате да обърне по-специално внимение. В този раздел са включени всички системни защити които EMET поддържа, и може да се настройва за всяко приложение по отделно, кои защити да се пуснат икои да се спрат.


DEP - Data Execution Prevention - противодейства на Buffer Overrun exploitation
ASLR - Address Space Layout Randomization - Противодейства на Return Oriented programming exploitation
SEHOP - Structured Exception Handling Overwrite Protection - противодейства на SEH exploitation
NullPage allocation protection - противодейства на цяло семейство червеи да заразят системата използвайки некоректно заделени области от паметта
Heapspray protection - противодейства на heap spray exploiation
EAF - Export Address Table Filtering - противодейства на shell code exploitation- Скайпе, не може да се стартира с тази защита ако я поставите върху skype.exe. Скайп работи добре с всички останали системни защити.
Bottom Up Randomization - помощна защита, която подсилва ASLR и допълнително затруднява Return Oriented programming exploitation.

EMET е постоянно развиващ се проект, който има за цел да намали успеваемостта от опити за експлойтване на системата. Целта на проекта е до такава степен да затрудни откриването, създаването и използването на експлойти, че да няма смисъл от правенето и прилатагенето им, просто защото създаванети плилагането им ще е достатъчно голямо затруднение само по себе си и резултатите от успешното създаване и прилагане, на експлойти, няма да оправдае врEMETо и усилието за създаването им. EMET Разчита да намери подкрепа от процесора с хардуерните функции за виртуализация и хардуерния DEP както и от ОС, като общо взето се опитвада обедини собствения си полезен ефект, полезния ефект на вградените в ОС системни защини и тези хардуерно вградени в процесора, като единни системни защити, които се поддържат и подсилват една друга, с разумната цел, до толкова да повдигне летвата, за успешно експлойтване, че да откаже по-голямата част от нападателите, следвайки правилото че колкото повче повдигате летвата, колкова по-малко хора ще се опитат да я прескочат.

Автор: Кристиян Александров

Източник: http://diabolikkant.blogspot.com

Назад

 


Webmaster