Microsoft EMET v4 のレビューと広範なチュートリアル

ここまでで、Microsoft Enhanced Mitigation Experience Toolkit が Windows オペレーティング システムに最適なセキュリティ ソフトウェアであることはご存じでしょう。理由はたくさんあります。主に、セットアップがシンプルで透過的であり、ばかげた質問はありません。それは無料です。そして、それはそれがすることにおいて効果的です。あなたがばかになるのを止めるのではなく、ソフトウェアが誤動作するのを止めます。そして、それがそれを素晴らしいものにしている理由であり、これが、有料セキュリティの世界でスポットライトがほとんど当てられない理由です.

現在、最初の公開バージョンが公開されており、番号は 4.0 です。確かに、以前のバージョンも使用可能でしたが、主にオタク向けのベータ スラッシュ暫定版のようなものでした。これは普通の人でも使えます。概要と、セキュリティ設定で EMET を非常に簡単に使用および実装するのに役立つ、やや詳細なチュートリアルを紹介します。私の後。

インストール

インストールはかなり簡単ですが、考慮しなければならないことが 1 つあります。 EMET v4 には Microsoft .NET Framework v4 が必要です。なんて詩的。実際、最新版を使用するには、まずこれをインストールする必要があります。

次に、詳細を読まずに、できるだけ速くクリックしてウィザードを進めてください。真剣に、それは簡単です。注意を払う必要がある 1 つのステップは、インストール後の最初のウィザードです。

構成ウィザードを使用すると、初めて起動する前に EMET を構成できます。これは、ほとんどのユーザーに推奨される手順です。明確に述べられているように、以前のインストールからアプリケーション設定をリセットし、Internet Explorer、Adobe Reader、Oracle Java など、一般的に使用され、一般的に標的とされる多くのプログラムの保護を追加し、一般的なオンライン サービスの信頼ルールを追加して、軽減策がトリガーされないようにします。最後に、システム ログ機能を使用して詳細なレポートを有効にします。私の提案はこれを行うことです.さらに、いつでもウィザードを再実行できます。

最初のステップと基本設定

ウィザードが完了すると、EMET が起動します。ユーザー インターフェイスとそのさまざまな機能を評価してみましょう。左から右、上から下に進みます。過去に EMET を使用したことがある場合、設定は見慣れたもので、視覚的に異なる方法で配置されているだけです。

インポート/エクスポートと構成

インポートおよびエクスポート ボタンを使用すると、既存の EMET 構成を保存および取得できます。これらは、設定とアプリケーション ルールを保存する XML ファイルになります。設定全体をリセットする可能性があるため、大幅な変更を行ったり、ウィザードを再実行したりする前に、設定を保存することをお勧めします。インポート/エクスポート ルールについては、EMET の以前のレビュー、3.5 TP エディションで説明しました。すべての実用的な目的のために、これは通常のソフトウェアと同等の保存/オープンにすぎません。

[アプリ] ボタンをクリックすると、プログラムを構成できるウィンドウが開きます。それについては後で詳しく説明します。 [信頼] ボタンをクリックすると、オンライン サービスの証明書を構成できるウィンドウが開きます。後で。

プロファイルとレポート

疑問に思っている方のために説明すると、プロファイルは単なる設定の集まりであり、XML 形式で保存されており、マシンの特定のルールが含まれています。ただし、適用するとシステム全体の動作に影響します。カスタムとラベル付けされた既存のセットアップと、推奨と最大とラベル付けされた他の 2 つのセットアップを切り替えることができます。

推奨プロファイルは、Microsoft が最も混乱が少なく、優れたセキュリティを提供すると見なす方法で軽減策を設定します。最大プロファイルはすべてのオプションをオンに切り替えます。これは、互換性のないソフトウェアが影響を受けたり、クラッシュしたりする可能性があることを意味します。

実際、Maximum プロファイルは厳しすぎるため、使用しないことをお勧めします。安全で準拠していると見なされる方法でコーディングおよびコンパイルされていないアプリケーションが多すぎます。

たとえば、Google Chrome では Aw, Snap! が発生する可能性があります。エラー。 VLC Player は、すべての軽減策がオンになっていると自動更新できません。 Microsoft が買収する前は、一部のオプションを有効にすると Skype がうまく機能しませんでした。どのような種類の設定が存在するか、およびオンとオフを切り替えたときにそれらが何をするか、または何をしないかについて、すぐに詳しく説明します。最後に、アプリケーションのスキンを変更できますが、それはばかげています。

レポートは左から 4 番目のカテゴリで、EMET が動作するときに表示される可能性のあるメッセージをカバーしています。軽減策がアクティブになると、デスクトップ ポップアップが表示され、イベント ログにエントリが表示されます。念のため、EMET の以前のレビューからのスクリーンショットをいくつか示します。これらは機能を強調しています:

システム ステータス

次に、システム ステータス フィールドについて説明します。ソフトウェアの 4 種類の軽減策がリストされています。デフォルトでは、以下のような画像が表示されますが、これは非常に寛大です。これは、DEP を使用できるプログラムと ASLR がそれらを使用し、デフォルトでアクティブ化される SEHOP 保護がなく、証明書の信頼が有効になっていることを意味します。

これらの頭字語は何を表しているのですか？そして答えは、私はあなたに言うつもりはないということです。プログラマーでない人や、大学でコンピューター サイエンスを学んだことがない人にとっては意味がないからです。さらに言えば、カーネル、スケジューラー、メモリー管理、プロセス空間、その他すべてについて議論するかもしれません。

そこにいる通常の人にとって、知っておくべきことは次のとおりです。これらの軽減策は、最終的にソフトウェアに影響を与えます。したがって、気にする必要があるのは、システムの正常で正しい機能だけです。さまざまなプロファイルで定義されている最大設定と許容設定の間には、使用できるオプションがいくつかあります。

軽減策が [無効] に設定されている場合、それは使用されません。オプトインは、特定のシステム ファイル、バイナリ、および機能に対してのみ軽減策を有効にします。これは、オペレーティング システム、BIOS、およびアプリケーションでサポートされている機能によって異なります。

オプトアウトはより厳密であり、特定のサポートされていないプログラムまたは動作が不適切なプログラムの機能を選択解除することを特に選択しない限り、すべてのアプリケーションに対してすべての軽減策を使用しようとします。最後に、Always On は軽減策を有効にしますが、リセットすることはできません。本によると、これは最も安全であり、最も面倒です。正当なプログラムのクラッシュが多すぎる可能性があるためです.

提案:推奨プロファイルから始めるか、十分なスキルがある場合は独自の構成から始めてください。最大。設定は、EMET を適切に、自信を持って使用する方法を理解するまで残しておく必要があります。最後に、証明書の信頼は非常に単純で、有効または無効です。

実行中のプロセス

この表は、EMET でカバーされているかどうかに関係なく、プロセス テーブルとそれぞれのステータスを示しているだけです。この段階ではそれほど重要ではありませんが、後で緩和策がどのように機能するかを調べます。

アプリケーション

ここまでで、システムを構成しました。それにより、必要なプロファイルを選択しました。これにより、コア システム ファイルの特定の軽減策とそのレベルのオン/オフが切り替えられ、デフォルトの動作が定義されます。ここで、アプリケーションを構成します。

DEP、ASLR、SEHOP、およびその他の軽減策によって管理される一般的な動作に加えて、プログラムのアプリケーション ルールによってシステム保護を微調整できます。これには、プログラムのツールバーにある [アプリ] ボタンからアクセスできます。

もう一度、ここにあるものを簡単に概説しましょう。 Export および Export Selected を使用すると、アプリケーションのルールを保存できます。アプリケーションの追加はウィザードを開き、フルパスで特定のプログラムを検索できます。ワイルドカードを追加すると、一般的なフレーズを指定するだけで、それに一致するすべてのプログラムがカバーされます。

たとえば、32 ビットと 64 ビットの 2 つのバージョンの Internet Explorer が利用可能です。フル パスを使用する場合は、2 つのルールをリストする必要があります。ワイルドカード オプションは両方をカバーします。つまり、Show Full Path オプションを切り替えて、ルールがどのように見えるかを確認できます。

最初のウィザードでアクティブ化される推奨設定はすべてワイルドカードを使用しているため、展開と管理が簡単になります。すぐに、一括管理について説明します。

Default Action は、アプリケーションの動作を制御します。つまり、ログを記録するか、つまり、監査するか、エクスプロイトが見つかったときに実行中のプロセスを停止するかを決定します。また、これは必ずしもマルウェアを意味するわけではなく、軽減策によって禁止された違法な命令を意味するだけであることに注意してください。

最後に、Mitigation Settings で、Recommended プロファイルでデフォルトで無効になっている Deep Hooks、Anti Detours および Banned Functions を含む、さまざまなタイプの Mitigation のオン/オフをチェックできます。必要に応じて、これらを正気のコーディング プラクティスの聖杯として扱うことができます。

Mitigations フィールドには、手動で追加、インポート、またはウィザードによってクックされたものを含む、対象となるすべてのアプリケーションが一覧表示されます。軽減策には、メモリ、ROP、その他の 3 種類があります。繰り返しますが、カーネルがどのように機能するかを知らない、または理解していない場合、これらを説明しようとしても意味がありません。たとえば、コード、データ、またはヒープが何であるかを知っていますか?スタックとは？システムコールとは？ x86 アーキテクチャーで命令ポインターがどのように見えるか知っていますか?答えがこれらのどれにも当てはまらない場合は、これらの軽減策の内部を知る必要はありません。

これらは、プログラムの動作に影響を与える設定の 1 つとして扱ってください。正常に動作する場合は、問題がどこにあるかがわかるまで、無効にしない場合は 1 つずつそのままにしておきます。しかし、それについては後で詳しく説明します。

アプリケーションが追加されました

ここにリストされていない独自のアプリケーションを追加した後、おそらくプログラムを再起動して EMET フックをロードする必要があります。最初の記事でこの例と、Process Explorer を使用してこれを確認する方法を見てきました。

証明書の信頼

このセクションでは、証明書でカバーする必要がある Web サイトを構成して、Web サイトの動作を信頼し、軽減策が開始されて誤検出アクションとして知られているものを殺してしまわないようにすることができます。

ここでも、ルールをエクスポートできます。 Web サイトを追加または削除できます。それらを構成すると、以下の保護された Web サイトの表に一覧表示され、ピン ルールも含まれます。これは、ルールに示されている認証局によってデジタル署名されている場合にのみ、サイトが信頼されることを意味します。ドロップダウン メニューを使用してルールを変更できますが、変更しないことを強くお勧めします。ブラウザでデジタル証明書を手動で改ざんするのと同じです。

ピン留めルールを使用すると、その効果を微調整できます。たとえば、有効期限、適用される国、ブロックされたハッシュ、公開鍵の一致などです。正当な理由により、これらの設定のほとんどは有効ではありません。つまり、フィルタリングなしで証明書のデフォルトが使用されます。私の最も暖かいお勧めは、これらをまったくいじらないことです。

安全対策

最もトリッキーな質問は、EMET をどのように賢く使用するかということです。手動で変更や微調整を行うことになると、チェーンの最も弱いリンクになるため、セキュリティ ソフトウェアが無効になります。 EMET v4 を中断なくスムーズに実行したい。それは完全に透過的である必要があり、あなたが気にする唯一のことは、VLC、Skype などのように、あちこちで時折発生する例外です。

以前の提案に戻りますが、初回ウィザードを使用してください。推奨設定を使用してください。独自のプログラムを追加します。すべてが機能し、期待どおりに実行されることを確認してください。しばらく沸騰させます。自信がついたら、一歩ずつ少しずつレベルアップして、すべてのソフトウェアを注意深く調べてください。プログラムがクラッシュしたり、正しく機能しない場合は、適切に実行できる最小限のレベルになるまで、軽減策を 1 つずつ無効にしていきます。

これは面倒かもしれませんが、がっかりしないでください。私の経験では、時折調整が必要になるプログラムは 1 つまたは 2 つだけです。 VLC、Chrome、Skype が頭に浮かびますが、他のプログラムでうまく動作しないものに遭遇したことはありません。

証明書の信頼に関しては、これは Web とアプリのマージを目的とした、おそらく多少実験的な新しい機能であり、ローカル ホストでこの組み合わせができることです。つまり、アプリ ストアから購入したソフトウェアや Web アプリとして実行されているソフトウェアは、適切にコーディングされていないと、システムに危険な変更を加えたり、簡単に悪用されたりする可能性があります。一方、軽減策が積極的すぎると、ユーザー エクスペリエンスに深刻な損害を与える可能性があります。これが信頼の考え方の出番です。

ここでの私の簡単な経験は、デフォルト設定で十分であることを示しています。さらに、セキュリティ拡張機能を使用することで、追加のブラウザ セキュリティを実現できます。しかし、これは別のトピックです。要約すると、証明書の信頼をそのままにしておき、必要に応じてサイトをゆっくりと慎重に追加し、固定ルールを変更しないでください。

エンタープライズ展開とプロファイルの詳細

EMET バージョン 3 について説明したときに、プロテクション プロファイルについて説明しました。そこで行ったことを簡単に要約しますが、注意深く読む必要があります。このセクションでは、管理を容易にするためのグループ ポリシーの使用についても説明します。

EMET プロファイルは、既定のインストール ディレクトリの Deployment\Protection Profiles の下に XML 形式で保存されます。デフォルトでは、CertTrust.xml、Recommended Software.xml、Popular Software.xml の 3 つのプロファイルがあります。

そこに追加されたプロファイルまたはプロファイルの変更は、次回 EMET がそのルールを再読み込みするときに、アプリケーションに関連する軽減策のクロスセクションを作成するために使用されます。プロファイルは、EMET で実現したいあらゆる種類のセキュリティの粒度に合わせて微調整できます。プロファイルは、たとえば次の形式で提供されます:

<製品名="Windows Media Player">



<軽減策名="EAF" Enabled="false" />



<製品名="Skype">

<軽減策名="EAF" Enabled="false" />

ここには何がありますか？これは XML であるため、最終的に完全なプロファイル ロジックを形成する値とキーのペアの階層構造があります。ここで、Popular Software.xml プロファイルから取得した 2 つのサンプル ルールを簡単に見てみましょう。

Windows Media Player の場合、名前の定義があります。次に、ワイルドカード付きのパスがあります。次に、3 つの緩和策と、それらのステータス (false/true) を示します。 SEHOP の場合、この軽減策を使用できる最小 OS バージョン (Windows NT カーネル バージョン) もあります。したがって、このプロファイルを Windows XP に展開しても機能しません。

Skype には、もう 1 つの新しい分野があります。それはアーキテクチャである Intel x86 です。これは、緩和ルールが、たとえば ARM を使用する Windows RT ではおそらく機能しないことを意味します。繰り返しになりますが、Microsoft は問題を引き起こす可能性があることを認識しているため、一部の軽減策は無効になっています。推奨設定について話しているので、間違いなく変更できます。

さらに、デフォルトもあるため、アプリケーションごとにすべてをもう一度適用する必要はありません。また、XML ファイルの冒頭にはやや長いコメント セクションがあり、物事が実際にどのように機能するかを徹底的に専門用語で説明していますが、すべてを適切に理解するには、このようなより人道的なガイドが必要です。また、信じられないかもしれませんが、コメントには多くのスペルミスがあります。

最後に、グループ ポリシーについては、Deployment\Group Policy Files の下にある EMET.adml および EMET.admx テンプレートを取得して、ドメイン内のホストの構成に使用できるようにします。ただし、このチュートリアルは主にホーム ユーザーを対象としているため、このセットアップはスキップし、一般的な需要が深刻な場合にのみ再検討します。

続きを読む

以下のすべてを注意深く読むことをお勧めします:

Microsoft EMET v3 の概要

Microsoft EMET v2 のもの

一般的な安全な Web とメールのセキュリティ対策

むかしむかし、Windows ユーザー向けの SuRun がありました

結論

私は自分の言葉を守ります。 Microsoft EMET は Windows 用の最も優れたセキュリティ ツールボックスであり、このバージョン 4 も例外ではありません。本物の実績のあるセキュリティを提供しながら、ばかげたイエス/ノーの間違い。

この重要なメッセージに加えて、このソフトウェアと関連するテクノロジの内外を詳細に説明する非常に詳細なチュートリアル、およびシステムとアプリケーション用に EMET を構成する方法を説明する非常に詳細なチュートリアルが表示されるため、控えめで効率的なセキュリティ セットアップを楽しむことができます。 .気に入っていただけたでしょうか。おわかりのように、私は Microsoft についてすべて否定的なわけではありません。Microsoft は素晴らしい製品を作ることもあります。ほらね。

乾杯。