Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows

รีวิว Microsoft EMET v4 &บทช่วยสอนมากมาย

ถึงตอนนี้ คุณทราบแล้วว่า Microsoft Enhanced Mitigation Experience Toolkit เป็นซอฟต์แวร์รักษาความปลอดภัยที่ดีที่สุดสำหรับระบบปฏิบัติการ Windows เหตุผลมีมากมาย โดยทั่วไปแล้ว การตั้งค่าทำได้ง่ายและโปร่งใส และไม่มีคำถามที่งี่เง่า แจกฟรี. และมีประสิทธิภาพในสิ่งที่ทำ ไม่ได้หยุดคุณจากการเป็นคนโง่ แต่หยุดซอฟต์แวร์ไม่ให้ทำงานผิดปกติ และนั่นคือสิ่งที่ทำให้มันยอดเยี่ยม และนี่คือเหตุผลว่าทำไมมันถึงได้รับความสนใจน้อยมากในโลกของการจ่ายเงินเพื่อความปลอดภัย

ตอนนี้เวอร์ชันสาธารณะตัวแรกออกมาแล้ว โดยมีหมายเลข 4.0 จริงอยู่ เวอร์ชันก่อนหน้านี้ก็ใช้งานได้เช่นกัน แต่เป็นเวอร์ชันระหว่างกาลของเบต้าสแลช ซึ่งมีไว้สำหรับ geeks เป็นหลัก อันนี้คนปกติก็ใช้ได้เหมือนกัน ให้ฉันพยายามให้ภาพรวมรวมถึงบทช่วยสอนที่มีรายละเอียดเล็กน้อยซึ่งจะช่วยให้คุณใช้งานและใช้งาน EMET ในการตั้งค่าความปลอดภัยได้อย่างง่ายดาย หลังจากฉัน.

การติดตั้ง

การติดตั้งค่อนข้างเล็กน้อย แต่มีสิ่งหนึ่งที่คุณต้องคำนึงถึง EMET v4 ต้องการ Microsoft .NET Framework v4 บทกวีเป็นอย่างไร แน่นอน คุณจะต้องติดตั้งอันนี้ก่อนจึงจะสามารถใช้รุ่นล่าสุดได้

ถัดไป เพียงคลิกผ่านวิซาร์ดให้เร็วที่สุดเท่าที่จะทำได้ โดยไม่ต้องอ่านรายละเอียดใดๆ อย่างจริงจังมันเป็นเรื่องง่าย ขั้นตอนหนึ่งที่คุณควรใส่ใจคือวิซาร์ดหลังการติดตั้งขั้นตอนแรก

วิซาร์ดการกำหนดค่าช่วยให้คุณกำหนดค่า EMET ได้ก่อนที่จะเปิดใช้งานในครั้งแรก และนี่เป็นขั้นตอนที่แนะนำสำหรับผู้ใช้ส่วนใหญ่ ตามที่ระบุไว้อย่างชัดเจน จะรีเซ็ตการตั้งค่าแอปพลิเคชันจากการติดตั้งครั้งก่อน เพิ่มการป้องกันสำหรับโปรแกรมที่ใช้บ่อยและมีเป้าหมายทั่วไปจำนวนหนึ่ง รวมถึง Internet Explorer, Adobe Reader และ Oracle Java เพิ่มกฎความน่าเชื่อถือสำหรับบริการออนไลน์ยอดนิยม ในเบราว์เซอร์ของคุณ และสุดท้าย เปิดใช้งานการรายงานโดยละเอียดผ่านสิ่งอำนวยความสะดวกบันทึกระบบ คำแนะนำของฉันคือการทำเช่นนี้ เพราะจะไม่เสียหาย และคนส่วนใหญ่จะกำหนดการตั้งค่าเดียวกันนี้ด้วยตนเองอยู่ดี นอกจากนี้ คุณยังสามารถเรียกใช้วิซาร์ดใหม่ได้ตลอดเวลา

ขั้นตอนแรกและการกำหนดค่าพื้นฐาน

เมื่อวิซาร์ดเสร็จสมบูรณ์ EMET จะเริ่มทำงาน มาประเมินอินเทอร์เฟซผู้ใช้และฟังก์ชันต่างๆ กัน เราจะไปทางซ้ายไปขวา บนลงล่าง หากคุณเคยใช้ EMET มาก่อน การตั้งค่าจะคุ้นเคย แต่จะจัดเรียงในลักษณะที่แตกต่างกัน

นำเข้า/ส่งออก &การกำหนดค่า

ปุ่มนำเข้าและส่งออกช่วยให้คุณสามารถบันทึกและเรียกข้อมูลการกำหนดค่า EMET ที่มีอยู่ ไฟล์เหล่านี้จะเป็นไฟล์ XML ที่จัดเก็บการตั้งค่าและกฎการใช้งานของคุณ ขอแนะนำให้บันทึกการกำหนดค่าของคุณก่อนที่จะทำการเปลี่ยนแปลงครั้งใหญ่หรือเรียกใช้วิซาร์ดอีกครั้ง เนื่องจากคุณสามารถรีเซ็ตการตั้งค่าทั้งหมดได้ เราได้กล่าวถึงกฎการนำเข้า/ส่งออกในการตรวจสอบ EMET รุ่น 3.5 TP ก่อนหน้านี้ สำหรับการใช้งานจริงทั้งหมด นี่เป็นเพียงการบันทึก/เปิดที่เทียบเท่ากับซอฟต์แวร์ทั่วไป

ปุ่มแอพจะเปิดหน้าต่างที่คุณสามารถกำหนดค่าโปรแกรมของคุณ เพิ่มเติมเกี่ยวกับเรื่องนั้นในภายหลัง ปุ่ม Trust จะเปิดหน้าต่างที่คุณสามารถกำหนดค่าใบรับรองสำหรับบริการออนไลน์ได้ เร็วๆ นี้.

โปรไฟล์และการรายงาน

สำหรับผู้ที่สงสัยว่า โปรไฟล์เป็นเพียงชุดของการตั้งค่า จัดเก็บในรูปแบบ XML และจะมีกฎบางอย่างสำหรับเครื่องของคุณ อย่างไรก็ตาม จะส่งผลต่อพฤติกรรมของทั้งระบบเมื่อนำไปใช้ คุณสามารถสลับระหว่างการตั้งค่าที่มีอยู่ ซึ่งจะมีป้ายกำกับว่ากำหนดเอง และอีกสองรายการที่ระบุว่าแนะนำและสูงสุด

โปรไฟล์ที่แนะนำจะตั้งค่าการบรรเทาในลักษณะที่ Microsoft เห็นว่ารบกวนน้อยที่สุดในขณะที่ให้ความปลอดภัยที่ดี โปรไฟล์สูงสุดจะสลับตัวเลือกทั้งหมดเป็นเปิด ซึ่งหมายความว่าซอฟต์แวร์ที่เข้ากันไม่ได้อาจเสียหายหรือขัดข้อง

อันที่จริง ฉันไม่แนะนำให้ใช้โปรไฟล์สูงสุด เพราะมันเข้มงวดเกินไป มีแอปพลิเคชันจำนวนมากเกินไปที่ไม่ได้เข้ารหัสและคอมไพล์ด้วยวิธีที่ถือว่าปลอดภัยและเป็นไปตามข้อกำหนด และอาจพบลักษณะการทำงานแปลกๆ เมื่ออยู่ภายใต้การลดทอน

ตัวอย่างเช่น Google Chrome อาจประสบปัญหาแย่จัง! ข้อผิดพลาด VLC Player จะไม่สามารถอัปเดตอัตโนมัติเมื่อเปิดใช้งานการบรรเทาทั้งหมด ในอดีต ก่อนที่ Microsoft จะเข้าซื้อกิจการ Skype จะใช้งานได้ไม่ดีนักเมื่อเปิดใช้งานตัวเลือกบางอย่าง เร็วๆ นี้เราจะอธิบายรายละเอียดเพิ่มเติมเกี่ยวกับการตั้งค่าประเภทต่างๆ และสิ่งที่อาจทำหรือไม่ทำเมื่อเปิดและปิด สุดท้ายนี้ คุณสามารถเปลี่ยนสกินของแอปพลิเคชันได้ แต่นั่นก็เป็นเรื่องไร้สาระ

การรายงานเป็นประเภทที่สี่จากด้านซ้าย และครอบคลุมข้อความที่คุณอาจเห็นเมื่อ EMET เข้ามาดำเนินการ คุณจะสามารถเห็นป๊อปอัปบนเดสก์ท็อปเมื่อเปิดใช้งานการลดขนาด และคุณจะพบรายการในบันทึกเหตุการณ์ เพื่อเป็นการเตือนความจำ ต่อไปนี้คือภาพหน้าจอบางส่วนจากการตรวจสอบ EMET ก่อนหน้านี้ ซึ่งเน้นฟังก์ชันการทำงาน:

สถานะของระบบ

ตอนนี้เราจะหารือเกี่ยวกับฟิลด์สถานะระบบ โดยแสดงรายการการลดผลกระทบสี่ประเภทสำหรับซอฟต์แวร์ของคุณ ตามค่าเริ่มต้นคุณจะเห็นรูปภาพด้านล่างซึ่งค่อนข้างอนุญาต หมายความว่าโปรแกรมที่สามารถใช้ DEP และ ASLR จะใช้โปรแกรมเหล่านั้น จะไม่มีการป้องกัน SEHOP เปิดใช้งานตามค่าเริ่มต้น และเปิดใช้งาน Certificate Trust

ตอนนี้คุณอาจถามว่าคำย่อเหล่านี้ย่อมาจากอะไร และคำตอบคือฉันจะไม่บอกคุณ เพราะสิ่งเหล่านี้ไม่มีความหมายสำหรับใครก็ตามที่ไม่ใช่โปรแกรมเมอร์หรือไม่ได้เรียนวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัย สำหรับเรื่องนั้น เราอาจหารือเกี่ยวกับเคอร์เนล ตัวกำหนดตารางเวลา การจัดการหน่วยความจำ พื้นที่ประมวลผล และอื่น ๆ ทั้งหมด

สำหรับคนทั่วไป สิ่งที่คุณจำเป็นต้องรู้มีดังต่อไปนี้:การลดผลกระทบเหล่านี้จะส่งผลกระทบต่อซอฟต์แวร์ของคุณในท้ายที่สุด ดังนั้นสิ่งเดียวที่คุณควรใส่ใจคือการทำงานที่เหมาะสมและถูกต้องของระบบของคุณ ระหว่างการตั้งค่าสูงสุดและการตั้งค่าอนุญาต ตามที่กำหนดโดยโปรไฟล์ต่างๆ มีตัวเลือกมากมายที่คุณสามารถใช้ได้

หากตั้งค่าการบรรเทาเป็นปิดใช้งาน ระบบจะไม่ใช้ Opt In จะเปิดใช้งานการบรรเทาเฉพาะสำหรับไฟล์ระบบ ไบนารี และฟังก์ชันเฉพาะ และจะขึ้นอยู่กับคุณลักษณะที่ระบบปฏิบัติการของคุณรองรับ BIOS ตลอดจนแอปพลิเคชัน

การเลือกไม่ใช้มีความเข้มงวดมากขึ้น และจะพยายามใช้การบรรเทาทั้งหมดกับแอปพลิเคชันทั้งหมด เว้นแต่คุณจะเลือกยกเลิกการเลือกฟังก์ชันการทำงานสำหรับโปรแกรมที่ไม่รองรับหรือทำงานผิดปกติบางโปรแกรมโดยเฉพาะ สุดท้าย เปิดตลอดเวลาจะเปิดใช้งานการบรรเทา โดยไม่มีความสามารถในการรีเซ็ต ตามหนังสือแล้ว โปรแกรมนี้ปลอดภัยที่สุดและมีปัญหามากที่สุด เพราะคุณอาจจบลงด้วยการล่มมากเกินไปสำหรับโปรแกรมที่ถูกกฎหมายของคุณ

คำแนะนำ:เริ่มต้นด้วยโปรไฟล์ที่แนะนำ หรือหากคุณมีทักษะเพียงพอ การกำหนดค่าของคุณเอง สูงสุด ควรปล่อยการตั้งค่าไว้จนกว่าคุณจะทราบวิธีการใช้ EMET อย่างถูกต้องและด้วยความมั่นใจ ประการสุดท้าย ความเชื่อถือของใบรับรองนั้นค่อนข้างง่าย เปิดใช้งานหรือปิดใช้งาน

กระบวนการทำงาน

ตารางนี้แสดงตารางกระบวนการของคุณและสถานะสำหรับแต่ละรายการ ไม่ว่า EMET จะครอบคลุมหรือไม่ก็ตาม ในขั้นตอนนี้ไม่สำคัญมากนัก แต่ต่อไปเราจะตรวจสอบว่าการลดผลกระทบของเรามีผลอย่างไร

แอพพลิเคชั่น

จนถึงขณะนี้เราได้กำหนดค่าระบบแล้ว จากนั้น เราเลือกโปรไฟล์ที่ต้องการ ซึ่งจะสลับเปิด/ปิดการบรรเทาเฉพาะและระดับของไฟล์ระบบหลัก และกำหนดลักษณะการทำงานเริ่มต้น ตอนนี้ได้เวลากำหนดค่าแอปพลิเคชันแล้ว

นอกเหนือจากลักษณะการทำงานทั่วไปที่ควบคุมโดย DEP, ASLR, SEHOP และการบรรเทาอื่นๆ แล้ว คุณสามารถปรับแต่งการป้องกันระบบได้อย่างละเอียดตามกฎแอปพลิเคชันสำหรับโปรแกรมของคุณ สามารถเข้าถึงได้โดยปุ่ม Apps ในแถบเครื่องมือของโปรแกรม

อีกครั้ง เรามาทบทวนสิ่งที่เรามีที่นี่โดยสังเขป ส่งออกและส่งออกที่เลือก ช่วยให้คุณสามารถบันทึกกฎสำหรับแอปพลิเคชันของคุณ Add Application จะเปิดตัวช่วยสร้างซึ่งคุณสามารถค้นหาโปรแกรมเฉพาะตามเส้นทางแบบเต็มได้ Add Wildcard ช่วยให้คุณระบุวลีทั่วไปได้ และครอบคลุมโปรแกรมทั้งหมดที่ตรงกับวลีนั้น

ตัวอย่างเช่น มี Internet Explorer อยู่สองเวอร์ชัน ทั้งแบบ 32 บิตและ 64 บิต หากคุณใช้เส้นทางแบบเต็ม คุณจะต้องระบุกฎสองข้อ ตัวเลือกตัวแทนจะครอบคลุมทั้งสองอย่าง คุณสามารถสลับตัวเลือกแสดงเส้นทางแบบเต็มเพื่อดูว่ากฎของคุณมีลักษณะอย่างไร

โปรดทราบว่าการตั้งค่าที่แนะนำ ซึ่งเปิดใช้งานโดยวิซาร์ดครั้งแรกทั้งหมดใช้สัญลักษณ์แทน ซึ่งทำให้ปรับใช้และควบคุมได้ง่ายขึ้น ในไม่ช้าเราจะหารือเกี่ยวกับการบริหารมวลชน

การดำเนินการเริ่มต้นจะควบคุมพฤติกรรมของแอปพลิเคชัน ไม่ว่าจะเป็นการบันทึก เช่น การตรวจสอบ หรือหยุดกระบวนการทำงานเมื่อพบช่องโหว่ และโปรดทราบว่านี่ไม่ได้แปลว่ามัลแวร์เสมอไป เพียงแต่เป็นคำสั่งที่ผิดกฎหมายใดๆ ที่ถูกแบนโดยการบรรเทา

สุดท้าย ภายใต้การตั้งค่าการลดระดับ คุณสามารถตรวจสอบเปิด/ปิดการลดประเภทต่างๆ รวมถึง Deep Hooks ซึ่งปิดใช้งานตามค่าเริ่มต้นในโปรไฟล์ที่แนะนำ การป้องกันการออกนอกเส้นทาง และฟังก์ชันห้าม คุณสามารถถือว่าสิ่งเหล่านี้เป็นเหมือนจอกศักดิ์สิทธิ์ของการฝึกเขียนโค้ดอย่างมีเหตุผล หากคุณต้องการ

ฟิลด์ Mitigations จะแสดงรายการแอปพลิเคชันทั้งหมดที่ครอบคลุม รวมถึงแอปพลิเคชันที่เพิ่มด้วยตนเอง นำเข้า หรือปรุงโดยวิซาร์ด การบรรเทามีสามประเภท ได้แก่ หน่วยความจำ ROP และอื่น ๆ อีกครั้ง มันไม่มีความหมายที่จะพยายามอธิบายสิ่งเหล่านี้หากคุณไม่รู้หรือเข้าใจว่าเคอร์เนลทำงานอย่างไร ตัวอย่างเช่น คุณรู้หรือไม่ว่าโค้ด ข้อมูล หรือฮีปคืออะไร สแต็คคืออะไร? การเรียกระบบคืออะไร? คุณรู้หรือไม่ว่าตัวชี้คำสั่งอาจมีลักษณะอย่างไรบนสถาปัตยกรรม x86 หากคำตอบข้อใดข้อหนึ่งคือไม่ คุณก็ไม่จำเป็นต้องทราบข้อมูลภายในของการบรรเทาผลกระทบเหล่านี้

เพียงถือว่าสิ่งเหล่านี้เป็นหนึ่งในการตั้งค่าที่จะส่งผลต่อลักษณะการทำงานของโปรแกรมของคุณ หากใช้งานได้ดี ให้ปล่อยไว้ถ้าไม่ปิด ทีละรายการ จนกว่าคุณจะทราบว่าปัญหาอาจอยู่ที่ใด แต่เพิ่มเติมเกี่ยวกับเรื่องนั้นในภายหลัง

รีวิว Microsoft EMET v4 &บทช่วยสอนมากมาย

เพิ่มแอปพลิเคชันแล้ว

หลังจากที่คุณเพิ่มแอปพลิเคชันของคุณเอง ซึ่งอาจไม่ได้แสดงอยู่ที่นี่ คุณอาจต้องรีสตาร์ทโปรแกรมเพื่อโหลดด้วย hooks ของ EMET เราได้เห็นตัวอย่างนี้ในบทความแรก และวิธีใช้ Process Explorer เพื่อตรวจสอบสิ่งนี้

ความน่าเชื่อถือของใบรับรอง

ส่วนนี้ช่วยให้คุณกำหนดค่าเว็บไซต์ที่ควรครอบคลุมโดยใบรับรอง เพื่อให้คุณเชื่อถือพฤติกรรมของเว็บไซต์เหล่านั้น เพื่อไม่ให้การบรรเทาผลกระทบเข้ามาและทำลายเนื้อหาของคุณในสิ่งที่เรียกว่าการกระทำเชิงบวกที่ผิดพลาด

คุณสามารถส่งออกกฎของคุณได้อีกครั้ง คุณสามารถเพิ่มหรือลบเว็บไซต์ได้ เมื่อคุณกำหนดค่าแล้ว ไซต์เหล่านั้นจะแสดงรายการในตารางเว็บไซต์ที่ได้รับการป้องกันด้านล่าง และจะรวมกฎพินไว้ด้วย ซึ่งหมายความว่าไซต์จะเชื่อถือได้ก็ต่อเมื่อมีการเซ็นชื่อแบบดิจิทัลโดยผู้ออกใบรับรองที่แสดงในกฎ คุณสามารถใช้เมนูแบบเลื่อนลงเพื่อเปลี่ยนกฎได้ แต่ฉันไม่แนะนำอย่างยิ่ง เทียบเท่ากับการแก้ไขใบรับรองดิจิทัลในเบราว์เซอร์ของคุณด้วยตนเอง

กฎการปักหมุดช่วยให้คุณปรับแต่งเอฟเฟกต์ได้อย่างละเอียด ตัวอย่างเช่น วันหมดอายุ ประเทศที่ใช้ แฮชที่ถูกบล็อก การจับคู่คีย์สาธารณะ และอื่นๆ ด้วยเหตุผลที่ดี การตั้งค่าเหล่านี้ส่วนใหญ่ไม่มีผล ซึ่งหมายความว่าจะใช้ค่าเริ่มต้นของใบรับรองโดยไม่มีการกรองใดๆ คำแนะนำที่อบอุ่นที่สุดของฉันคืออย่าเล่นซอกับสิ่งเหล่านี้เลย


แนวทางปฏิบัติที่ปลอดภัย

คำถามที่ยุ่งยากที่สุดคือ คุณจะใช้ EMET อย่างชาญฉลาดได้อย่างไร หากต้องลงเอยด้วยการเปลี่ยนแปลงและการปรับแต่งด้วยตนเอง คุณจะทำให้ซอฟต์แวร์ความปลอดภัยของคุณใช้ไม่ได้ เพราะคุณจะกลายเป็นตัวเชื่อมที่อ่อนแอที่สุดในห่วงโซ่ คุณต้องการให้ EMET v4 ทำงานได้อย่างราบรื่นและไม่มีการหยุดชะงักใดๆ ต้องมีความโปร่งใสอย่างสมบูรณ์ และสิ่งเดียวที่คุณอาจสนใจคือข้อยกเว้นเป็นครั้งคราว เช่น VLC, Skype เป็นต้น

กลับไปที่คำแนะนำก่อนหน้าของฉัน ใช้วิซาร์ดครั้งแรก ใช้การตั้งค่าที่แนะนำ เพิ่มโปรแกรมของคุณเอง ตรวจสอบให้แน่ใจว่าทุกอย่างทำงานและทำงานตามที่คาดไว้ ปล่อยให้เคี่ยวสักครู่ เมื่อคุณมั่นใจแล้ว คุณสามารถปรับปรุงทีละเล็กละน้อย ทีละขั้นตอน และตรวจสอบซอฟต์แวร์ทั้งหมดของคุณอย่างรอบคอบ หากโปรแกรมหยุดทำงานหรือทำงานไม่ถูกต้อง ให้เริ่มปิดใช้งานการลดผลกระทบ ทีละรายการ จนกว่าคุณจะไปถึงระดับต่ำสุดที่อนุญาตให้ทำงานได้ดี

สิ่งนี้อาจน่าเบื่อ แต่อย่าท้อแท้ ประสบการณ์ของฉันแสดงให้เห็นว่ามีเพียงหนึ่งหรือสองโปรแกรมเท่านั้นที่จะต้องปรับเปลี่ยนเป็นครั้งคราว หากเคย นึกถึง VLC, Chrome และ Skype และฉันไม่เคยเจอโปรแกรมอื่นใดที่ทำงานได้ไม่ดี

เกี่ยวกับ Certificate Trust นี่เป็นคุณลักษณะใหม่และอาจเป็นเพียงการทดลอง ซึ่งมุ่งเน้นที่การผสานรวมของเว็บและแอป และสิ่งที่คอมโบสามารถทำได้บนโฮสต์ภายในเครื่องของคุณ กล่าวอีกนัยหนึ่ง ซอฟต์แวร์ที่ซื้อผ่านร้านแอปและ/หรือทำงานเป็นเว็บแอปอาจมีความเสี่ยงในการเปลี่ยนแปลงระบบของคุณหรือถูกโจมตีได้ง่ายหากเขียนโค้ดไม่ดี ในทางกลับกัน คุณสามารถทำร้ายประสบการณ์ของผู้ใช้อย่างร้ายแรงได้หากการลดผลกระทบนั้นรุนแรงเกินไป ซึ่งเป็นที่มาของแนวคิดเรื่องความไว้วางใจ

ประสบการณ์สั้น ๆ ของฉันที่นี่แสดงให้เห็นว่าการตั้งค่าเริ่มต้นนั้นดีพอ ยิ่งไปกว่านั้น การรักษาความปลอดภัยเพิ่มเติมของเบราว์เซอร์สามารถทำได้ผ่านการใช้ส่วนขยายการรักษาความปลอดภัย แต่นี่เป็นหัวข้อแยกต่างหาก กล่าวโดยสรุปคือ ปล่อยใบรับรองไว้ตามเดิม เพิ่มไซต์อย่างช้าๆ และระมัดระวังหากคุณต้องการ และอย่าทำการเปลี่ยนแปลงใดๆ กับกฎการปักหมุด เพราะคุณอาจพบกับพฤติกรรมที่แปลกประหลาดและคาดไม่ถึง

การปรับใช้ระดับองค์กรและโปรไฟล์ในเชิงลึก

เราได้พูดถึงโปรไฟล์การป้องกันเมื่อเราพูดถึง EMET เวอร์ชัน 3 ฉันจะสรุปสิ่งที่เราทำที่นั่นโดยย่อ แต่คุณควรอ่านอย่างละเอียด ส่วนนี้ยังครอบคลุมการใช้นโยบายกลุ่มเพื่อการจัดการที่ง่ายขึ้น

โปรไฟล์ EMET จะถูกเก็บไว้ภายใต้ Deployment\Protection Profiles ในไดเร็กทอรีการติดตั้งเริ่มต้น ในรูปแบบ XML มีสามโปรไฟล์ตามค่าเริ่มต้น ได้แก่ CertTrust.xml, Recommended Software.xml และ Popular Software.xml


โปรไฟล์หรือการเปลี่ยนแปลงโปรไฟล์ใดๆ ที่เพิ่มเข้ามาจะถูกใช้เพื่อสร้างส่วนตัดขวางที่เกี่ยวข้องสำหรับแอปพลิเคชันของคุณในครั้งต่อไปที่ EMET อ่านกฎอีกครั้ง โปรไฟล์สามารถปรับแต่งให้ตรงกับรายละเอียดความปลอดภัยประเภทใดก็ได้ที่คุณต้องการบรรลุด้วย EMET โปรไฟล์จะอยู่ในรูปแบบต่อไปนี้ เช่น

<ชื่อผลิตภัณฑ์ ="Windows Media Player">
<เส้นทางเวอร์ชัน ="*\Windows Media Player\wmplayer.exe">






<ชื่อผลิตภัณฑ์ ="Skype">
<เวอร์ชัน Arch="x86" Path="*\Skype\Phone\Skype.exe">


เรามีอะไรที่นี่? เป็น XML ดังนั้นคุณจึงมีโครงสร้างลำดับชั้นของคู่คีย์ค่าซึ่งสร้างตรรกะของโปรไฟล์ทั้งหมดในที่สุด มาดูกฎสองตัวอย่างสั้นๆ ที่นี่ ซึ่งนำมาจากโปรไฟล์ Popular Software.xml

สำหรับ Windows Media Player เรามีคำจำกัดความของชื่อ จากนั้นเรามีเส้นทางซึ่งมาพร้อมกับสัญลักษณ์แทน จากนั้น เรามีการลดผลกระทบสามรายการและสถานะเป็นเท็จ/จริง สำหรับ SEHOP เรายังมีเวอร์ชันระบบปฏิบัติการขั้นต่ำ ซึ่งเป็นเวอร์ชันเคอร์เนลของ Windows NT ซึ่งสามารถใช้การลดระดับนี้ได้ ดังนั้นหากคุณปรับใช้โปรไฟล์นี้ใน Windows XP จะไม่ทำงาน

สำหรับ Skype เรามีฟิลด์ใหม่อีกฟิลด์หนึ่ง ซึ่งก็คือสถาปัตยกรรม Intel x86 ซึ่งหมายความว่ากฎการลดผลกระทบอาจไม่ทำงานบน Windows RT ซึ่งใช้ ARM เป็นต้น อีกครั้ง การบรรเทาบางส่วนถูกปิดใช้งาน เนื่องจาก Microsoft ทราบดีว่าอาจทำให้เกิดปัญหาได้ เรากำลังพูดถึงการตั้งค่าที่แนะนำ ดังนั้นคุณสามารถเปลี่ยนแปลงได้อย่างแน่นอน

ยิ่งไปกว่านั้น คุณยังมีค่าเริ่มต้น ดังนั้นคุณไม่จำเป็นต้องใช้ทุกอย่างซ้ำสำหรับแต่ละแอปพลิเคชัน ไฟล์ XML ยังมีส่วนความคิดเห็นที่ค่อนข้างยาวในตอนเริ่มต้น ซึ่งจะอธิบายด้วยศัพท์แสงแบบเกินบรรยายอย่างละเอียดว่าสิ่งต่าง ๆ ทำงานอย่างไร แต่คุณจำเป็นต้องมีคำแนะนำที่มีมนุษยธรรมมากกว่านี้เพื่อทำความเข้าใจอย่างถูกต้อง และความคิดเห็นยังมาพร้อมกับข้อผิดพลาดในการสะกดคำอีกด้วย เชื่อหรือไม่


ประการสุดท้าย สำหรับนโยบายกลุ่ม คุณจะได้รับเทมเพลต EMET.adml และ EMET.admx ภายใต้ Deployment\Group Policy Files ดังนั้นคุณจึงสามารถใช้สิ่งเหล่านี้สำหรับการกำหนดค่าโฮสต์ในโดเมนของคุณได้ แต่บทช่วยสอนนี้มุ่งเป้าไปที่ผู้ใช้ตามบ้านเป็นส่วนใหญ่ ดังนั้นเราจะข้ามการตั้งค่านี้และกลับมาดูอีกครั้งเฉพาะเมื่อมีความต้องการที่เป็นที่นิยมอย่างมากเท่านั้น


อ่านเพิ่มเติม

คุณจะฉลาดที่สุดในการอ่านทั้งหมดด้านล่างนี้อย่างรอบคอบ:

ภาพรวม Microsoft EMET v3

สิ่ง Microsoft EMET v2

หลักปฏิบัติด้านความปลอดภัยของเว็บและเมลที่ปลอดภัยทั่วไป

กาลครั้งหนึ่งนานมาแล้ว มี SuRun สำหรับผู้ใช้ Windows

สรุป

ฉันยืนตามคำพูดของฉัน Microsoft EMET เป็นกล่องเครื่องมือรักษาความปลอดภัยที่น่ากลัวที่สุดสำหรับ Windows และเวอร์ชัน 4 นี้ก็ไม่มีข้อยกเว้น มันเกี่ยวกับการสร้างการตั้งค่าความปลอดภัยแบบใช้ไฟและลืมที่จะไม่แจ้งให้คุณทราบแบบเรียลไทม์ จะไม่ใช้ทรัพยากรใดๆ และจะไม่อนุญาตให้คุณสร้าง ข้อผิดพลาดใช่/ไม่ใช่โง่ๆ ในขณะที่ให้ความปลอดภัยที่แท้จริงและได้รับการพิสูจน์แล้ว

นอกจากข้อความสำคัญนี้แล้ว คุณจะได้รับบทช่วยสอนโดยละเอียดที่อธิบายรายละเอียดอย่างละเอียดเกี่ยวกับซอฟต์แวร์นี้และเทคโนโลยีที่เกี่ยวข้อง และวิธีการกำหนดค่า EMET สำหรับระบบและแอปพลิเคชันของคุณ เพื่อให้คุณเพลิดเพลินกับการตั้งค่าความปลอดภัยที่ไม่เป็นการรบกวนและมีประสิทธิภาพ . ฉันหวังว่าคุณจะชอบมัน คุณเห็นไหมว่าฉันไม่ได้คิดลบเกี่ยวกับ Microsoft บางครั้งพวกเขาก็สร้างผลิตภัณฑ์ที่น่าทึ่ง ไปแล้ว

ไชโย