Tip Advanced Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Kategori: Tutorial

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Toolkit Pengalaman Mitigasi yang Ditingkatkan Microsoft, EMET singkat, adalah unduhan opsional untuk semua versi klien dan server yang didukung dari sistem operasi Microsoft Windows yang menambahkan mitigasi eksploitasi ke pertahanan sistem.

Pada dasarnya, ini telah dirancang untuk mencegah serangan dilakukan dengan sukses jika mereka telah melanggar pertahanan sistem seperti solusi antivirus.

EMIT mudah dipasang dan langsung keluar dari kotak, tetapi untuk mendapatkan hasil maksimal dari program, Anda perlu meluangkan waktu untuk memahaminya dan mengkonfigurasinya.

Artikel ini memberi Anda tip tentang cara memaksimalkan EMET.

1. Melindungi proses penting

EMET melindungi inti Microsoft dan beberapa proses pihak ketiga hanya setelah instalasi. Sementara itu menangani program seperti Java, Adobe Acrobat, Internet Explorer atau Excel, itu tidak akan melindungi program yang telah Anda instal secara manual seperti Firefox, Skype atau Chrome.

Meskipun secara teori Anda dapat menambahkan semua program Anda ke EMET, Anda mungkin ingin mempertimbangkan untuk hanya menambahkan program berisiko tinggi ke aplikasi tersebut.

Program berisiko tinggi? Definisi singkat dari program berisiko tinggi adalah program tersebut dieksploitasi secara teratur (misalnya Internet Explorer), mampu menjalankan file yang diunduh dari Internet (browser web, klien email), atau menyimpan data berharga untuk Anda (misalnya perangkat lunak enkripsi).

Ini akan menjadikan Firefox, Chrome dan Thunderbird sebagai target bernilai tinggi dan Notepad, Minesweeper dan Paint tidak.

Untuk menambahkan aplikasi ke daftar perlindungan EMET

1. Buka EMET di sistem.
2. Anda menemukan daftar proses yang berjalan di antarmuka. Jika program yang ingin Anda lindungi tidak berjalan, jalankan di PC.
3. Klik kanan pada prosesnya setelah itu dan pilih 'proses konfigurasi' dari menu konteks.
4. Ini menambahkan proses yang dipilih ke daftar aplikasi EMET.
5. Pilih oke setelah itu untuk menyimpan pilihan dan memulai ulang program yang baru saja Anda tambahkan ke EMET.

Tip : Sangat disarankan untuk menguji setiap aplikasi satu per satu sebelum Anda mulai menambahkan lebih banyak proses ke EMET. Sebuah program mungkin tidak kompatibel dengan semua teknik mitigasi eksploitasi yang ditawarkan EMET.

2. Proses debug yang bermasalah

Kemungkinannya cukup tinggi bahwa Anda akan mengalami masalah setelah menambahkan program ke EMET. Beberapa program mungkin menolak untuk memulai seluruhnya sementara yang lain mungkin membuka dan menutup segera setelah mereka dimulai.

Ini biasanya terjadi ketika satu atau beberapa mitigasi tidak kompatibel dengan proses tersebut. Masalah utama di sini adalah Anda tidak akan menerima informasi mitigasi mana yang menyebabkan masalah.

Verifikasikan bahwa ada masalah

Salah satu cara yang lebih mudah untuk memverifikasi bahwa ada sesuatu yang tidak berfungsi dengan benar adalah dengan memeriksa entri EMET di Windows Event log.

1. Ketuk tombol Windows, ketik penampil acara dan tekan enter.
2. Anda menemukan entri EMET di bawah Peraga Peristiwa (lokal)> Windows Log> Aplikasi.

Saya sarankan Anda mengurutkan berdasarkan Tanggal dan Waktu, dan mencari 'Kesalahan Aplikasi' sebagai sumbernya. Anda harus menemukan EMET.DLL terdaftar sebagai sumber masalah di bawah Umum saat Anda memilih salah satu entri log.

Jelas, Anda juga dapat menghapus semua perlindungan untuk aplikasi di EMET dan menjalankannya lagi untuk melihat apakah itu menyelesaikan masalah.

Memperbaiki masalah

Satu-satunya cara yang pasti untuk menegakkan kompatibilitas dengan Microsoft EMET adalah trial and error. Buka lagi daftar aplikasi yang dilindungi di EMET, matikan semua perlindungan, dan mulai aktifkan lagi satu per satu.

Coba jalankan program setelah setiap sakelar untuk melihat apakah itu berfungsi. Jika ya, ulangi proses dengan mengaktifkan mitigasi berikutnya sejalan sampai Anda menemukan salah satu yang mencegah program untuk memulai.

Nonaktifkan mitigasi itu lagi dan lanjutkan proses hingga Anda mengaktifkan semua mitigasi yang kompatibel dengan perangkat lunak yang dipilih.

Google Chrome misalnya gagal mulai menggunakan mitigasi default yang dipilih untuk proses baru. Saya menemukan bahwa satu-satunya mitigasi yang tidak kompatibel dengan browser adalah EAF yang saya nonaktifkan sebagai konsekuensinya.

3. Aturan seluruh sistem

EMET dikirimkan dengan empat aturan seluruh sistem yang dapat Anda konfigurasikan di antarmuka utama. Penyematan Sertifikat, Pencegahan Eksekusi Data, dan Perlindungan Timpa Penangan Pengecualian Terstruktur diaktifkan sebagai aturan di seluruh sistem sementara Pengacakan Tata Letak Ruang Alamat disetel untuk ikut serta.

Ini berarti Anda perlu mengaktifkan aturan untuk setiap aplikasi yang ingin Anda lindungi olehnya. Anda dapat mengubah status aturan seluruh sistem ini, misalnya dengan menerapkan aturan keikutsertaan di seluruh sistem juga.

Namun hal ini dapat menyebabkan masalah dengan program yang berjalan pada sistem. Karena diterapkan untuk semua program saat diaktifkan, Anda mungkin ingin memantau sistem dengan cermat dan beralih kembali ke keikutsertaan jika Anda melihat masalah saat memulai atau menjalankan aplikasi di mesin.

4. Aturan mengimpor dan mengekspor

Mengonfigurasi program di EMET agar dilindungi oleh aplikasi memerlukan waktu beberapa saat karena masalah yang diuraikan di atas.

Kabar baiknya adalah Anda tidak perlu mengulangi proses tersebut pada PC lain yang Anda kelola karena Anda dapat menggunakan fitur impor dan ekspor EMET untuk itu.

Tip : EMET dilengkapi dengan seperangkat aturan tambahan yang dapat ditambahkan pengguna ke program. Untuk mengaksesnya pilih impor di EMET dan kemudian salah satu dari berikut ini:

1. CertTrust - konfigurasi default EMET dari Certificate Trust Pinning untuk MS dan layanan online pihak ketiga
2. Perangkat Lunak Populer - Mengaktifkan perlindungan untuk perangkat lunak umum seperti Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Perangkat Lunak yang Direkomendasikan - Mengaktifkan perlindungan untuk perangkat lunak yang direkomendasikan minimal seperti Internet Explorer, Microsof Office, Adobe Acrobat Reader dan Java

Opsi 3 adalah opsi default yang dimuat secara otomatis. Anda dapat menambahkan program populer lainnya ke EMET secara otomatis dengan mengimpor aturan Perangkat Lunak Populer.

Aturan migrasi dan kebijakan

Untuk mengekspor aturan, pilih tombol ekspor di antarmuka utama EMET. Pilih nama untuk file xml di dialog penyimpanan dan lokasi.

Serangkaian aturan ini kemudian dapat diimpor ke sistem lain, atau disimpan sebagai pengaman pada mesin saat ini.

Karena aturan disimpan sebagai file XML, Anda juga dapat mengeditnya secara manual.

Administrator juga dapat menyebarkan arahan Kebijakan Grup pada sistem. File adml / admx adalah bagian dari penginstalan EMET dan dapat ditemukan di bawah Deployment / Group Policy Files setelah penginstalan.