Enhanced Mitigation Experience Toolkit (EMET)

Seitse... Enhanced Mitigation Experience Toolkit (EMET) ja tema kasutamine.

 

(Vista, Windows 7, Windows 8 / 8.1 ja Windows 10.)

 

 

 

Enhanced Mitigation Experience Toolkit (EMET) Mis see Enhanced Mitigation Experience Toolkit (EMET) on?

Enhanced Mitigation Experience Toolkit (EMET) on Microsofti väga hea ja efektiivne tasuta tarkvara, mis aitab takistada ründajate ligipääsu kompuutrite süsteemidele. EMET vähendab tunduvalt turvariske ja ta teeb pahatahtlike ründajate elu võimalikult raskemaks ning seda üsnagi efektiivselt. EMET prognoosib ette kõige levinumaid ründetehnikaid, mida ründajad võivad seoses arvutisüsteemi turvaaukudega ära kasutada ja blokeerib ning muudab sellised ründed ja tehnikad kasutuks. EMET kaitseb kompuutrit isegi täiesti uute ja veel tundmatute ohtude eest, millede jaoks ei pakuta veel turvavärskendusi (updates) ja mida ei avasta ka pahavaratõrje programmid, sest nende viiruste signatuuride/kirjelduste andmebaasi ei ole veel jõutud uuendada. Näiteks ühed neist on kõigile teada nn 0-päeva ründed (zero day attacks), mille tulemused võivad olla katastroofilised: pahavaraga nakatumised, isiklike ja äriandmete kadumine jne. ("0-day" rünnakuteks kasutatakse süsteemides avastatud turvaauke.)

EMET töötab Windows 10 , Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2012 R2 ja Windows Vista operatsioonisüsteemidega ning kõikide tarkvaradega, kaasa arvatud Microsofti enda kui ka kolmandate osapoolte tarkvarad. Microsoft pakub seda EMET utiliiti rohkem süsteemiadministraatoritele, aga ta sobib väga hästi ka tavakasutajatele ning teda on väga lihtne kasutada. Sa võid EMET'iga töötada tema graafilise kasutajaliidese kaudu (tavakasutajale sobiv), Command Prompt utiliidi käsurea või siis Group Policy konsooli kaudu. Sul ei ole vajadust ronida Windowsi registrisse või siis käivitada muid platvormist sõltuvaid utiliite. Tema abil saad kiiresti lülitada sisse täiendavad turvavahendid ilma selleks erilisi spetsiaalseid teadmisi omamata.
EMET ei paiska pidevalt Sinu ekraanile neid igasuguseid tüütuid küsimustega aknakesi, ei paku reklaami, värskendusi, uusi äppisid jne - seega ta on nn "installeeri-EMET-ja-unusta-ta" lahendus. Ta istub vaikselt ekraani paremal allnurgas ja kui mingi rakendus teeb midagi sellist, mis ei vasta EMET reeglitele, siis ta suletakse EMET poolt - see on tema vaikimisi seadistus. Seega EMET sulgeb automaatselt need rakendused, mis käituvad potentsiaalselt ebaturvaliselt ja ta takistab sellega pahavara aktiveerumist. Kuid seda ei tehta vaikimisi kõikide rakenduste suhtes, sest see rikuks paljude vanemate rakenduste ühildumist Windowsiga.

EMET on ainult üheks täiendavaks süsteemi turvalisuse tõstmise vahendiks, ainuüksi temast ei piisa ja Sa pead lisaks temale kasutama ka korralikku antiviirust ning muid kaitsevahendeid.



Uuendatud 2016: Alates 31.07.2018 kuupäevast ei pakuta Microsofti poolt EMET tarkvarale enam tuge ja turvaparandusi. Microsoft teatab selle põhjenduseks seda et kuna osa antud tarkvara turvaelemente on Windows 10 süsteemi juba üle viidud ja et nüüdseks piisavalt meetodeid, et sellest EMET tarkvara kaitsest mõõda hiilida, siis pole teda enam vaja. Kuid näiteks CERT Ülikooli teadlased väidavad, et EMET toe lõpetamine on viga ja et Windows 10 ise ei paku sama kaitset, mida ta teeks koos EMET instrumendiga. Õeldakse ka seda et näiteks Windows 7 koos EMET tarkvaraga on paremini kaitstud kui Windows 10 ilma EMET vahendita. EMET teeb paremat tööd just kolmandate osapoolte tarkvara kaitse osas, mis just mitte alati ei kasuta ära Windows 10 eeliseid ses osas. Seega Windows 7 jooksutajad peaksid lisaks oma antiviirusele kasutama ka seda EMET tarkvara ja Windows 10 kasutajad otsustagu siis ise.



EMET võimalused:

EMET lubab kompuutri turvalisust tõsta järgmiselt:

* konfigureerides terve süsteemi poliitikat;
* konfigureerides eraldi programme või protsesse (näiteks täitmisfaile - .exe laiendiga, aga ka kõiki teisi faile, mis laetakse mällu);
* peale selle pakutakse ka võimalust valideerida SSL sertifikaate, et avastada sellekohaseid pettusi.

1) "System mitigation" (System ASLR, System DEP ja System SEHOP) - terve süsteemi riskide maandamine/vähendamine. Süsteemi poliitikad lubavad kasutajal paigaldada vaikimisi süsteemi toetavad turvariskide maandamised; näiteks valides selle et kas EMET turvavahendid lülitatakse sisse (Always On/Enabled) kõikide protsesside jaoks või siis tehakse seda valikuliselt (Application Opt in) või siis keelatakse nad täielikult (Disabled).

2) "Mitigations per executable" (riskide maandamine/vähendamine ainult ühe programmi või ühe protsessi jaoks) - see lubab kasutajal lülitada EMET poolt toetatavad riskide vähendamised sisse ainult ühe eraldi rakenduse jaoks (selle rakenduse valid Sa ise). Sa võid seda meetodit kasutada suvalise rakenduse suhtes ja Sa võid vajadusel selle ka hiljem tühistada.

3) "Certificate Trust (Pinning)" - see vahend lubab konfigureerida reeglite komplekti selleks et valideerida digitaalselt signeeritud sertifikaate (SSL certifcates) siis kui Sa sirvid oma brauseriga. Kui EMET tuvastab ses osas mingi anomaalia (või pettuse), näiteks kusagile sotsiaalvõrgustikku või panka sisse logides, siis Sind hoiatatakse ses suhtes.



EMET vahendid (turvariskide maandamise/vähendamise meetmed - "EMET Security Mitigations"):

EMET toetab üsna mitut turvariskide vähendamise tehnoloogiat. Toon mõned neist siin lühidalt ka ära ja seda AINULT informatsiooniks. Tavakasutaja EI PEA nende olemust nii täpselt teadma, piisab sellest et nad oleksid vajadusel ja võimalusel aktiveeritud. (Siin võiks tähelepanelikumalt lugeda seda 10. punkti all toodud "Reporting" lõiku.)

1) DEP (Data Execution Prevention - Andmete Käivitamise Takistamine): DEP oli kasutusel juba Windows XP süsteemis, seda aga piiratud võimalustega. Nüüd võib EMET abil konfigureerida ka eraldi individuaalseid rakendusi. Juhul kui EMET utiliiti ei kasutata, siis saab häkker ligi mälus asuvatele andmetele ja mälu nendele regioonidele, kustkaudu saab pahavara käivitada - pilt. Kui Sa lülitad aga EMET'i sisse, siis aktiveeritakse protsessi jaoks ka DEP kaitse. DEP allokeerib mälu selliselt, et neid mälublokke saab kasutada vaid andmete jaoks, mitte aga käivitatava koodi tarbeks. Nüüd juhul kui see DEP on lubatud, siis "stack" ja "heap" märgitakse kui mitte-käivitatavad oblastid ning iga pahavara koodi käivitamise katse antud regioonidest nullitakse juba protsessori tasemel - pilt.

2) SEHOP (Structured Exception Handler Overwrite Protection - Strukturiseeritud Erandite Käsitleja Ülekirjutamise Kaitse): SEHOP on kaitseks üheks kõige levinuma nn "stack overflows" tehnika vastu.

3) NullPage (Null Page Protection / Null page allocation): See sarnaneb järgmises 4. punktis toodud "heap spray" tehnoloogiale, aga siin täidetakse seda kasutaja režiimis.

4) Heap Spray Protection (Heapspray Allocations): Kui pahavara kood jookseb, siis ta üritab oma edukaks tööks hõivata võimalikult rohkem mälu regioone ja ta kasutab selleks nn "heapspray" tehnikat. Kuid EMET puhul on sellised peamiselt kasutatavad lehed juba eelnevalt hõivatud (st "kinni pandud") ja pahavara kood ei pääse neile enam ligi - pilt.

5) Export Address Table Access Filtering (EAF): Et teha midagi "kasulikku", peab shellcode (masinkoodi instruktsioon) kutsuma välja Windows API. Kuid et kutsuda välja API'it, peab shellcode esmalt leidma aadressi kuhu see API on laetud. EMET kasutamisel blokeeritakse enamik tänapäeva shellcode'd kui nad üritavad kutsuda välja API.

6) ASR (Attack Surface Reduction): ASR mehhanism on ette nähtud spetsiifiliste moodulite või pluginite blokeerimiseks rakendustes. Sa võid näiteks Microsoft Word programmis keelata Adobe Flash Player plugini laadimise.

7) Bottom-UP Address Space Layout Randomization: Pahategijad ei saa mälus omapäid tegutseda....

8) ROP Simulate Execution Flow (SimExecFlow): Üritab tuvastada Return Oriented Programming (ROP) rünnakuid.

9) Certificate Trust (Sertifikaadi Usaldamine): EMET kindlustab ka mehhanismi, mis lisab sertifikaadi usaldusväärsuse valideerimise protsessi täiendava kontrolli, et tuvastada üle krüptitud kanali tehtavaid rünnakuid (st kui Sa sirvid HTTPS veebsaiti).

Märkus: HTTPS (HyperText Transfer Protocol Secure ehk siis HTTP üle SSL) protokolli abil luuakse krüptitud, turvaline võrguühendus ja ta töötab koos SSL/TLS protokolliga. Sellist HTTPS turvalist ühendust kasutatakse peamiselt pankades ja ka e-kaubanduses, aga tänapäeval ka mujal (näiteks seal: https://www.riigiteataja.ee/index.html).
EMET tuvastab spetsiifilise SSL sertifikaadi väljaandja Root CA vead ja muudatused. EMET tuvastab ainult anomaalia, aga ta EI KATKESTA seda turvalist ühendust.

Certificate Trust vahend on kättesaadav ainult Internet Explorer brauseri jaoks, aga teda võib konfigureerida ka mõne teise brauseri jaoks (eksperimentaalsete sätetega).

10) Reporting (Aruandlus): EMET omab ka aruandluse võimalust ja seda Windowsi teenuse kaudu, mida kutsutakse "Microsoft EMET Service". Kui EMET on installeeritud, siis see teenus stardib koos Windowsiga automaatselt. EMET Service käivitab siis vajadusel EMET Agent komponendi, mis edastab oma teated all tegumirea paremas otsas asuval EMET ikoonil. (EMET Agendi nähtavuse võib soovi korral ka Group Policy kaudu välja lülitada.)

EMET Service on vajalikuks komponendiks, et täita järgmisi ülessandeid:

a) Kirjutada sündmused Windows Event Log'i (Windowsi Sündmuste Žurnaali). Neid sündmusi võib leida Event Viewer konsoolist, tee järgmist: Vajuta Win+R klahvikombinatsiooni, sisesta Run aknasse eventvwr.exe ja vajuta ENTER; seejärel vaata neid EMET sündmusi Event Viewer (local) > Windows Logs > Application alt - pilt.
On 3 erinevat tüüpi logi/žurnaali: Informatsioon (Information), Hoiatus (Warning) ja Viga (Error). Informatsiooni sõnumeid kasutatakse tavaliste operatsioonide, näiteks nagu EMET Agendi startimine, registreerimiseks. Hoiatused ilmuvad siis kui on muudetud EMET seadeid/sätteid või siis teavitatakse SSL sertifikaatide valideerimise protsessis tuvastatud anomaaliatest. Vea (Error) sõnumeid kasutatakse siis kui tuvastatakse ebausaldusväärne SSL sertifikaat või kui EMET peatab mingi ründe ja takistab sellega tema teostamist. EventID formaadid ja võimalikud variandid:

EventID formaadid ja võimalikud variandid



b) Kuvada kõik tähtsad sündmused ekraani paremal allnurgas tegumirea teadeteväljale ilmuvate sõnumite kaudu:

Kuvada kõik tähtsad sündmused ekraani paremal allnurgas tegumirea teadeteväljale ilmuvate sõnumite kaudu


EMET hoiatus


EMET Security Mitigations (EMET 5.5 versiooni turvariskide maandamise meetmed):

EMET Security Mitigations (EMET turvariskide maandamise meetmed)





Uuendatud 2016 veebruaris: Nüüd on saadaval ka EMET uuem versioon - Enhanced Mitigation Experience Toolkit (EMET) 5.5. EMET 5.5 toetab järgmisi operatsioonisüsteeme: Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2012 R2, Windows Vista. Ja hiljem sai kättesaadavaks veelgi uuem Enhanced Mitigation Experience Toolkit (EMET) 5.52 versioon - laegi see nüüd alla.

EMET 5.5 versiooni suurimaks muudatuseks on see et nüüd toetab ta ka Windows 10 operatsioonisüsteemi - nüüd juba ametlikult. EMET kasutajaliidese avaaken sisaldab ka täiesti uut "Block Untrusted Fonts" vahendit, mis kaitseb kasutajaid ebausaldusväärsetest allikatest pärit või siis pahategijate poolt juhitavate fondifailide eest. See uus vahend takistab kõikide kolmandate osapoolte fontide laadimist, mis ei asu Windowsi installatsiooni %windir%/Fonts kaustas. Antud 'Block Untrusted Fonts' vahend on vaikimisi välja lülitatud (Disabled) - pilt. Sa võid selle "Block Untrusted Fonts" vahendi esialgu ka Audit režiimile lülitada, sellega kirjutatakse ebausaldusväärsete fontide sündmused logisse, aga neid EI BLOKEERITA veel - pilt. Nende rakenduste nimed, mis kasutavad ebausaldusväärseid fontisid, ilmuvadki sinna sündmuste logisse. Et nüüd neid fontide sündmuste logisid uurida, ava Event Viewer (eventvwr.exe), mine vasemal Application and Service Logs/Microsoft/Windows/Win32k/Operational haruni ja keri paremal ülal kuni EventID: 260 reani välja ning vaata vastavaid fontide sündmusi - pilt. Kui vaatasid need sündmused üle ja kui Sa näed seal ka selliseid fonte, mida kasutavad Sinu enda täiesti legaalsed ning turvalised tarkvarad, siis märgi need programmid üles, et hiljem Windows Registry Editor (regedit.exe) konsooli kaudu nende rakenduste fontide blokeerimine tühistada - sellest kohe edaspidi. Kui oled endas kindel, siis võid seejärel selle "Block Untrusted Fonts" vahendi ka globaalselt sisse lülitada (On/Enabled). Sellega peatatakse kõikide fontide laadimine, mis asuvad väljaspool %windir%/Fonts kausta. (Antud "Block Untrusted Fonts" vahend on ainult Windows 10 versiooni jaoks ja seda ei toetata varasemate Windowsite poolt.)

Kui Sul on see 'Block Untrusted Fonts' vahend globaalselt sisse lülitatud, siis võid soovi korral vajalikke rakendusi blokeerimisest ka välja jätta nii et nad saaksid neid ebausaldusväärseid fonte ikkagi laadida - sõltumata globaalsest sättest. (Nende rakenduste nimesid, mis tekitavad probleeme ja mis kasutavad ebausaldusväärseid fontisid, saad vaadata fontide sündmuste logist.) Et neid blokeeritud fontisid tühistada, siis tulekski see uus 'Block Untrusted Fonts' vahend kõigepealt panna 'Audit' režiimile, et sündmuste logist need rakendused üles leida. Seejärel on kaks teed:


1) SOOVITATAV MEETOD: Installeeri ise käsitsi probleemsed fondid:

- Juhul kui Sa laadisid ise mingid fondid alla, kontrollisid need oma antiviirustega üle ja oled kindel, et tegemist on turvaliste fontidega, siis tee problemaatilise fondi nimel paremklikk ja kliki Install käsule. Sellega installitakse antud font automaatselt sinna %windir%/Fonts (tavaliselt C:\Windows\Fonts\) kausta. Kui seda ei tehta, siis kopeeri see fondifail ise käsitsi sinna Fonts kausta ja käivita sealt antud fondi installeerimine.
- Kui tegemist on mingi Sinu tarkvara fontidega, siis vaata kõigepealt Event Viewer'i alt (st tema Application and Service Logs/Microsoft/Windows/Win32k/Operational haru ja siis EventID: 260 alt) seda et kus kaustateel ("aadressil") see probleemne font (fondid) asub - pilt. Seejärel mine sinna kausta (tavaliselt selle tarkvara 'Fonts' kausta), tee antud fondil paremklikk ja vali ilmuvast kontekstmenüüst Install käsk - Sul peavad selleks administraatori õigused olema - pilt.
- Korda seda protsessi kõikide nende rakenduste/protsesside jaoks, millede fontide blokeerimist Sa tahad tühistada.
- Tee süsteemi restart ja kui Sa avad nüüd Event Viewer (eventvwr.exe) akna ning lähed vasemal Application and Service Logs/Microsoft/Windows/Win32k/Operational haruni ja kerid paremal ülal kuni EventID: 260 reani välja, siis Sa ei näe seal enam nende rakenduste/protsesside kirjeid, millede jaoks Sa selle fontide blokeerimise annuleerisid.
- Kui Sa Event Viewer'i all enam neid probleemsete fontide kirjeid/sündmusi ei näe, siis võid EMTET tarkvara 'Block Untrusted Fonts' funktsiooni panna ka 'Allways On' režiimile. Isegi kui seal Event Viewer'i all kuvatakse endiselt nendesamade programmide, millede fondid Sa ise käsitsi installeerisid, sündmusi, siis võid ikkagi kehtestada selle globaalse 'Allways On' režiimi; seejärel vaatad, et kas antud tarkvarade käivitamisel tekivad nende fontidega mingid probleemid - tavaliselt ei peaks tekkima. Üks näide: Kasutaja installeeris ise käsitsi GreatNews tarkvara fondid ja pärast seda kuvatakse Event Viewer'is alltoodud sündmusi, aga GreatNews tarkvara töötab endiselt normaalselt:

C:\Program Files (x86)\CurioStudio\GreatNews\GreatNews.exe attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: true



2) Rakenduse/protsessi väljalülitamise meetod: Seda saab teha Windows Registry Editor (regedit.exe) konsooli ja selle HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Rakenduse_Nimi> võtme kaudu.

Kui EMET blokeerib mingi Sinu tarkvara fondid, siis tühista see blokeering järgmisel teel:

- Vajuta Win+R klahvikombinatsiooni, sisesta Run akna käsureale regedit.exe ja vajuta ENTER.
- Kliki UAC aknas nupule Yes.
- Liigu vasemal kuni HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ haruni.
- Tee seal Image File Execution Options peal paremklikk ja vali ilmuvast kontekstmenüüst New > Key käsk - pilt.
- Seejärel sisesta selle uue võtme nimeks antud rakenduse/protsessi, mille fontide blokeerimist Sa tahad tühistada, täielik nimi, näiteks GreatNews.exe, firefox.exe jne. Pärast seda peab see uus võti nägema välja näiteks taoline: HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GreatNews.exe.
- Märgista vasemas paanis see uus võti, tee seejärel paremas paanis paremklikk, vali ilmuvast kontekstmenüüst New > QWORD (64-bit) Value käsk, sisesta selle nimeks MitigationOptions ja vajuta ENTER.
- Tee sellel äsjaloodud MitigationOptions kirjel 2x klikk ja pane tema väärtuseks 2000000000000 ning kliki OK - pilt.
- Korda seda protsessi kõikide nende rakenduste/protsesside jaoks, millede fontide blokeerimist Sa tahad tühistada.
- Tee süsteemi restart ja kui Sa avad nüüd Event Viewer (eventvwr.exe) akna ning lähed vasemal Application and Service Logs/Microsoft/Windows/Win32k/Operational haruni ja kerid paremal ülal kuni EventID: 260 reani välja, siis Sa ei näe seal enam nende rakenduste/protsesside kirjeid, millede jaoks Sa selle fontide blokeerimise annuleerisid.

- Kui Sa Event Viewer'i all enam neid probleemsete fontide kirjeid/sündmusi ei näe, siis võid EMTET tarkvara 'Block Untrusted Fonts' funktsiooni panna ka 'Allways On' režiimile. Isegi kui seal Event Viewer'i all kuvatakse endiselt nendesamade programmide, millede jaoks Sa tühistasid Windowsi Registri kaudu nende fontide blokeerimise, sündmusi, siis võid ikkagi kehtestada selle globaalse 'Allways On' režiimi; seejärel vaatad, et kas antud tarkvarade käivitamisel tekivad nende fontidega mingid probleemid - tavaliselt ei peaks tekkima. Üks näide: Kasutaja blokeeris ise GreatNews tarkvara fondid ja pärast seda kuvatakse Event Viewer'is alltoodud sündmusi, aga GreatNews tarkvara töötab endiselt normaalselt:

C:\Program Files (x86)\CurioStudio\GreatNews\GreatNews.exe attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: true




EMET 5.5 kasutajaliidese avaaknas on üleval ribamenüül ka uus 'Group Policy' menüüpunkt, mida aga tavakasutajale vaja ei lähe ja mis on ette nähtud ainult domeenis töötamiseks. Kui Sa klikid antud nupule, siis näed järgmist teadet, kus kliki OK ja kogu lugu - pilt. (Pealegi tuleks antud vahendi kasutamiseks laadida alla ja installida Windows Remote Server Administration Tool või RSAT ning seejärel pärast restarti ta Turn Windows features On or Off all sisse lülitada.)





EMET utiliidi allalaadimine ja installeerimine:

Osa edaspidiseid pilte on küll võetud EMET 4.0 versioonist, aga nüüd on saadaval ka EMET uuem Enhanced Mitigation Experience Toolkit (EMET) 5.5 versioon. Selle uusima EMET 5.5 versiooniga käib install ja töö enam-vähem sama moodi nagu ka EMET 4.0 versiooniga - suurt vahet pole. (Märkus: Hiljem sai kättesaadavaks veelgi uuem Enhanced Mitigation Experience Toolkit (EMET) 5.52 versioon - laegi see nüüd alla.)

Veendu kõigepealt, et Sul oleksid alla laetud KÕIK värskendused (updates). Veendu ka selles et Sul oleks installitud Microsofti enda vähemalt .NET Framework 4.5. Kui Sul on kõik värskendused alla laetud, siis on ta Sul juba ka olemas. See .NET Framework on üle-üldse üks vajalik asi, sest seda kasutab suur hulk programme.

Märkus: Oma .NET Framework'i olemasolu ja tema versiooni võid kontrollida näiteks Command Prompt akna kaudu. Ava see ja sisesta käsureale dir %WINDIR%\Microsoft.Net\Framework\v* käsk ning vajuta ENTER. Sa näed nüüd .NET Framework'i installitud versioone, välja arvatud .NET Framework 4.5 ja 5.5 versioone, mis asuvad 4.0 alamkaustas - pilt.

Kui Sul on mingi EMET vanem versioon juba olemas, siis uninstalli (desinstalleeri) ta esmalt: kõigepealt ava 'Task Manager' ja lõpeta seal "Processes" vahelehel EMET_Agent ja EMET_Service töö (tee neil paremklikk ja vali "End task" käsk); seejäre uninstalli EMET, näiteks Revo Uninstaller abiga.
Seejärel eemalda Registry Editor konsoolis käsitsi HKLM\Software\Microsoft\EMET ja HKLM\Software\Policies\Microsoft\EMET võtmed (seda juhul kui need pärast EMET uninstallimist alles jäeti); tee seda enne kui Sa käivitad uuema EMET 5.5 installeerija.

!!! Kindlasti tuleks EMET vanem versioon asendada selle kõige uuema EMET 5.5 versiooniga, sest häkkerid on leidnud mooduse ka EMET'i väljalülitamiseks. Microsoft parandas selle vea uuema EMET 5.5 versiooniga.


Seejärel tee järgmist:

1) Mine sinna aadressile ja kliki seal nupule Download, et laadida alla EMET kõige uuem versioon [Enhanced Mitigation Experience Toolkit (EMET) 5.5].

2) Tõmba ta oma töölauale ja tee EMET Setup.msi failil 2x klikk (antud pilt on siiski juba uusima EMET 5.5 versiooni Setup failist):

Tõmba ta oma töölauale ja tee EMET Setup.msi failil 2x klikk


3) Kliki installeerimise esimeses aknas Next - pilt.
4) Kliki ka teises aknas Next - pilt.
5) Aktiveeri raadionupp "I Agree" ja kliki Next:

Aktiveeri raadionupp "I Agree" ja kliki Next


6) Kliki lihtsalt Next ja algab installeerimine, mis käib kähku.
7) Nüüd aktiveeri "Use Recommended Settings" raadionupp, et kaitsta automaatselt peamisi rünnatavaid programme (Internet Explorer, Microsoft Office, WordPad, Adobe Reader ja ebaturvaline, aga mõnel juhul väga vajalik Java) ja et lisada 'Certificate Trust' reeglid Microsofti ning teiste populaarsete onlain teenuste jaoks (Twitter, Facebook and Yahoo!). Seejärel kliki all nupule Finish:

Nüüd aktiveeri "Use Recommended Settings" raadionupp


8) Lõpetuseks kliki viimases aknas nupule Close - pilt.



Kaitse kohe ka kõik teised populaarsemad rakendused:

EMET ei häiri ega sega Sinu tööd, ta on nn "installeeri-EMET-ja-unusta-ta" lahendus. Kui mingi rakendus teeb midagi sellist, mis ei vasta EMET reeglitele, siis ta suletakse EMET poolt - see on tema vaikimisi seadistus. Seega EMET sulgeb automaatselt need rakendused, mis käituvad potentsiaalselt ebaturvaliselt ja ta takistab sellega pahavara aktiveerumist. Kuid seda ei tehta vaikimisi kõikide rakenduste suhtes, sest see rikuks paljude vanemate rakenduste ühildumist Windowsiga.

Kui mingi EMET poolt juba kaitstud rakendus käitub ebaturvaliselt, siis ta suletakse kohe ja ekraani paremasse allanurka ilmub vastav teade - pilt ...ja pilt. See teade kirjutatakse ka Windowsi sündmuste logisse (Windows Event Log). Nende teadete (st Windows Event Log, Tray Icon ja Early Warning) ilmumist võib konfigureerida EMET peaakna ribamenüü "Reporting" sektsioonis - vaikimisi on nad sisse lülitatud - pilt ...ja pilt.


Järgnevalt siis sellest et kuidas EMET abil kaitsta ka oma teisi rakendusi.

1) Kõigepealt tee seda Popular Software.xml faili abil. Käivita EMET kas Start menüü või siis ekraani parema allnurga kaudu, kus kliki tema ikoonile ja vali ilmuvast hüpikmenüüst Open EMET käsk:

Ilmuvast hüpikmenüüst valiti käsk Open EMET

Ilmuvast hüpikmenüüst valiti käsk Open EMET-2


Märkus: Sa võid hiljem selle EMET tarkvara ka Start Menüü kaudu avada, näiteks Windows 10 puhul siis algul 'Recently added' alt ja hiljem 'All apps' loetelust - pilt.


2) Kliki EMET graafilises kasutajaliideses vasemal ülanurgas nupule Import:

Kliki EMET graafilises kasutajaliideses vasemal ülanurgas nupule Import


3) Märgista Popular Software.xml fail ja kliki all nupule Open:

Märgista Popular Software.xml fail ja kliki all nupule Open


4) Sulge EMET ja nüüd on mõtekam kompuutri restart teha:

Sulge EMET ja nüüd on mõtekam kompuutri restart teha


Nüüd on nii Microsofti enda kui ka muud populaarsed kolmandate osapoolte tarkvarad (näiteks Firefox, Chrome, Skype, iTunes, Photoshop, Thunderbird, Opera, Google Talk, Pidgin, VLC, WinRAR, 7-Zip) automaatselt kaitstud. Sa võid näha neid installitud reegleid nii et klikid EMET aknas üeval ribamenüüs "Configuration" sektsioonis Apps nupule.



EMET graafiline kasutajaliides (GUI), tema kaitse konfigureerimine ja uute reeglite kehtestamine:

Kõik edaspidine on väga LIHTNE ja midagi keerulist siin ei ole. Aga kui Sa kardad ja ei ole arvutiasjandusega eriti kursis, siis jäta EMET rahule ning las ta jookseb vaikselt taustrežiimis, sest oma eelmiste sammudega me juba KAITSEME automaatselt nii Microsofti enda kui ka teiste populaarsete kolmandate osapoolte tarkvarasid. Kuid SOOVITAN siiski antud veebileht lõpuni lugeda, et Sa oskaksid EMET kaitse alla panna ka enda spetsiifilisi rakendusi - täpsemalt siin edaspidi. Peale selle saad siit teada ka seda et kuidas EMET abil kaitsta SSL/HTTPS saite (näiteks mingi panga, e-poe/online poe või muud SSL/HTTPS saiti, mida Sa tihti külastad) - täpsemalt siin edaspidi.


EMET tuleb pärast installimist konfigureerida, et lülitada sisse vajalikud turvameetmed. Meie tegime siin põhilise juba ära, aga uurime asja täpsemalt ja kes soovib, see saab oma süsteemi veelgi rohkem kaitsta.

a) Et konfigureerida EMET utiliiti, tuleb määrata järgmised seaded/sätted:

- millised SÜSTEEMI riskide maandamise/riskide vähendamise meetmed (system mitigations) tuleb sisse lülitada;
- millised RAKENDUSED tuleb riskide maandamise/riskide vähendamise meetmetega (mitigations) kaitsta ja millised riskide maandamise meetmed tuleb nende jaoks sisse lülitada;
- millised SSL/TLS sertifikaatide reeglid tuleb kehtestada;
- Windows 10 puhul võid ka selle uue "Block Untrusted Fonts" vahendi sisse lülitada, esmalt paned ta 'Audit' režiimile ja seejärel võid ta hiljem ka globaalselt aktiveerida - sellest oli siin eespool juba ka juttu seal.


Märkus: Ka Group Policy kaudu võib EMET jaoks nii süsteemi kui ka rakenduste turvameetmeid konfigureerida.


b) Teine meetod EMET konfigureerimiseks on Protection Profiles failide kasutamine ja nad asuvad tavaliselt C:\Program Files\EMET 5.5\Deployment\Protection Profiles kaustas. Nendeks profiilifailideks on siis Popular Software.xml, Recommended Software.xml ja CertTrust.xml failid. Meie importisime eelnevalt selle Popular Software.xml faili juba ära ja sellega konfigureerisime oma EMET tarkvara.
Need Protection Profiles on XML failid, mis sisaldavad eelkonfigureeritud EMET sätteid, mis on määratud põhiliste Microsofti ja 3. osapoolte rakenduste kaitsmiseks. Neid profiilifaile võib siis sisse lülitada (st importida nupu "Import" abil), käsitsi muuta/modifitseerida või siis kasutada uute omaenda kaitsefailide loomiseks.

c) Sa võid EMET tarkvara täiendavalt konfigureerida ka tema Configuration Wizard'i kaudu. EMET installeerimise lõpus pakub see Configuration Wizard Sul aktiveerida soovitatavate sätete komplekti ("Use Recommended Settings" raadionupp) ja ka selle tegime me juba varem ära, mäletad? Kuid Sa võid selle nõustaja ka hiljem avada, klikkides üleval ribamenüüs nupule Wizard. Juhul kui Sa konfigureerid ise käsitsi, siis võid seda Configuration Wizard'i ignoreerida (näiteks meie importisime siin selle Popular Software.xml faili ja kui me rakendame hiljem kaitse ka oma muude programmide jaoks, mis EI OLE sinna eelkonfigureeritud XML profiilifaili lisatud).


EMET graafiline kasutajaliides (GUI), kasutaja enda spetsiifiliste rakenduste jaoks EMET kaitse kehtestamine ja Certificate Trust konfigureerimine:

Käivita see EMET uuesti:

Käivita see EMET uuesti


EMET graafiline kasutajaliides:

* Tema välimust võib ribamenüü "System Settings" sektsioonis asuva "Skin: ..." rippmenüü kaudu ka muuta, vaikimisi pakutakse siin "Skin: Office 2013" välimust. Selle avatud rippmenüü kaudu saab ka uusi teemasid (Theme Skins) rakendada:

Selle avatud rippmenüü kaudu saab ka uusi teemasid (Theme Skins) rakendada


* Running Processes: Akna allosas on "Running Processes" sektsioon, mis kuvab KÕIK käesoleval momendil jooksvad protsessid (isegi need, mida EMET poolt ei kaitsta) ja ühtlasi ka need, mis on juba EMET poolt kaitstud (nende järel kuvatakse rohelisel taustal linnuke). Seda rakenduste loetelu värskendatakse iga 30 sekundi järel, aga Sa võid teda ka ise käsitsi värskendada klikkides nupule "Refresh" - pilt.

* Wizard (ribamenüü File sektsioonis): See Configuration Wizard nõustaja ilmub peale selle ka EMET installeerimise lõpus ja juhul kui Sa tegid EMET puhta installi. Siis pakutakse Sul rakendada kas soovitatavad sätted või siis konfigureerida EMET ise käsitsi. Kui Sa uuendad oma eelmist vanemat EMET versiooni, siis pakutakse Sulle siin ka juba olemasolevate sätete säilitamise varianti. Antud Configuration Wizard tuvastab automaatselt selle et kas süsteem juba omab mingeid EMET sätteid ja pakub seejärel vastavalt ka erinevaid variante (valikuvõimalusi). Kuid Sa võid antud nõustaja käivitada uuesti ka EMET peaakna 'Wizard' nupu kaudu.

* Süsteemipõhiste seadistuste/sätete konfigureerimine: EMET akna ülaosa ribamenüüs on selline sektsioon nagu "System Settings". Sa võid süsteemipõhiseid globaalseid sätteid konfigureerida kahel erineval viisil. Valida üks süsteemikaitse profiil ("Maximum Security Settings" ja "Recommended Security Settings") sellest "System Settings" sektsiooni rippmenüüst või siis teha seda ise käsitsi - pilt ...ja pilt. Pärast mõnda konfiguratsioonimuudatust tuleb Sul teha ka kompuutri või vastava tarkvara restart, sellest antakse Sulle ka teada.

!!! Juhul kui Sa kasutad seda "System Settings" sektsiooni rippmenüüd, siis soovitan Sul valida ikka see "Recommended Security Settings" profiil, sest "Maximum Security Settings" valimisel ei tarvitse osa Sinu enda programme pärast seda õieti töötada, seda just vanemate programmide puhul.


* Kasutaja enda spetsiifiliste rakenduste jaoks EMET kaitse kehtestamine: Sa võid hiljem ise käsitsi määrata ka oma muudele spetsiifilistele rakendustele EMET kaitse ("opt-in" kaitse). Seejuures võid Sa igale sellisele individuaalsele rakendusele lubada või siis välja lülitada eraldi riskide maandamise meetmed (mitigations). Näiteks Sa võid iexplore.exe jaoks määrata EMET'i kõik riskide maandamise meetmed (mitigations) ja samal ajal firefox.exe brauseri jaoks ainult näiteks SEHOP ning Mandatory ASLR kaitse. Sa võid seda teha kahel viisil:

a) Kasuta selleks ribamenüü "Apps" nuppu:

- Kliki üleval ribamenüüs 'Apps' nupule - pilt.
- Seejärel avatakse uus "Application Configuration" aken, kus näed allpool 'Mitigations' loetelus kõiki neid rakendusi, millede jaoks on EMET kaitse juba ka kehtestatud ja ka seda et millised riskide maandamise meetmed (mitigations) on igale individuaalsele rakendusele määratud (linnukesed veergudes). Et nüüd lisada siia uus rakendus, kliki üleval 'Add Application' nupule - pilt.
- Ilmub "Add Application" aken, kus otsi see vajalik programm üles, märgista ta ja kliki all nupule Open - pilt. Ja antud rakendus lisatakse EMET poolt sinna "Application Configuration" akna kaitstud rakenduste loetellu.
- Lõpetuseks kliki "Application Configuration" aknas all nupule OK ja käivita antud programm uuesti ning alles seejärel hakatakse teda EMET poolt ka reaalselt kaitsma - pilt. Seda on näha ka EMET kasutajaliidese peaakna allosas "Running Processes" sektsiooni loetelus - pilt.


Märkused: Kui Sa olid sinna "Application Configuration" akna loetellu lisanud mingu uue EMET kaitsega rakenduse, siis võid teda seal ka eraldi konfigureerida. Üleval asuva Add Wildcard nupu abil võid mingit spetsiifilist rakendust konfigureerida nii et lisad tema kaustatee jaoks metamärgid (st tärnid - *, näiteks *\Google\Chrome\Application\chrome.exe). Metamärke võib näiteks siis kasutada, kui Sa lisad siia mingi rakenduse ükskõik kus ta ka ei asuks (tema formaat on antud juhul siis *\mstsc.exe). Aga üldiselt ei ole soovitatav antud metamärki (*) kasutada, sest EMET loob sel juhul võtme kujul HKLM\SOFTWARE\Microsoft\EMET\mstsc.exe, mis sisaldab antud metamärgiga rakenduse KÕIKI eksemplare. Kuid sinna need rakendused/eksemplarid ise ei ilmu ja seega kui Sa teed selle metamärgiga rakenduse ümberinstalli või värskenduse või kasutad tema suhtes suvalist muud tegevust, mis võib põhjustada antud rakenduse UUTE eksemplaride ilmumise, siis pead tema jaoks seda 'Add Wildcard' operatsiooni kordama.

EMET ei kaitse ainult *.exe faile (st rakendusi) vaid ta võib kaitsta suvalist faili - juhul kui teda hakatakse mällu laadima. Tema jaoks hakatakse sel juhul rakendama, sõltuvalt faktilisest failitüübist, Sinu poolt määratud kaitsemehhanisme.

Sa võid mõne rakenduse jaoks ka osa kaitsemehhanisme (mitigations) välja lülitada - koristad tema järel vastavas veerus linnukese ära. Eriti VAJALIK on seda teha siis kui pärast mingi vanema programmi siia lisamist, ei hakka ta õieti tööle või siis ei käivitu üleüldse. Sel juhul korista siin tema järel KÕIK linnukesed ära ja hakka neid üksteise järel (ühekaupa) uuesti tagasi panema. Pärast iga kaitsemehhanismi lubamist, käivita see programm uuesti ja vaata kas ta hakkab tööle nii nagu vaja. Sel teel jõuad ka viga põhjustanud riskide maandamise meetmeni (mitigation) ja jäta see siis sisse lülitamata.



b) Kasuta selleks EMET peaakna "Running Processes" sektsiooni käivitatud rakenduste / protsesside loetelu abi:

Märkus: Edaspidi kasutatakse siin juhises EMET tarkvara varasema versiooni pilte, aga vahet pole....


- Tee siin loetelus vajalikul rakendusel / protsessil paremklikk ja vali kontekstmenüüst 'Configure Process...' käsk - pilt.
- Ilmub "Application Configuration" aken, kus näed siis ka antud rakendust, millele on juba vaikimisi määratud kõik EMET kaitsemehhanismid (kõikides veergudes on "linnukesed"). Kliki all nupule OK, sulge antud rakendus ja käivita ta uuesti. Juhul kui see programm ei käivitu või kui temaga tekivad muud probleemid või kui tema käivitamisel ilmub Windowsi enda veateade (pilt), siis annuleeri tema jaoks osa EMET kaitsemehhanisme. Üks moodus sellise riskide vähendamise meetme tuvastamiseks, mis põhjustab antud probleemi, on alustada sellega et lubada antud rakendusele esmalt KÕIK riskide maandamised ("Application Configuration" aknas olgu kõikides ruutudes linnukesed). Seejärel lülitada nad järjest ühekaupa välja (koristada linnuke ära) ja pärast igat väljalülitamist käivitada see probleemne rakendus uuesti. Teha seda seni, kuni see rakendus stardib ja töötab normaalselt ning ei jookse kokku. Pärast seda kui Sa olid tuvastanud selle mitteühilduva riskide vähendamise meetme (mitigation), lülita ta siin "Application Configuration" aknas lõplikult välja ja luba kõik ülejäänud turvameetmed - pilt.



* Certificate Trust (kinnistatud reeglite) konfigureerimine: Alates Microsoft EMET 4.0 versioonist ilmus ka üks uus väga tõsine kaitsesüsteem - Certificate Trust. Antud mehhanism takistab faktiliselt MitM (Man-in-the-Middle) klassi rünnakute teostamist, mis kujutavad endist sertifikaatide võltsimisi. Selliseid rünnakuid kasutatakse üsna tihti ka korporatiivsetes võrkudes, et hõivata ja analüüsida kaitstud trafikat (selle tegevuse nimeks on tavaliselt "SSL Proxying"). Kui Sa installeerid EMET tarkvara nii nagu sellest siin juttu oli, siis lülitatakse antud Certificate Trust tehnoloogia automaatselt sisse ja Sa näed seda ka EMET kasutajaliidese avaaknas - pilt.
See vahend on saadaval ainult Internet Explorer brauseri jaoks ja siis kui ta jookseb Desktop režiimis (seda Win 8 /8.1 jooksutamisel). Teda ei saa kasutada Modern Internet Explorer appi jaoks (jälle Win 8 /8.1 puhul). Kui Sa tegutsesid nii nagu siin eelpool juttu oli, siis on see vahend juba sisse lülitatud. Muid kaitsemehhanisme ei nõuta, et kasutada seda Certificate Trust vahendit. (Tulevikus saab selle toe võib olla ka Windows 10 süsteemi vaikimisi Edge brauser.)
Sa võid ka ise konfigureerida SSL/TLS sertifikaadi kinnistatud reeglit või siis lisada veebsaite, mida tuleb kaitsta, ise juurde ja kinnistada nende saitide jaoks juba olemasoleva reegli. Et mingit vajalikku veebsaiti (näiteks mingi panga, e-poe/online poe või muu SSL/HTTPS saidi, mida Sa külastad) juurde lisada, tee järgmist:

- Kliki EMET peaaknas üleval ribamenüüs 'Trust' nupule - pilt.
- Uues 'Certificate Trust Configuration' aknas näed Sa 'Protected Websites' vahelehel juba olemasolevaid EMET poolt kaitstud veebsaitide loetelu. Kliki siin üleval 'Add Website' nupule - pilt.
- Nüüd tipi antud veebsaidi täielik domeeni nimi, see mis tuuakse ära ka tema SSL sertifikaadis (see nimi peab olema unikaalne ja igasugused metamärgid või muud sümbolid ei ole lubatud) - pilt. [Märkus: selle veebsaidi domeeni nime saad teada tema sertifikaatide (Certificate) dialoogiaknas - pilt.]
- Seejärel määra antud veebsaidile 'Pin Rule' (kinnistatud reegel). Ava 'Pinning Rules' vaheleht ja et genereerida uut reeglit, kliki siin üleval 'Add Rule' nupule - pilt.
- Pärast 'Add Rule' nupule klikkimist, tipi all uuel real esimesse lahtrisse (veerus 'Name') antud reegli jaoks unikaalne nimi. Sellele saad hiljem ligi 'Protected Websites' vahelehe kaudu - pilt.
- Sul tuleb siin oma uue veebsaidi jaoks määrata vähemalt kolm (3) esimest parameetrit. Seega järgmisena kliki siin teises lahtris noolekesele, et defineerida ja importida komplekt usaldusväärseid Certification Authorities (Trusted Root Certification Authorities kaustast). Kuna see avanev kast on tühi, siis kliki nupule 'Import' - pilt. Seejärel märgista nupu 'Mark' abil üks või mitu usaldusväärset juurserte väljastavad sertimiskeskust ja need muutuvad seejärel halliks (antud juhul märgistati siin mitu VeriSign sertimiskeskust, sest Swedbank sai neilt sertifikaadi + valiti lisaks veel paar sertimiskeskust) - pilt . Kui valmis, siis kliki nupule 'Import' - pilt.
- Lõpuks määra siin kolmandas lahtris antud reegli aegumise daatum, näiteks panga puhul saad tema sertifikaadi aegumise kuupäeva teada 'Certificate' dialoogiakna 'General' või siis 'Details' vahelehelt. Kui selle reegli kehtimise aeg saab täis, siis teda ignoreeritakse ja EMET Agent teavitab Sind antud reegli aegumisest - pilt. Ja uus reegel saigi loodud - pilt.
- Kui see reegel on defineeritud, siis ava uuesti see 'Protected Websites' vaheleht/tab ja määra oma uuele veebsaidile antud reegel (veerus 'Pin Rule') - pilt. Kui valmis, siis kliki lõpetuseks ja kinnituseks all nupule OK - pilt.

"Protected Websites" ja "Pinning Rules" kirjeid võib vajadusel ka ära kustutada klikkides tabelis vastavale kirjele ning seejärel klikkides "Remove Website" või "Remove Rule" nupule. Reegli võib kustutada ainult siis kui teda ei kasutata ühegi veebsaidi poolt.



!!! DEP: Kui Sa konfigureerid süsteemisätteid DEP jaoks, siis muudetakse ka Windowsi buutimise parameetreid. Need, kes kasutavad ka BitLocker vahendit, peavad järgmisel buutimisel omama kohe käepärast võtta seda taastamisvõtit (recovery key).



Probleemid ja küsimused:

1) Kui mõni Sinu poolt EMET kaitse alla pandud rakendus ei käivitu pärast seda õieti või kui ta kukub pidevalt "pange" või kui ta ei funksioneeri enam normaalselt.

See juhtub tavaliselt siis kui antud rakendus ei ühildu mõne EMET riskide maandamise/riskide vähendamise meetmega (mitigation). Üks moodus sellise riskide vähendamise meetme tuvastamiseks, mis põhjustab antud probleemi, on alustada sellega et lubada antud rakendusele esmalt KÕIK riskide maandamised ("Application Configuration" aknas olgu kõikides ruutudes linnukesed). Seejärel lülitada nad järjest ühekaupa välja (koristada linnuke ära) ja pärast igat väljalülitamist käivitada see probleemne rakendus uuesti. Teha seda seni, kuni see rakendus stardib ja töötab normaalselt ning ei jookse kokku. Pärast seda kui Sa olid tuvastanud selle mitteühilduva riskide vähendamise meetme (mitigation), lülita ta siin "Application Configuration" aknas lõplikult välja ja luba kõik ülejäänud turvameetmed.

Alumisel pildil on näiteks GreatNews rakenduse jaoks esmalt kõik turvavahendid sisse lülitatud ja seejärel hakkame neid ükshaaval välja lülitama...:

Sellel pildil on näiteks GreatNews rakenduse jaoks esmalt kõik turvavahendid sisse lülitatud ja seejärel hakkame neid ükshaaval välja lülitama...


1A) Veelgi kiiremaks meetodiks mingi tarkvara ja EMET vahendi konflikti lahendamisel on vaadata EMET teates (teadetes) vaadata seda et nimelt milline EMET maandamise/riskide vähendamise meede (mitigation) selle konflikti põhjustab ja seejärel antud meede EMET vahendis "Apps" all välja lülitada. Näide Chrome brauseri puhul:

* Kui Sa käivitad Chrome, siis Sa ei saa seda brauserit kasutada ja EMET väljastab järgmised teated, kust on näha, et konflikti allikaks on just see EAF+ riskide vähendamise meede:

Kui Sa käivitad Chrome, siis Sa ei saa seda brauserit kasutada ja EMET väljastab järgmised teated, kust on näha, et konflikti allikaks on just see EAF+ riskide vähendamise meede


* Et antud probleemi lahendada, ava EMET instrument, seejärel ava tema "Apps" vaheleht ja lülita Chrome jaoks see EAF+ meede välja:

Et antud probleemi lahendada, ava EMET instrument, seejärel ava tema "Apps" vaheleht ja lülita Chrome jaoks see EAF+ meede välja


2) Kui mingi spetsiifiline programm (näiteks video pleier, konverter, VOIP programm) jookseb EAF turvameetmega alati kokku:

See on eelmise probleemiga sarnane probleem. Siin lülita antud rakenduse jaoks see EAF mitigation lihtsalt välja, st korista "Application Configuration" aknas see EAF linnuke ära ja ülejäänud jäta sisse lülitatuks.


3) Kui Sul on EMET vanem versioon ja Sa tahad teda asendada uuema versiooniga (näiteks EMET 5.5 versiooniga):

Siin on soovitatav esmalt see vana versioon uninstallida. Seejärel eemalda Registry Editor konsoolis käsitsi HKLM\Software\Microsoft\EMET ja HKLM\Software\Policies\Microsoft\EMET võtmed (seda juhul kui need pärast EMET uninstallimist alles jäeti); tee seda enne kui Sa käivitad uuema EMET 5.5 installeerija.


4) Kas ka pluginid kaitstakse kui ma kaitsen rakenduse?

Jah, neid kaitstakse ja EMET kaitse alla lähevad näiteks sellised pluginid nagu ActiveX juhtelemendid, kolmandate osapoolte lisandmoodulid (add-ins) jne.


5) Kuidas kiiresti testida, et kas minu EMET üldse töötab ja kaitseb mind?

Üldiselt ei ole teda vaja testida, sest ta töötab ja turvab Sinu süsteemi. Aga kui oled kahtleja, siis toon siin ühe lihtsa näite: Ava näiteks Microsoft Excel (või mingi muu tabelarvutus- ja tabeltöötlusprogramm) ja oletades, et ta on Sul EMET programmis tema poolt kaitstavate rakenduste loetellu ikka lülitatud (pilt), siis luba Excel'il (või mingi muul tabelarvutus- ja tabeltöötlusprogrammil) makrosid kasutada. Excel rakenduses saad makrode kasutamise sisse lülitada antud tarkvara ülal vasemal nurgas asuva logoga nupu kaudu: näiteks Microsoft Excel 2007 programmis avad selle logoga nupu kaudu 'Excel Options -> Trusted Center -> Trusted Center Settings... -> Macro Settings' akna ja aktiveerid seal 'Enable all macros...' parameetri - pilt.

Seejärel kui Sa avad oma Excel tarkvara ja käivitad temas mingi enda makro või seda teeb spetsiaalne pahavara, siis ilmub EMET hoiatus, makrodel ei lasta käivituda ning Sinu Excel programm jooksutatakse kinni:

EMET hoiatus


Sinu Excel programm jooksutatakse kinni


Aga kuida siis enda või oma kaastöötajate poolt loodud makrosid lubada? Tee järgmist:

* Lülita EMET tarkvaras Excel tabeltöötlusprogrammi jaoks see DEP turvariskide maandamise funktsiooni välja. Võib olla pead tema jaoks seal ka mingi muu turvariskide maandamise funktsiooni välja lülitama - ise katsetad.
* Ava Excel programm ja aktiveeri tema sätete/seadistuste sellessamas eelpool nimetatud "... -> Trusted Center -> Macro Settings' aknas see "Disable all macros with notification" parameeter.
* Ja nüüd kui Sa avad mingi enda või oma töökaaslaste poolt loodud makrodega Excel tabeli/töövihiku, siis neid makrosid ei blokeerita EMET poolt ja Excel ise väljastab siis vastava teate/hoiatuse - sel juhul luba nende makrode käivitamine.
* Kui aga selline hoiatus ilmub ootamatult mingi muu Excel tabeli/töövihiku avamisel, siis on tegu arvatavasti pahavaraga. Blokeeri antud tabelis makrode käivitamine ja asu pahavara elimineerima (koos selle tabeliga).
* Ära lae Internetist alla ühtegi võõrast (tundmatut) Excel faili. See käib ka kõikide muude tundmatute failide kohta.



KOKKUVÕTTEKS: EMET on väga hea täiendav turvavahend, näiteks kasvõi ainuüksi nende 0-päeva rünnakutre eest. Ka on tema install ja kasutamine väga lihtne ning kasutajasõbralik. Temaga ei ilmu neid pidevaid teateid ja väljakargavaid aknaid, mis kaasnevad igasuguste pahavaratõrje programmidega. Paigalda EMET juba täna või homme :-)

EMET on küll väga hea ja vajalik, aga ta on Sinu süsteemi jaoks ainult TÄIENDAVAKS kaitsemehhanismiks. Sa pead temale lisaks kasutama ka pahavaratõrje programmi, laadima regulaarselt alla kõik värskendused, töötama turvalise brauseriga jne, jne. Alates 2014. a. aprillist on EMET lausa hädavajalik ka Windows XP jooksutajatele, sest siis kaob antud opsüsteemile Microsofti poolne tugi.

Etteotsa




< Tagasi Windows 7 pealehele ja sisukorda

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju | About Us | About Me | Site Map | POSTKASTI EI OLE! Sorry, no mailbox | © Ahv & Co Eesti Vabariik nov. 2008