EMET - Enhanced Mitigation Experience Toolkit

[fantom]

Najlepiej dać na max. security.
Jeżeli chcesz wygodniej zarządzać regułami to polecam program NEMET (nakładka na EMET):

[Aby zobaczyć linki, zarejestruj się tutaj]

Pamiętaj jednak o tym, aby nie ustawiać w nim max. zabezpieczeń, bo wtedy zablokujesz sobie system.

Szczerze to nie widzę, żadnej różnicy miedzy EMET, a NEMET. Jedynie to, że można zapisać ustawienia i je przenosić. A co do pytania jakie jeszcze aplikacje dodać?

[fantom]

Nikt nie pomoże?

[preter]

Możesz jeszcze dodać komunikatory, przeglądarki grafiki, programy pocztowe, flasha.

[ichito]

@fantom
były wątki o EMET i nakładce na niego o nazwie NEMET...poczytaj i poszukaj, bo tam są linki do bardziej szczegółowych informacji i konfiguracji

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[fantom]

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki.

@fantom
były wątki o EMET i nakładce na niego o nazwie NEMET...poczytaj i poszukaj, bo tam są linki do bardziej szczegółowych informacji i konfiguracji

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Czytałem te tematy. Na jednej był poradnik, dzięki któremu wyczytałem o aplikacjach które już dodałem. Dlatego pytałem czy coś może jeszcze warto

[ichito]

Cytat z jednego z artykułów, do których były linki w naszych wątkach

* Any/all web browsers installed on your computer (Internet Explorer, Firefox, Chrome, Opera)
* Entire MS Office suite (Access, Excel, Outlook, PowerPoint, Word)
* Sun (now Oracle) Java
* Any media player (Windows Media Player, VLC, iTunes, RealPlayer, QuickTime, Winamp)
* Any software that waits and listens for a network connection
* Any Adobe product that you see frequently listed within Adobe''s Security bulletins and advisories.

Jak widać z tego, komunikatory też, bo łączą się z siecią, a pojęcie "odtwarzacz mediów" poszerzyłbym o przeglądarki grafiki czy dokumentów i to nie tylko PDF.

[nikita]

Zauważyłem problem z Microsoft Office 2010 - dokładnie chodzi mi o Worda. Przy włączonym profilu Maximum Security Settings, po dodaniu Worda do kontrolowanych aplikacji, program zawiesza się przy próbie wykonania automatycznego zapisu dokumentu. Możecie sprawdzić, czy w Waszym przypadku występuje podobny problem? Wydaje mi się, że nie ma znaczenia, czy będzie to Word 2007 czy 2010. Z góry dziękuję.

[ichito]

Wczoraj (15 maja) pojawiła się nowa wersja znanego narzędzia od Microsoft - Enhanced Mitigation Experience Toolkit v. 3 (EMET).Nowa wersja wprowadza sporo zmian, ale dotyczą one głównie zaawansowanego zarządzania w firmach i sieciach. Dla zwyczajnego użytkownika, zmiany są mało widoczne...np. EMET teraz automatycznie po instalacji wpisuje się do startu z systemem, a w polu powiadamiania montuje swoją ikonkę "EMET Notifier" która wskazuje na status aktywności programu tylko.
Poniżej fragmenty z opisu

We are pleased to announce the release of a new version of our Enhanced Mitigation Experience Toolkit (EMET) - EMET 3.0. EMET it is a free utility that helps prevent vulnerabilities in software from being successfully exploited for code execution. It does so by opt-ing in software to the latest security mitigation technologies. The result is that a wide variety of software is made significantly more resistant to exploitation – even against zero day vulnerabilities and vulnerabilities for which an update has not yet been applied.
(...)
This new version of the tool being released today addresses top feedback themes we have heard from users: EMET needs more enterprise configuration, deployment and reporting options. We have seen growing interest in adoption from enterprise and large scale networks and this new version includes enhancements for that segment. Here are some of the highlights of and new features in EMET 3.0.

Making configuration easy
Enterprise deployment via Group Policy and SCCM
Reporting capability via the new EMET Notifier feature

Configuration

EMET 3.0 comes with three default "Protection Profiles". Protection Profiles are XML files that contain pre-configured EMET settings for common Microsoft and third-party applications. (...)
The three profiles that ship with EMET 3.0 are:

Internet Explorer.xml: Enables mitigations for supported versions of Microsoft Internet Explorer.
Office Software.xml: Enables mitigations for supported versions of Microsoft Internet Explorer, applications that are part of the Microsoft Office suite, Adobe Acrobat 8-10 and Adobe Acrobat Reader 8-10.
All.xml: Enables mitigations for common home and enterprise applications, including Microsoft Internet Explorer and Microsoft Office.

Looking inside a profile, we see a list of programs with EMET mitigations.
(...)
Deployment

EMET also comes with built-in support for enterprise deployment and configuration technologies. This enables administrators to use Group Policy or System Center Configuration Manager to deploy, configure and monitor EMET installations across the enterprise environment.

For Group Policy: EMET includes an ADMX file that contains the three protection profiles mentioned above as policies that can be enabled/disabled through group policy. There is also a policy that demonstrates how to add custom EMET settings.
(...)
Reporting

With EMET 3.0, we have included an additional new reporting capability that we call "EMET Notifier". When you install EMET 3.0, this lightweight component is set to automatically start with Windows. It will show up in the notification area of your taskbar with an EMET 3.0 icon.

EMET Notifier has two duties:

Write events out to the Windows Event Log
Show important events via a tooltip in the taskbar notification area
(...)
Other EMET v3 developments

In addition to these features, EMET 3.0 comes with a number of other improvements and bug fixes. More details and a FAQ can be found in the User Guide that comes with the install. However, we would like to specifically highlight a couple of things here.
First, we have tested EMET 3.0 on the Windows 8 Consumer Preview and it works great - we encountered no problems at all so we encourage you to use EMET on all versions of Windows. Second, EMET 3.0 can be installed just fine on a system where EMET 2.1 (the previous release) was already installed. An upgrade or a new installation is no different. Your existing rules built for EMET 2.1 will continue to work just fine with EMET 3.0. Third, we would like to point out that EMET is an officially-supported Microsoft tool.

Źródło informacji

[Aby zobaczyć linki, zarejestruj się tutaj]

Strona nowej wersji programu i pobieranie

[Aby zobaczyć linki, zarejestruj się tutaj]

[nikita]

Na stronie na ma żadnej adnotacji o instalacji więc można "nadpisać" wersję 2.1 bez czystej instalacji?

[Konto usunięte]

Ja nadpisałem, działa prawidłowo. Nie mam jednak pojęcia, po co wrzucili tego notifiera... Co prawda już raz poinformował o czymś związanym z DEP w WTW, no ale poza tym to nic nie robi.
Dobrze chociaż, że jest lekki, 0 CPU i ~12-13 MB RAM.

[nikita]

Ja nadpisałem, działa prawidłowo. Nie mam jednak pojęcia, po co wrzucili tego notifiera... Co prawda już raz poinformował o czymś związanym z DEP w WTW, no ale poza tym to nic nie robi. Dobrze chociaż, że jest lekki, 0 CPU i ~12-13 MB RAM.

Dzięki, ja również wrzucę. Notifier zapisuje też zdarzenia EMET do dziennika systemowego, ale to informowanie w czasie rzeczywistym nie wiem na ile potrzebne. 12-13 MB RAM to dla mnie nie jest jakoś super mało jak na jego użyteczność...

A pisałem w temacie dotyczącym EMET 2.1 o problemie z autoazapisywaniem dokumentów Word (2010), podczas gdy winword.exe był dodany do kontrolowanych procesów, możecie rzucić okiem jeśli macie Worda w wersji 2007 lub 2012 czy też się Wam sypie? Program się zawiesza i rozwiązaniem jest zabicie procesu Worda. Serdeczne dzięki.

[ichito]

Nikita...instalacja nakładkowa nie jest problemem...przecież cytowałem wyżej taki fragment

Second, EMET 3.0 can be installed just fine on a system where EMET 2.1 (the previous release) was already installed. An upgrade or a new installation is no different . Your existing rules built for EMET 2.1 will continue to work just fine with EMET 3.0.

[nikita]

Znowu przeoczyłem, dzięki za sprostowanie ichito!

[preter]

Mała uwaga - ostatnio straciłem możliwość wyłączenia DEP, oraz w ogóle jakiejkolwiek zmiany ustawień w EMECie.
Nie pomagały nawet próby zmian poprzez odpowiednie komendy wklejane do wiersza poleceń, pakiety fixit od MS również nic nie wskórały.

Co było przyczyną? Tu się zdziwicie ale... OpenSUSE.
Po jego zainstalowaniu partycja "zastrzeżone przez system" przestała być aktywna, system stracił możliwość ingerencji w magazyn BCD (Boot Configuration Data) a to w nim są te dane zapisane. usunięcie partycji z Linuksem, ponowne zapisane MBR Windowsa i ustawienia partycji jako aktywnej z miejsca rozwiązało problem (nawet reboot nie był potrzebny).
To taka mała uwaga gdyby komuś się też zdarzyło

Ta partycja "zastrzeżone przez system" to jest ta 100 MB tworzona przy instalacji Windows 7, tak?
To by znaczyło, że na Viście nie powinienem mieć takiego problemu.

[Konto usunięte]

Tak, to właśnie chodziło o tą tworzoną przez system.
Z tego co wiem, Vista również tworzy sobie taką partycję.

[preter]

Nie, Vista nie tworzy sobie takiej partycji. Wiem, bo z Visty korzystam, a tablicę partycji przeglądałem wiele razy różnymi programami.
Dzięki za odpowiedź.

[ReviewsAntivirus]

Ale Windowsa można zainstalować bez tworzenia tej partycji, jeśli dobrze pamiętam.

[zord]

ja tej partycji nie mam

[fantom]

Ale Windowsa można zainstalować bez tworzenia tej partycji, jeśli dobrze pamiętam.

Tak, przy dzieleniu dysku na partycje instalator pyta czy utworzyć osobną partycję na dodatkowe dane (boot itp.)

[fantom]

Dziś przy konfiguracji EMET zauważyłem, że został napisany nowy artykuł na temat wersji 3.0. Podaje

[Aby zobaczyć linki, zarejestruj się tutaj]