تلميحات مجموعة أدوات تجربة التخفيف المحسنة المتقدمة من Microsoft (EMET)

جرب أداة القضاء على المشاكل

تعد مجموعة أدوات تجربة التخفيف المحسّنة من Microsoft ، EMET المختصر ، تنزيلًا اختياريًا لجميع إصدارات الخادم والعميل المدعومة من نظام تشغيل Microsoft Windows الذي يضيف تخفيف الاستغلال إلى دفاعات النظام.

في الأساس ، تم تصميمه لمنع تنفيذ الهجمات بنجاح إذا انتهكت بالفعل دفاعات النظام مثل حلول مكافحة الفيروسات.

ينبعث سهل التثبيت ونفاد العبوة ، ولكن لتحقيق أقصى استفادة من البرنامج ، عليك قضاء بعض الوقت في التعرف عليه وتكوينه.

توفر لك هذه المقالة نصائح حول كيفية تحقيق أقصى استفادة من 'مجموعة الأدوات لتجربة تقليل الأثر المحسوبة'

1. حماية العمليات الهامة

EMET يحمي Microsoft الأساسية وعدد قليل من عمليات الطرف الثالث فقط بعد التثبيت. على الرغم من أن ذلك يعتني ببرامج مثل Java أو Adobe Acrobat أو Internet Explorer أو Excel ، إلا أنه لن يحمي البرامج التي قمت بتثبيتها يدويًا مثل Firefox أو Skype أو Chrome.

في حين أنه من الممكن نظريًا إضافة جميع برامجك إلى EMET ، فقد ترغب في إضافة البرامج عالية الخطورة فقط إلى التطبيق بدلاً من ذلك.

برامج عالية الخطورة؟ تعريف موجز للبرنامج عالي الخطورة هو أنه إما يتم استغلاله بانتظام (مثل Internet Explorer) ، أو قادر على تنفيذ الملفات التي تم تنزيلها من الإنترنت (متصفح الويب ، أو عميل البريد الإلكتروني) ، أو يخزن بيانات قيّمة لك (مثل برنامج التشفير).

هذا من شأنه أن يجعل Firefox و Chrome و Thunderbird أهدافًا عالية القيمة و Notepad و Minesweeper و Paint.

لإضافة تطبيقات إلى قائمة الحماية الخاصة بـ EMET

emet add application protection

  1. افتح EMET على النظام.
  2. تجد قائمة العمليات الجارية في الواجهة. إذا كان البرنامج الذي تريد حمايته لا يعمل ، فقم بتشغيله على الكمبيوتر.
  3. انقر بزر الماوس الأيمن فوق العملية الخاصة بها بعد ذلك وحدد 'عملية التكوين' من قائمة السياق.
  4. يؤدي هذا إلى إضافة العملية المحددة إلى قائمة تطبيقات EMET.
  5. حدد موافق بعد ذلك لحفظ التحديد وإعادة تشغيل البرنامج الذي أضفته للتو إلى EMET.

تلميح : يُقترح بشدة اختبار كل تطبيق على حدة قبل البدء في إضافة المزيد من العمليات إلى EMET. قد لا يكون البرنامج متوافقًا مع جميع تقنيات تخفيف الاستغلال التي تقدمها EMET.

2. تصحيح أخطاء العمليات

هناك فرصة كبيرة لأنك ستواجه مشكلات بعد إضافة برامج إلى EMET. قد ترفض بعض البرامج البدء تمامًا بينما قد تفتح البرامج الأخرى وتغلق فورًا بعد بدئها.

هذا هو الحال عادةً عندما يكون أحد عوامل التخفيف أو أكثر غير متوافق مع العملية. المشكلة الرئيسية هنا هي أنك لن تتلقى المعلومات التي تسبب التخفيف في حدوث المشكلة.

تحقق من وجود مشكلة

event viewer emet

تتمثل إحدى أسهل الطرق للتحقق من أن شيئًا ما لا يعمل بشكل صحيح في التحقق من إدخالات EMET في سجل أحداث Windows.

  1. اضغط على مفتاح Windows ، واكتب عارض الأحداث واضغط على Enter.
  2. يمكنك العثور على إدخالات EMET ضمن عارض الأحداث (محلي)> سجلات Windows> التطبيق.

أقترح عليك الفرز حسب التاريخ والوقت ، والبحث عن 'خطأ التطبيق' كمصدر. يجب أن تجد EMET.DLL مدرجًا كمصدر للمشكلة ضمن عام عند تحديد أحد إدخالات السجل.

من الواضح أنه يمكنك أيضًا إزالة جميع وسائل الحماية للتطبيق في EMET وتشغيله مرة أخرى لمعرفة ما إذا كان يحل المشكلة.

تصحيح المشكلة

testing mitigations

الطريقة الوحيدة المؤكدة لفرض التوافق مع Microsoft EMET هي التجربة والخطأ. افتح قائمة التطبيقات المحمية مرة أخرى في EMET ، وأوقف تشغيل جميع وسائل الحماية ، وابدأ في تشغيلها مرة أخرى واحدة تلو الأخرى.

حاول تشغيل البرنامج بعد كل مفتاح لمعرفة ما إذا كان يعمل. إذا حدث ذلك ، كرر العملية عن طريق تشغيل التخفيف التالي في السطر حتى تصل إلى واحد يمنع البرنامج من بدء التشغيل.

قم بتعطيل هذا التخفيف مرة أخرى واستمر في العملية حتى تقوم بتمكين كافة عوامل التخفيف المتوافقة مع البرنامج المحدد.

فشل Google Chrome على سبيل المثال في البدء في استخدام عوامل التخفيف الافتراضية المحددة للعمليات الجديدة. اكتشفت أن التخفيف الوحيد الذي لم يكن المتصفح متوافقًا معه هو EAF الذي قمت بتعطيله نتيجة لذلك.

3. القواعد على مستوى النظام

emet system wide rules

يأتي EMET بأربع قواعد على مستوى النظام يمكنك تكوينها في الواجهة الرئيسية. يتم تمكين تثبيت الشهادة ومنع تنفيذ البيانات وحماية الكتابة فوق معالج الاستثناءات الهيكلية كقواعد على مستوى النظام بينما يتم تعيين العشوائية لتخطيط مساحة العنوان على الاشتراك بدلاً من ذلك.

هذا يعني أنك بحاجة إلى تمكين القاعدة لكل تطبيق تريد حمايته بواسطته. يمكنك تغيير حالة هذه القواعد على مستوى النظام ، على سبيل المثال من خلال فرض قاعدة الاشتراك على مستوى النظام أيضًا.

ومع ذلك ، قد يتسبب هذا في حدوث مشكلات مع البرامج التي تعمل على النظام. نظرًا لأنه يتم فرضه على جميع البرامج عند تمكينه ، فقد ترغب في مراقبة النظام عن كثب والعودة إلى الاشتراك إذا لاحظت وجود مشكلات في بدء تشغيل التطبيقات على الجهاز أو تشغيلها.

4. حكم الاستيراد والتصدير

emet import export

يستغرق تكوين البرامج في EMET بحيث يتم حمايتها بواسطة التطبيق بعض الوقت بسبب المشكلات الموضحة أعلاه.

الخبر السار هو أنك لست بحاجة إلى تكرار العملية على أجهزة الكمبيوتر الأخرى التي تديرها حيث يمكنك استخدام ميزة الاستيراد والتصدير الخاصة بـ EMET لذلك.

تلميح : يأتي EMET مع مجموعة من القواعد الإضافية التي يمكن للمستخدمين إضافتها إلى البرنامج. للوصول إلى هؤلاء حدد الاستيراد في EMET ثم أحد الخيارات التالية:

  1. CertTrust - التكوين الافتراضي لـ EMET لتثبيت شهادة الثقة لخدمات MS والخدمات عبر الإنترنت من جهات خارجية
  2. البرامج الشائعة - تتيح الحماية للبرامج الشائعة مثل Internet Explorer و Microsoft Office و Windows Media Player و Adobe Acrobat Reader و Java و WinZip و VLC و RealPlayer و QuickTime و Opera
  3. البرامج الموصى بها - تتيح الحماية للحد الأدنى من البرامج الموصى بها مثل Internet Explorer و Microsof Office و Adobe Acrobat Reader و Java

الخيار 3 هو الخيار الافتراضي الذي يتم تحميله تلقائيًا. يمكنك إضافة برامج شائعة أخرى إلى EMET تلقائيًا عن طريق استيراد قواعد البرامج الشائعة.

الهجرة حكم والسياسات

emet group policy

لتصدير القواعد ، حدد زر التصدير في واجهة EMET الرئيسية. اختر اسمًا لملف xml في مربع حوار الحفظ وموقعًا.

يمكن بعد ذلك استيراد مجموعة القواعد هذه على أنظمة أخرى ، أو الاحتفاظ بها كإجراء وقائي على الجهاز الحالي.

نظرًا لأنه يتم حفظ القواعد كملفات XML ، يمكنك تحريرها يدويًا أيضًا.

يمكن للمسؤولين نشر توجيهات نهج المجموعة على الأنظمة أيضًا. تعد ملفات adml / admx جزءًا من تثبيت EMET ويمكن العثور عليها ضمن Deployment / Group Policy Files بعد التثبيت.