Liczba postów: 166
Liczba wątków: 8
Dołączył: 08.06.2010
Reputacja:
1
Korzysta ktoś może z tego ciekawego narzędzia od Microsoftu ?
[Aby zobaczyć linki, zarejestruj się tutaj]
opis:
Cytat: Zadaniem narzędzia EMET jest umożliwienie włączania różnorakich mechanizmów ochronnych w programach wykonywalnych, nawet jeśli kod źródłowy programu nie jest dostępny i pierwotnie nie przewiduje wykorzystania danej technologii. EMET może uniemożliwiać albo utrudniać stosowanie wielu metod używanych w exploitach, dzięki:
- Structured Exception Handler Overwrite Protection(SEHOP), który blokuje możliwość nadpisywania nagłówka Structured Exception Handler(SEH) na stosie albo w segmencie danych,
- Dynamic DEP(DDEP), który pozwala włączać i wyłączać blokadę wykonywania danych nawet w trakcie działania aplikacji,
- Adress Space Layout Randomisation(ASLR), który ma za zadanie uniemożliwienie intruzowi zlokalizowania adresu odpowiedniego do wykonania własnego kodu,
- Export Address Table Access Filtering(EAF), służący do blokowania dostępu do wybranych API.
Oczywiście EMET nie jest w stanie skutecznie zapobiec wszystkim atakom, jednak testy praktyczne wykazują, że wiele spotykanych obecnie exploitów Zero Day (np. najnowsze exploity wykorzystujące luki w programie Adobe Reader) może zostać w ten sposób powstrzymanych.
źródło hcsl.pl
Używałem ostatnio, bodajże do zabezpieczenia Acrobat Readera w związku ze znalezioną w nim luką.
Proste w obsłudze.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Znalazłem dość spory artykuł opisujący działanie programu,jego funkcje i ograniczenia w różnych wersjach Windows, a także nieco o konfiguracji wraz z listą sugerowanych programów, które należy chronić przy Pomocy EMET. Na obrazku poniżej porównawczo szczegóły możliwości programu w poszczególnych odmianach Windowsa.
[Aby zobaczyć linki, zarejestruj się tutaj]
Całość artykułu [Aby zobaczyć linki, zarejestruj się tutaj]
Natomiast na stronie głównej blogu można znaleźć linki do testów skuteczności EMET [Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 166
Liczba wątków: 8
Dołączył: 08.06.2010
Reputacja:
1
dzięki za linka ichito, ciekawy artykuł 
Na tej stronie zalecają np. ustawienie go na ochronę plików Javy, niestety wtedy nie za bardzo ona chce działać (bynajmniej instalatory).
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Od wczoraj nowa wersja oznaczona jako 2.1. Lista zmian spora i z opisu wynika, że są one bardzo istotne (podkreślenie moje)
" This release marks a big milestone for EMET since this is the first version that is available as an officially-supported product. Support will be forum based available here.
Today’s release comes with some new features:
EMET is an officially-supported product through the online forum
“Bottom-up Rand” new mitigation randomizes (8 bits of entropy) the base address of bottom-up allocations (including heaps, stacks, and other memory allocations) once EMET has enabled this mitigation.
Export Address Filtering is now available for 64 bit processes. EAF filters all accesses to the Export Address Table which blocks most of the existing shellcodes
Improved command line support for enterprise deployment and configuration
Ability to export/import EMET settings
Improved SEHOP (structured exception handler overwrite protection)mitigation
Minor bug fixes"
[Aby zobaczyć linki, zarejestruj się tutaj]
EMET ma również swoje oficjalne wsparcie i forum
[Aby zobaczyć linki, zarejestruj się tutaj]
Wątki o EMET na Wildersach [Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Tak jakoś przypadkiem znalazłem fajny artykuł na temat EMET...do poczytania i ewentualnie zastosowania 
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
A czy ktoś może opisać mniej więcej jak tego używać, by zabezpieczyć system?
Liczba postów: 1 612
Liczba wątków: 74
Dołączył: 24.05.2011
Reputacja:
180
Za pomocą przycisku Configure system"zarządzasz" profilami, przykładowo wybierasz Maximum Secutity Settingslub "tworzysz" nowy profil. Po zatwierdzeniu widzisz komunikat, że zmiany zostaną wprowadzone po kolejnym uruchomieniu systemu.
Przycisk Configure Appspozwala wybrać poszczególne aplikacje (procesy), które będą uruchamiane pod kontrolą wybranych metod zmniejszających ryzyko zhaxxxxowania Nie jest to specjalnie skomplikowane.
Do listy możesz dodać przykładowo przeglądarkę internetową, przeglądarkę PDF, Jave, etc.
SpyShelter Firewall
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Rozumiem.
Domyślam się, że profilm MAximum Security Settings jest przynajmniej teoretycznie profilem zapewniającym maksymalną szczelność systemu, tak?
I drugie pytanie...
Gdybym chciał przykładowo dodać jakąś aplikację to zostawiam wszystkie checkboxy zaznaczone?
Liczba postów: 1 612
Liczba wątków: 74
Dołączył: 24.05.2011
Reputacja:
180
Tomasz napisał(a):Rozumiem.
Domyślam się, że profilm MAximum Security Settings jest przynajmniej teoretycznie profilem zapewniającym maksymalną szczelność systemu, tak?
I drugie pytanie...
Gdybym chciał przykładowo dodać jakąś aplikację to zostawiam wszystkie checkboxy zaznaczone?
Teoretycznie tak - Maksymalna szczelność w zakresie EMET. I nie jest to szczelność systemu, raczej uruchamianych programów.
Zdarzają się przypadki, kiedy uruchomione systemy zabezpieczeń uniemożliwiają instalacje programów lub sterowników. Są to sytuacje specyficzne, z którymi możesz w ogóle nie mieć do czynienia.
Możesz zostawić/zaznaczyć wszystkie czekboksy, ale to czy aplikacja będzie działała poprawnie zależy raczej od sposobu w jakim została napisana. Jeśli w kodzie programu znajduje się jakieś niedopatrzenie (mowa raczej o jakiś niepopularnych, mało znanych lub szemranych aplikacjach), to mogą wystąpić komplikacje z jego poprawnym działaniem. Osobiście korzystam ze wszystkich czekboksów dla Javy, Sumatry i Opery - nie widzę żadnych problemów z ich działaniem.
SpyShelter Firewall
Tomasz napisał(a):Domyślam się, że profilm MAximum Security Settings jest przynajmniej teoretycznie profilem zapewniającym maksymalną szczelność systemu, tak?
Nie. Nawet ustawienie maximum nie wymusza używania ALSR na wszystkie aplikacje. Można to włączyć poprzez edycję rejestru, ale Microsoft odradza bo może to doprowadzić do utraty stabilności. Gdy ja sprawdzałem, skończyło się na BSOD przy uruchamianiu komputera i konieczności zmiany ustawień w trybie awaryjnym.
Co do checkboxów - nikitagorbaczow opisał co i jak. Od siebie dodam, że np. Dropbox robił pewne problemy na zaznaczonych wszystkich. Teraz nie jestem w stanie podać, który mechanizm mu przeszkadzał. Nie wiem też, czy problem nadal występuje.
Wczoraj uczestniczyłem w sesji poświęconej atakom sieciowym i była również mowa o EMECie. Poniżej wyniki pewnych testów pokazujące jak wiele z ataków udało się zablokować poprzez użycie kolejnych mechanizmów zawartych w Windowsie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie jest to może specjalnie szczegółowe, ale pewien obraz daje - EMETa naprawdę warto włączać i ustawiać dodatkową ochronę na przeglądarki, javę, flasha, części pakietu biurowego czy też przeglądarkę PDF.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
No to poza linkowanym kiedyś blogiem, na którym są wyniki EMET, mamy kolejny niepodważalny dowód na jego skuteczność i przydatność.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Mała uwaga - ostatnio straciłem możliwość wyłączenia DEP, oraz w ogóle jakiejkolwiek zmiany ustawień w EMECie.
Nie pomagały nawet próby zmian poprzez odpowiednie komendy wklejane do wiersza poleceń, pakiety fixit od MS również nic nie wskórały.
Co było przyczyną? Tu się zdziwicie ale... OpenSUSE.
Po jego zainstalowaniu partycja "zastrzeżone przez system" przestała być aktywna, system stracił możliwość ingerencji w magazyn BCD (Boot Configuration Data) a to w nim są te dane zapisane. usunięcie partycji z Linuksem, ponowne zapisane MBR Windowsa i ustawienia partycji jako aktywnej z miejsca rozwiązało problem (nawet reboot nie był potrzebny).
To taka mała uwaga gdyby komuś się też zdarzyło
Liczba postów: 1 612
Liczba wątków: 74
Dołączył: 24.05.2011
Reputacja:
180
Dziękuję Łukasz, bo chciałem zainstalować OpenSUSA, a czas trzyma i nie za bardzo na rękę naprawianie systemu. Pozdrawiam.
SpyShelter Firewall
Tzn. naprawianie tego nie jest trudne - wystarczy program EasyBCD i z poziomu Windows możemy przywrócić partycję jako aktywną, zapisać od nowa MBR itd. wtedy jednak stracimy możliwość użytkowania susła.
Link z pierwszego postu nie działał, więc go zaktualizowałem, nowy link do centrum pobierania MS:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 168
Liczba wątków: 15
Dołączył: 18.10.2009
Reputacja:
7
Mam pytanie co do tego zabezpieczenia. Mój system to W7 x64, ustawiłem Configure System na Recommended Security Settings, a następnie dodałem do Configure Apps następujące aplikacje:
Cytat: Adobe Reader X
Przeglądarki Internetowe
Java
lsass.exe
Odtwarzacze multimedialne
spoolsv.exe
Pakiet Office
Czy coś jeszcze warto dodać?
Najlepiej dać na max. security.
Jeżeli chcesz wygodniej zarządzać regułami to polecam program NEMET (nakładka na EMET):
[Aby zobaczyć linki, zarejestruj się tutaj]
Pamiętaj jednak o tym, aby nie ustawiać w nim max. zabezpieczeń, bo wtedy zablokujesz sobie system.
|
