Đến giờ, bạn đã biết rằng Bộ công cụ trải nghiệm giảm thiểu nâng cao của Microsoft là phần mềm bảo mật tốt nhất cho hệ điều hành Windows. Có rất nhiều lý do. Về cơ bản, nó rất đơn giản và minh bạch để thiết lập và không có câu hỏi ngớ ngẩn nào. Nó miễn phí. Và nó có hiệu quả trong những gì nó làm. Không ngăn bạn trở thành kẻ ngốc, mà ngăn phần mềm hoạt động sai. Và đó là điều làm cho nó trở nên tuyệt vời, và đây là lý do tại sao nó ít được chú ý trong thế giới trả tiền để đổi lấy bảo mật ngoài kia.
Bây giờ, phiên bản thực sự công khai đầu tiên đã có, được đánh số 4.0. Đúng vậy, các phiên bản trước đó cũng có thể sử dụng được, nhưng chúng là phiên bản tạm thời beta, chủ yếu dành cho những người đam mê máy tính. Cái này người bình thường cũng dùng được. Hãy để tôi cố gắng cung cấp cho bạn một cái nhìn tổng quan cũng như một hướng dẫn hơi chi tiết sẽ giúp bạn sử dụng và triển khai EMET trong thiết lập bảo mật của mình một cách dễ dàng. Sau tôi.
Cài đặt
Việc cài đặt khá đơn giản, nhưng có một điều bạn cần tính đến. EMET v4 cần Microsoft .NET Framework v4. Thơ mộng làm sao. Thật vậy, trước tiên bạn sẽ phải cài đặt phiên bản này để có thể sử dụng phiên bản mới nhất.
Tiếp theo, chỉ cần nhấp qua trình hướng dẫn nhanh nhất có thể mà không cần đọc bất kỳ chi tiết nào. Nghiêm túc mà nói, thật dễ dàng. Một bước mà bạn nên chú ý là trình hướng dẫn sau khi cài đặt đầu tiên.
Trình hướng dẫn cấu hình cho phép bạn định cấu hình EMET trước khi nó khởi chạy lần đầu tiên và đây thực sự là một bước được đề xuất cho hầu hết người dùng. Như đã nêu rõ, nó sẽ đặt lại cài đặt ứng dụng từ các cài đặt trước đó, thêm các biện pháp bảo vệ cho một số chương trình thường được sử dụng và thường được nhắm mục tiêu, bao gồm Internet Explorer, Adobe Reader và Oracle Java, thêm các quy tắc tin cậy cho các dịch vụ trực tuyến phổ biến để chúng không kích hoạt giảm nhẹ trong trình duyệt của bạn và cuối cùng kích hoạt tính năng báo cáo chi tiết thông qua các tiện ích nhật ký hệ thống. Đề xuất của tôi là làm điều này, bởi vì nó sẽ không gây hại gì và hầu hết mọi người sẽ định cấu hình các cài đặt tương tự theo cách thủ công. Ngoài ra, bạn luôn có thể chạy lại trình hướng dẫn.
Các bước đầu tiên &cấu hình cơ bản
Khi trình hướng dẫn hoàn tất, EMET sẽ khởi chạy. Hãy đánh giá giao diện người dùng và các chức năng khác nhau của nó. Chúng ta sẽ đi từ trái sang phải, từ trên xuống dưới. Nếu trước đây bạn đã sử dụng EMET, các cài đặt sẽ quen thuộc, chỉ được sắp xếp trực quan theo một cách khác.
Nhập/Xuất &Cấu hình
Các nút Nhập và Xuất cho phép bạn lưu và truy xuất các cấu hình EMET hiện có. Đây sẽ là các tệp XML lưu trữ cài đặt và quy tắc ứng dụng của bạn. Bạn nên lưu cấu hình của mình trước khi thực hiện các thay đổi lớn hoặc chạy lại trình hướng dẫn, vì bạn có thể đặt lại toàn bộ thiết lập của mình. Chúng tôi đã thảo luận về các quy tắc nhập/xuất trong bài đánh giá trước đây về EMET, phiên bản 3.5 TP. Đối với tất cả các mục đích thực tế, đây chỉ là lưu/mở tương đương với phần mềm thông thường.
Nút Ứng dụng sẽ mở ra một cửa sổ nơi bạn có thể định cấu hình các chương trình của mình. Thêm về điều đó sau. Nút Tin cậy sẽ mở ra một cửa sổ nơi bạn có thể định cấu hình chứng chỉ cho các dịch vụ trực tuyến. Sớm.
Hồ sơ &Báo cáo
Đối với những bạn thắc mắc, các cấu hình chỉ là một tập hợp các cài đặt, được lưu trữ ở định dạng XML và chúng sẽ bao gồm các quy tắc nhất định cho máy của bạn. Tuy nhiên, chúng sẽ ảnh hưởng đến hành vi của toàn bộ hệ thống khi được áp dụng. Bạn có thể chuyển đổi giữa thiết lập hiện có của mình, thiết lập này sẽ được gắn nhãn Tùy chỉnh và hai thiết lập còn lại, được gắn nhãn Khuyến nghị và Tối đa.
Cấu hình Đề xuất sẽ thiết lập các biện pháp giảm thiểu theo cách mà Microsoft cho là ít gây gián đoạn nhất trong khi vẫn cung cấp khả năng bảo mật tốt. Cấu hình Tối đa sẽ bật tất cả các tùy chọn và điều này có nghĩa là phần mềm không tương thích có thể bị lỗi hoặc gặp sự cố.
Trên thực tế, tôi khuyên bạn không nên sử dụng cấu hình Tối đa vì nó quá nghiêm ngặt. Quá nhiều ứng dụng chưa được mã hóa và biên dịch theo cách có thể được coi là an toàn và tuân thủ, đồng thời chúng có thể gặp phải hành vi kỳ lạ khi được giảm nhẹ.
Ví dụ:Google Chrome có thể gặp lỗi Aw, Snap! lỗi. VLC Player sẽ không thể tự động cập nhật với tất cả các biện pháp giảm thiểu được bật. Trong quá khứ, trước khi được Microsoft mua lại, Skype sẽ không hoạt động tốt với một số tùy chọn được bật. Chúng tôi sẽ sớm giải thích chi tiết hơn về loại cài đặt tồn tại và những gì chúng có thể thực hiện hoặc không thực hiện khi bật và tắt. Cuối cùng, bạn có thể thay đổi giao diện ứng dụng, nhưng điều đó thật ngớ ngẩn.
Báo cáo là danh mục thứ tư từ bên trái và bao gồm các thông báo mà bạn có thể thấy khi EMET bắt đầu hoạt động. Bạn sẽ có thể thấy các cửa sổ bật lên trên màn hình khi các biện pháp giảm thiểu được kích hoạt và bạn sẽ tìm thấy các mục nhập trong Nhật ký sự kiện. Xin nhắc lại, đây là một vài ảnh chụp màn hình từ bài đánh giá EMET trước đây của chúng tôi, trong đó nêu bật chức năng:
Trạng thái hệ thống
Bây giờ chúng ta sẽ thảo luận về trường Trạng thái hệ thống. Nó liệt kê bốn loại giảm nhẹ cho phần mềm của bạn. Theo mặc định, bạn sẽ thấy hình ảnh như bên dưới, điều này khá dễ dãi. Điều đó có nghĩa là các chương trình có thể sử dụng DEP và ASLR sẽ sử dụng chúng, sẽ không có bảo vệ SEHOP nào được kích hoạt theo mặc định và Chứng chỉ tin cậy được bật.
Bây giờ bạn có thể hỏi những từ viết tắt này là viết tắt của từ gì? Và câu trả lời là, tôi sẽ không nói với bạn. Bởi vì chúng VÔ Ý NGHĨA đối với bất kỳ ai không phải là lập trình viên hoặc chưa học Khoa học Máy tính ở trường đại học. Đối với vấn đề đó, chúng ta có thể thảo luận về nhân, bộ lập lịch, quản lý bộ nhớ, không gian xử lý và mọi thứ khác.
Đối với những người bình thường ngoài kia, điều bạn cần biết là:những biện pháp giảm thiểu này cuối cùng sẽ ảnh hưởng đến phần mềm của bạn. Vì vậy, điều duy nhất bạn nên quan tâm là chức năng lành mạnh và chính xác của hệ thống của bạn. Ở giữa cài đặt tối đa và cài đặt cho phép, như được xác định bởi các cấu hình khác nhau, có một số tùy chọn bạn có thể sử dụng.
Nếu giảm thiểu được đặt thành Tắt, nó sẽ không được sử dụng. Chọn tham gia sẽ chỉ kích hoạt các biện pháp giảm thiểu đối với các tệp hệ thống, tệp nhị phân và chức năng cụ thể, đồng thời sẽ phụ thuộc vào những tính năng nào được hệ điều hành, BIOS cũng như các ứng dụng của bạn hỗ trợ.
Chọn không tham gia nghiêm ngặt hơn và nó sẽ cố gắng sử dụng tất cả các biện pháp giảm thiểu đối với tất cả các ứng dụng, trừ khi bạn chọn cụ thể để bỏ chọn chức năng cho một số chương trình không được hỗ trợ hoặc hoạt động sai. Cuối cùng, Luôn bật sẽ kích hoạt giảm thiểu mà không có khả năng đặt lại. Theo cuốn sách, nó là an toàn nhất và rắc rối nhất, bởi vì bạn có thể gặp quá nhiều sự cố đối với các chương trình hợp pháp của mình.
Đề xuất:Bắt đầu với cấu hình Đề xuất hoặc nếu bạn đủ kỹ năng, cấu hình của riêng bạn. tối đa. các cài đặt nên được để lại cho đến khi bạn tìm ra cách sử dụng EMET đúng cách và tự tin. Cuối cùng, chứng chỉ tin cậy khá đơn giản, được bật hoặc tắt.
Các tiến trình đang chạy
Bảng này chỉ hiển thị bảng quy trình của bạn và trạng thái của từng bảng, cho dù chúng có được EMET bao phủ hay không. Ở giai đoạn này, điều đó không quan trọng lắm, nhưng sau này, chúng ta sẽ xem xét tác dụng của các biện pháp giảm nhẹ.
Ứng dụng
Cho đến nay, chúng tôi đã cấu hình hệ thống. Bằng cách đó, chúng tôi đã chọn cấu hình mong muốn, cấu hình này lần lượt bật/tắt các biện pháp giảm thiểu cụ thể và cấp độ của chúng cho các tệp hệ thống cốt lõi, đồng thời xác định hành vi mặc định. Bây giờ, đã đến lúc cấu hình các ứng dụng.
Ngoài hành vi chung, được quản lý bởi DEP, ASLR, SEHOP và các biện pháp giảm thiểu khác, bạn có thể tinh chỉnh bảo vệ hệ thống theo quy tắc ứng dụng cho các chương trình của mình. Điều này được truy cập bằng nút Ứng dụng trên thanh công cụ của chương trình.
Một lần nữa, hãy tổng quan ngắn gọn những gì chúng ta có ở đây. Xuất và Xuất đã chọn cho phép bạn lưu các quy tắc cho các ứng dụng của mình. Thêm ứng dụng sẽ mở một trình hướng dẫn, nơi bạn có thể tìm kiếm một chương trình cụ thể theo đường dẫn đầy đủ của nó. Thêm ký tự đại diện cho phép bạn chỉ định một cụm từ chung chung và tất cả các chương trình phù hợp với cụm từ đó sẽ được đề cập.
Ví dụ:có sẵn hai phiên bản Internet Explorer, cả 32 bit và 64 bit. Nếu bạn sử dụng đường dẫn đầy đủ, bạn sẽ cần liệt kê hai quy tắc. Tùy chọn ký tự đại diện sẽ bao gồm cả hai. Nói một cách dí dỏm, bạn có thể bật tùy chọn Show Full Path để xem quy tắc của mình trông như thế nào.
Xin lưu ý rằng các cài đặt được đề xuất, được kích hoạt bởi trình hướng dẫn lần đầu, tất cả đều sử dụng ký tự đại diện, giúp triển khai và quản lý đơn giản hơn. Chúng tôi sẽ sớm thảo luận về quản lý đại chúng.
Hành động mặc định chi phối hành vi của ứng dụng - cho dù chỉ ghi nhật ký, tức là kiểm tra hay dừng quá trình đang chạy khi phát hiện thấy khai thác. Và xin lưu ý rằng điều này không nhất thiết có nghĩa là phần mềm độc hại, chỉ là bất kỳ hướng dẫn bất hợp pháp nào bị cấm bởi quy trình giảm nhẹ.
Cuối cùng, trong Mitigation Settings, bạn có thể bật/tắt các loại giảm thiểu khác nhau, bao gồm cả Deep Hook, được tắt theo mặc định trong cấu hình Đề xuất, Chống đường vòng và Chức năng bị cấm. Bạn có thể coi đây là chén thánh của các phương pháp viết mã lành mạnh, nếu muốn.
Trường Giảm thiểu sẽ liệt kê tất cả các ứng dụng được đề cập, bao gồm cả những ứng dụng được trình hướng dẫn thêm, nhập hoặc nấu theo cách thủ công. Có ba loại giảm thiểu, bao gồm Bộ nhớ, ROP và Khác. Một lần nữa, sẽ vô nghĩa khi cố gắng giải thích những điều này nếu bạn không biết hoặc không hiểu cách thức hoạt động của nhân. Ví dụ:bạn có biết mã, dữ liệu hoặc đống có thể là gì không? Ngăn xếp là gì? một cuộc gọi hệ thống là gì? Bạn có biết con trỏ lệnh trông như thế nào trên kiến trúc x86 không? Nếu câu trả lời là không cho bất kỳ một trong những điều này, thì bạn không cần biết nội dung của những biện pháp giảm thiểu này.
Chỉ cần coi chúng là một trong những cài đặt sẽ ảnh hưởng đến hoạt động của các chương trình của bạn. Nếu nó hoạt động tốt, hãy để chúng ở đó, nếu không, hãy vô hiệu hóa từng cái một cho đến khi bạn tìm ra vấn đề có thể xảy ra. Nhưng càng về sau này.
Đã thêm ứng dụng
Sau khi bạn thêm ứng dụng của riêng mình, ứng dụng này có thể không được liệt kê ở đây, có thể bạn sẽ phải khởi động lại chương trình để tải bằng móc EMET. Chúng ta đã thấy một ví dụ về điều này trong bài viết đầu tiên và cách sử dụng Process Explorer để xác minh điều này.
Chứng chỉ tin cậy
Phần này cho phép bạn định cấu hình các trang web cần được cấp chứng chỉ để bạn tin tưởng vào hành vi của chúng, để các biện pháp giảm thiểu không bắt đầu và hủy hoại nội dung của bạn trong hành động được gọi là hành động khẳng định sai.
Một lần nữa, bạn có thể xuất các quy tắc của mình. Bạn có thể thêm hoặc xóa các trang web. Khi bạn định cấu hình chúng, chúng sẽ được liệt kê trong bảng Trang web được bảo vệ bên dưới và cũng sẽ bao gồm Quy tắc ghim, có nghĩa là các trang web sẽ chỉ được tin cậy nếu chúng được ký điện tử bởi cơ quan cấp chứng chỉ được hiển thị trong quy tắc. Bạn có thể sử dụng menu thả xuống để thay đổi quy tắc, nhưng tôi thực sự khuyên bạn không nên làm như vậy. Nó tương đương với việc giả mạo thủ công các chứng chỉ kỹ thuật số trong trình duyệt của bạn.
Quy tắc ghim cho phép bạn tinh chỉnh hiệu ứng của chúng. Ví dụ:ngày hết hạn của chúng, quốc gia mà chúng áp dụng, hàm băm bị chặn, khớp khóa công khai, v.v. Vì một lý do chính đáng, hầu hết các cài đặt này không có hiệu lực, điều đó có nghĩa là các giá trị mặc định của chứng chỉ sẽ được sử dụng mà không có bất kỳ bộ lọc nào. Khuyến nghị nồng nhiệt nhất của tôi là không nên mân mê những thứ này.
Thực hành an toàn
Câu hỏi khó nhất là, làm thế nào để bạn sử dụng EMET một cách thông minh? Nếu thực hiện các thay đổi và chỉnh sửa thủ công, bạn sẽ làm mất hiệu lực phần mềm bảo mật của mình, bởi vì bạn sẽ trở thành mắt xích yếu nhất trong chuỗi. Bạn muốn EMET v4 chạy trơn tru và không bị gián đoạn. Nó phải hoàn toàn minh bạch và điều duy nhất bạn có thể quan tâm là thỉnh thoảng có ngoại lệ ở đây và ở đó, như VLC, Skype, v.v.
Quay trở lại đề xuất trước đó của tôi, hãy sử dụng trình hướng dẫn lần đầu tiên. Sử dụng các cài đặt được đề xuất. Thêm các chương trình của riêng bạn. Đảm bảo mọi thứ hoạt động và chạy như mong đợi. Để nó sôi một lúc. Khi đã tự tin, bạn có thể khắc phục từng bước một và cẩn thận kiểm tra tất cả phần mềm của mình. Nếu các chương trình gặp sự cố hoặc không hoạt động bình thường, hãy bắt đầu vô hiệu hóa từng biện pháp giảm nhẹ cho đến khi bạn đạt đến mức tối thiểu cho phép chúng chạy tốt.
Điều này có thể tẻ nhạt, nhưng đừng nản lòng. Kinh nghiệm của tôi cho thấy rằng chỉ một hoặc hai chương trình thỉnh thoảng cần điều chỉnh, nếu có. Tôi nghĩ đến VLC, Chrome và Skype và tôi chưa gặp phải bất kỳ chương trình nào khác hoạt động không tốt.
Về Chứng chỉ tin cậy, đây là một tính năng mới và có thể hơi thử nghiệm, hướng đến việc hợp nhất Web và ứng dụng cũng như những gì kết hợp có thể thực hiện trên máy chủ lưu trữ cục bộ của bạn. Nói cách khác, phần mềm được mua thông qua cửa hàng ứng dụng và/hoặc chạy dưới dạng ứng dụng Web có thể có khả năng tạo ra những thay đổi nguy hiểm cho hệ thống của bạn hoặc dễ dàng bị khai thác nếu không được mã hóa tốt. Mặt khác, bạn có thể gây tổn hại nghiêm trọng đến trải nghiệm người dùng nếu các biện pháp giảm thiểu quá tích cực, đó là lúc ý tưởng về sự tin cậy xuất hiện.
Kinh nghiệm ngắn gọn của tôi ở đây cho thấy các cài đặt mặc định là đủ tốt. Hơn nữa, bảo mật trình duyệt bổ sung có thể đạt được thông qua việc sử dụng các phần mở rộng bảo mật. Nhưng đây là một chủ đề riêng biệt. Tóm lại, hãy để nguyên chứng chỉ tin cậy, thêm trang web một cách chậm rãi và cẩn thận nếu cần, đồng thời không thực hiện bất kỳ thay đổi nào đối với quy tắc ghim, vì bạn có thể gặp phải một số hành vi thực sự kỳ lạ và không mong muốn.
Triển khai doanh nghiệp &hồ sơ chuyên sâu
Chúng tôi đã thảo luận về Hồ sơ bảo vệ khi nói về EMET phiên bản 3. Tôi sẽ tóm tắt ngắn gọn những gì chúng tôi đã làm ở đó, nhưng bạn nên đọc kỹ. Phần này cũng đề cập đến việc sử dụng Chính sách nhóm để quản lý dễ dàng hơn.
Các cấu hình EMET được lưu trữ trong Deployment\Protection Profiles trong thư mục cài đặt mặc định, ở dạng XML. Có ba cấu hình theo mặc định, bao gồm CertTrust.xml, Recommended Software.xml và Popular Software.xml.
Bất kỳ hồ sơ hoặc thay đổi hồ sơ nào được thêm vào đó sẽ được sử dụng để tạo mặt cắt giảm thiểu có liên quan cho các ứng dụng của bạn vào lần tiếp theo EMET đọc lại các quy tắc của nó. Các cấu hình có thể được điều chỉnh để phù hợp với bất kỳ loại mức độ chi tiết bảo mật nào bạn muốn đạt được với EMET. Các cấu hình có định dạng sau, ví dụ:
<Đường dẫn Phiên bản="*\Windows Media Player\wmplayer.exe">
Chúng ta có gì ở đây? Đó là XML, vì vậy bạn có cấu trúc phân cấp gồm các cặp khóa-giá trị mà cuối cùng tạo thành logic hồ sơ đầy đủ. Chúng ta hãy xem xét ngắn gọn hai quy tắc mẫu ở đây, được lấy từ cấu hình Popular Software.xml.
Đối với Windows Media Player, chúng tôi có định nghĩa tên. Sau đó, chúng ta có đường dẫn đi kèm với ký tự đại diện. Sau đó, chúng tôi có ba biện pháp giảm thiểu được liệt kê và trạng thái của chúng là sai/đúng. Đối với SEHOP, chúng tôi cũng có phiên bản HĐH tối thiểu, là phiên bản nhân Windows NT, nơi có thể sử dụng giảm nhẹ này. Vì vậy, nếu bạn triển khai cấu hình này trong Windows XP, nó sẽ không hoạt động.
Đối với Skype, chúng tôi có một lĩnh vực mới khác, đó là kiến trúc, Intel x86. Điều này có nghĩa là các quy tắc giảm thiểu có thể sẽ không hoạt động trên Windows RT, chẳng hạn như sử dụng ARM. Một lần nữa, một số biện pháp giảm thiểu đã bị tắt vì Microsoft biết rằng chúng có thể gây ra sự cố. Chúng tôi đang nói về các cài đặt được đề xuất, vì vậy bạn chắc chắn có thể thực hiện các thay đổi.
Trên hết, bạn cũng có các giá trị mặc định, vì vậy bạn không cần phải áp dụng lại mọi thứ cho từng ứng dụng. Các tệp XML cũng có một phần nhận xét hơi dài ở phần đầu, phần này giải thích cặn kẽ bằng biệt ngữ đam mê máy tính về cách mọi thứ thực sự hoạt động, nhưng bạn chắc chắn cần một hướng dẫn nhân văn hơn như hướng dẫn này để tìm ra tất cả một cách chính xác. Và các bình luận cũng đi kèm với một số lỗi chính tả, tin hay không.
Cuối cùng, đối với Chính sách nhóm, bạn nhận được các mẫu EMET.adml và EMET.admx trong Deployment\Tệp chính sách nhóm, vì vậy bạn có thể sử dụng các mẫu đó để định cấu hình máy chủ lưu trữ trong miền của mình. Nhưng hướng dẫn này chủ yếu hướng đến người dùng gia đình, vì vậy chúng tôi sẽ bỏ qua thiết lập này và chỉ xem lại nếu có nhu cầu phổ biến nghiêm trọng.
Đọc thêm
Bạn sẽ là người khôn ngoan nhất khi đọc kỹ tất cả những điều dưới đây:
Tổng quan về Microsoft EMET v3
Công cụ Microsoft EMET v2
Thực hành bảo mật thư và web an toàn chung
Ngày xửa ngày xưa, có SuRun dành cho người dùng Windows
Kết luận
Tôi đứng trước lời nói của tôi. Microsoft EMET là hộp công cụ bảo mật tuyệt vời nhất dành cho Windows và phiên bản 4 này cũng không ngoại lệ, Đó là về việc tạo một thiết lập bảo mật nhanh và quên sẽ không nhắc bạn trong thời gian thực, sẽ không tính phí bất kỳ tài nguyên nào và sẽ không cho phép bạn thực hiện sai lầm ngớ ngẩn có/không, trong khi cung cấp bảo mật chính hãng, đã được chứng minh.
Cùng với thông báo quan trọng này, bạn sẽ nhận được một hướng dẫn rất chi tiết giải thích chi tiết về phần mềm này và công nghệ liên quan cũng như cách bạn có thể định cấu hình EMET cho hệ thống và ứng dụng của mình để bạn tận hưởng thiết lập bảo mật hiệu quả và kín đáo . Tôi mong bạn thích nó. Bạn thấy đấy, tôi không hoàn toàn tiêu cực về Microsoft, đôi khi họ tạo ra những sản phẩm tuyệt vời. Của bạn đi.
Chúc mừng.