Dicas avançadas do Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Categoria: Tutoriais

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Escolha Um Programa De Projeção (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descreva Seu Problema

Obter Uma Resposta

Envie -Me Por E -Mail Mostrar No Site

O Microsoft Enhanced Mitigation Experience Toolkit, abreviado EMET, é um download opcional para todas as versões de cliente e servidor com suporte do sistema operacional Windows da Microsoft que adiciona mitigação de exploits às defesas do sistema.

Basicamente, ele foi projetado para evitar que ataques sejam realizados com sucesso se eles já violaram as defesas do sistema, como soluções antivírus.

EMITES é fácil de instalar e sai da caixa, mas para obter o máximo do programa, você precisa dedicar um tempo para conhecê-lo e configurá-lo.

Este artigo fornece dicas sobre como aproveitar ao máximo o EMET.

1. Protegendo processos importantes

O EMET protege o núcleo da Microsoft e um punhado de processos de terceiros somente após a instalação. Embora cuide de programas como Java, Adobe Acrobat, Internet Explorer ou Excel, não protegerá programas que você instalou manualmente, como Firefox, Skype ou Chrome.

Embora seja teoricamente possível adicionar todos os seus programas ao EMET, você pode querer considerar adicionar apenas programas de alto risco ao aplicativo.

Programas de alto risco? Uma definição curta de um programa de alto risco é que ele é explorado regularmente (por exemplo, Internet Explorer), capaz de executar arquivos baixados da Internet (navegador da web, cliente de e-mail) ou armazena dados valiosos para você (por exemplo, software de criptografia).

Isso tornaria o Firefox, Chrome e Thunderbird alvos de alto valor e o Notepad, Minesweeper e Paint não.

Para adicionar aplicativos à lista de proteção do EMET

1. Abra o EMET no sistema.
2. Você encontra uma lista de processos em execução na interface. Se o programa que você deseja proteger não estiver em execução, inicie-o no PC.
3. Depois, clique com o botão direito do mouse no processo e selecione 'configurar processo' no menu de contexto.
4. Isso adiciona o processo selecionado à lista de aplicativos do EMET.
5. Selecione ok depois para salvar a seleção e reiniciar o programa que você acabou de adicionar ao EMET.

Dica : É altamente recomendável testar cada aplicativo individualmente antes de começar a adicionar mais processos ao EMET. Um programa pode não ser compatível com todas as técnicas de mitigação de exploits que o EMET oferece.

2. Depuração de processos com comportamento inadequado

A chance de você encontrar problemas após adicionar programas ao EMET é bastante alta. Alguns programas podem se recusar a iniciar totalmente, enquanto outros podem abrir e fechar imediatamente após terem sido iniciados.

Geralmente, esse é o caso quando uma ou várias atenuações não são compatíveis com o processo. O principal problema aqui é que você não receberá informações sobre a mitigação que causou o problema.

Verifique se há um problema

Uma das maneiras mais fáceis de verificar se algo não está funcionando direito é verificar as entradas de EMET no log de eventos do Windows.

1. Toque na tecla Windows, digite visualizador de eventos e pressione Enter.
2. Você encontra entradas EMET em Visualizador de eventos (local)> Logs do Windows> Aplicativo.

Eu sugiro que você classifique por data e hora, e procure por 'Erro de aplicativo' como a fonte. Você deve encontrar EMET.DLL listado como a origem do problema em Geral ao selecionar uma das entradas de log.

Obviamente, você também pode remover todas as proteções do aplicativo no EMET e executá-lo novamente para ver se resolve o problema.

Corrigindo o problema

A única maneira infalível de garantir a compatibilidade com o Microsoft EMET é por tentativa e erro. Abra a lista de aplicativos protegidos novamente no EMET, desative todas as proteções e comece a ativá-los novamente um por um.

Tente executar o programa após cada mudança para ver se funciona. Em caso afirmativo, repita o processo ativando a próxima mitigação na fila até chegar a uma que impeça o programa de iniciar.

Desative essa atenuação novamente e continue o processo até que tenha ativado todas as atenuações que são compatíveis com o software selecionado.

O Google Chrome, por exemplo, não conseguiu começar a usar as atenuações padrão selecionadas para novos processos. Descobri que a única atenuação com a qual o navegador não era compatível era o EAF, que desativei como consequência.

3. Regras para todo o sistema

O EMET é fornecido com quatro regras para todo o sistema que você pode configurar na interface principal. A atribuição de certificados, a prevenção de execução de dados e a proteção de sobrescrita do manipulador de exceções estruturadas são ativadas como regras de todo o sistema, enquanto a randomização de layout de espaço de endereço é definida como opt-in.

Isso significa que você precisa habilitar a regra para cada aplicativo que deseja proteger por ela. Você pode alterar o status dessas regras de todo o sistema, por exemplo, impondo a regra de opt-in também em todo o sistema.

No entanto, isso pode causar problemas com programas em execução no sistema. Uma vez que é obrigatório para todos os programas quando ativado, você pode monitorar o sistema de perto e voltar para o opt-in se notar problemas ao iniciar ou executar aplicativos na máquina.

4. Importação e exportação de regras

A configuração de programas no EMET para que sejam protegidos pelo aplicativo demora um pouco devido aos problemas descritos acima.

A boa notícia é que você não precisa repetir o processo em outros PCs que você gerencia, pois você pode usar o recurso de importação e exportação do EMET para isso.

Dica : EMET vem com um conjunto de regras extras que os usuários podem adicionar ao programa. Para acessá-los, selecione importar no EMET e, em seguida, um dos seguintes:

1. CertTrust - configuração padrão EMET de Pinning de confiança de certificado para serviços online de MS e de terceiros
2. Software popular - Ativa proteções para softwares comuns, como Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Software recomendado - Ativa proteções para software mínimo recomendado, como Internet Explorer, Microsof Office, Adobe Acrobat Reader e Java

A opção 3 é a opção padrão carregada automaticamente. Você pode adicionar outros programas populares ao EMET automaticamente, importando as regras de software popular.

Migração de regra e políticas

Para exportar regras, selecione o botão exportar na interface principal do EMET. Escolha um nome para o arquivo xml na caixa de diálogo salvar e um local.

Este conjunto de regras pode então ser importado em outros sistemas ou mantido como uma proteção na máquina atual.

Como as regras são salvas como arquivos XML, você também pode editá-las manualmente.

Os administradores também podem implantar diretivas de Diretiva de Grupo nos sistemas. Os arquivos adml / admx fazem parte da instalação do EMET e podem ser encontrados em Arquivos de implantação / política de grupo após a instalação.