EMET – Enhanced Mitiation Expirience toolkit

Емет е инструмент създаден от Микрософт, по програмата trustworthy computing, който общо взето, е графичен интерфейс, който дава достъп до част от системата за сигурност на уиндоус, и позволява финото и настройване. Инструмента с разпространява безплатно от Микрософт, но с търсене в Yahoo и Google може да с намери почти навсякъде. Операционната система, инсталираните драйвери и хардуерната конфигурация, указват пряко влияние върху това как работи ЕМЕТ и как работи цялата система под влияние на ЕМЕТ. Поддържаните операционни системи са малко, уиндоус ХР сервиз пак 3, и нагоре, като 64 битовите ОС, имат предимство при ползването на ЕМЕТ, спрямо 32 битовите, заради допълнителните защити срещу пачване на ядрото, и задължителното изискване за подписани драйвери. Друго предимство за ЕМЕТ е наличието на хардуерен DEP в процесора, и наличието на виртуализация в процесора. Наличието и на двете дава допълнително предимство и сила не само на основните защитни мерки на ОС но и на ЕМЕТ.
ЕMET постига максималния си ефект и максималната си силата, при постигането на определени условия както от страна на софтуера така и от страна на хардуера:

 

Минимални изисквания, за да може ЕМЕТ изобщо да се стартира и да сработи:

32 битов процесор и Уиндоус ХР 32 бита сп3

Препоръчителни изисквания, при които ЕМЕТ постига пълния си потенциал:

64 битов процесор който има хардуерен DEP и хардуерна виртуализация, Уиндоус 7 64 бита, Уиндоус сървър 2008 R2 64 бита, видеокартана интел или по-ново поколение Нвидия, защото драйверите са съвместими и работят безпроблемно с ASLR.

 Не си правете наивната илюзия че ЕМЕТ е нещо непробиваемо, или че ще направи системата ви непробиваема, макар и на пръв поглед да оставя подобни впечатления. Няма непробиваема система, няма непробиваема защита.

ЕМЕТ има прост и ясен интерфейс, който позволява бърза и лесна настройка на програмата. Не всички опции на ЕМЕТ са видими под графичния интерфейс на ЕМЕТ, има някои, които са считани за опасни, и са умишлено скрити, но те могат да бъдат отворени в случай че ви е зор да си занимавате с тях.

ВНИМАНИЕ!

Преди да започнате да се занимавате със скритите опции, е необходимо да спомена че тези опции са скрити, с повод. Тези опции могат да направят системата нестабилна, и да предизвикат син екран по време на зареждане на системата, така че имайте го наум преди да пипате там.

Най-честият причинител на проблем, това са драйвери за устройства, които не са написани да са съвместими със системните защити на уиндоус и в частност ASLR – Address Space Layout Randomization. Най-често драйвери за устройства не могат да се справят с високите нива на ASLR и предизвикват забивания и сини екрани, за това нивото по подразбиране е Opt-In, и скритите настройки които се считат за опасни и предизвикват нестабилност в системата са ASLR – Opt-out и ASLR – Always on. За сведение, системи базирани на видеокарти АТИ са особено уязвими, на високите нива на защита, които ЕМЕТ може да осигури, при наличие на широк диапазон конфигурации: скорощно поколение процесор интел или амд със скорошно дъно и чипсет с актуални и обновени драйвери, видео, интел или скорошни модели на нвидия и обновени и актуални драйвери, са устойчиви на прекаляване с ЕМЕТ, и се възползват дори от най-високите мерки за защита които има ЕМЕТ, включая и отключени скрити настройки, и позволяват ЕМЕТ да бъде настроен на максимална сила и да осигури максимална защита на компютъра ви.

Отключването на заключените настройки става ръчно през регистри, като се промени стойността на ключа EnableUnsafeSettings от шестнадесетично 0 на шестнадесетично 1. Точният път е: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET\EnableUnsafeSettings. Това е шестнадесетична Reg_DWORD променлива, чиято стойност по подразбиране е 0 и трябва да промените на 1. Щом го направите пуснете ЕМЕТ отново, ози път скритите опции, ще са достъпни за ползване.

Главния прозорец показва всички текущи процеси, и кои прочеси се ползват от защитата на ЕМЕТ, и какви са глобалните настройки за защита на системата. Освен това главнтия прозорец ви дава, 2 бутона за настройки, първият е configure system,  който отваря раздела за глобални настройки на цялата система, я втория е configure apps,  който позволява да се запишат приложения по избор на потребитеря в ЕМЕТ, и да се избере на кои защити приложенията да бъдат подложени. Раздела за настройка на приложенията към момента поддържа 7 системни защити, предназначени да подсилят приложенията и тяхната устойчивост на атаки и експлойтване, като Микрософт правят следната забелжка:

Най-доброто решение е да нямате въпросния бъг в софтуера си, Ако имате възможност за изтегляне на пач да коригира бъг, използвайте я, но ако нямате тази възможност, по различни причини, ЕМЕТ ще ви помогне да го защитите, но не си правете наивната илюзия че ще сте неуязвими. Няма напълно непробиваем компютър, няма напълно непробиваема ОС, Няма напълно непробиваема защита, няма напълно непробиваеми приложеиня.

Първият раздел e, System, configuration се отваря от бутона Configure system.

В този раздел са досъпни тези, системни защити които са включени фабрично в ОС. В Уин ХР СП3 е включен само DEP, а във уин виста сп1, уин 7 и сървър2008 R1 и R2 са включени DEP, ASLR, SEHOP, и отговарят глобално за цялата система ОС и всички процеси и дайвери и приложения под ОС. Някои заглавия като MalwareBytes Antimalware изпитват известни неудобства, с настройката на защитата на максимално ниво. Други заглавия като Avira, Microsoft Security essentials, Windows defender, пък работят коректно във всякакви условия на глобална системна защита, така че внимавайте, със ставащото в този раздел. Сритите опции на ЕМЕТ които са опасни за системата, и водят до нестабилност се отнасят за този раздел. И трите скрииншота на емет включени в тази статия, са правени под изцяло интелски базирана система на леново с уин 7 64 бита, която има процесор покриващ препоръчителните изисквания към хардуера споменати по-горе, и позволява на ЕМЕТ да достигне пълната си сила, и да работи надеждно и стабилно и да се възползв от високите степени на защита на ЕМЕТ, включително и отключените скрити настройки на ЕМЕТ.

Следващият раздел е Application configuration. Отваря се от бутона Configure Apps. В Този раздел, можете да задаватe на кои приложения, системата за сигурност на уиндоус, искате да обърне по-специално внимение. В този раздел са включени всички системни защити които ЕМЕТ поддържа, и може да се настройва за всяко приложение по отделно, кои защити да се пуснат икои да се спрат. 

DEP - Data Execution Prevention - противодейства на Buffer Overrun exploitation

ASLR - Address Space Layout Randomization - Противодейства на Return Oriented programming exploitation

SEHOP - Structured Exception Handling Overwrite Protection - противодейства на SEH exploitation

NullPage allocation protection - противодейства на цяло семейство червеи да заразят системата използвайки некоректно заделени области от паметта

Heapspray protection - противодейства на heap spray exploitation

EAF - Export Address Table Filtering - противодейства на shell code exploitation - Скайпе, не може да се стартира с тази защита ако я поставите върху skype.exe. Скайпе работи добре с всички останали системни защити.

Bottom Up Randomization - помощна защита, която подсилва ASLR и допълнително затруднява Return Oriented programming exploitation.

ЕМЕТ е постоянно развиващ се проект, който има за цел да намали успеваемостта от опити за експлойтване на системата. Целта на проекта е до такава степен да затрудни откриването, създаването и използването на експлойти, че да няма смисъл от правенето и прилагането им, просто защото създаването и прилагането им ще е достатъчно голямо затруднение само по себе си и резултатите от успешното създаване и прилагане, на експлойти, няма да оправдаят времето и усилието за създаването им. ЕМЕТ Разчита да намери подкрепа от процесора с хардуерните функции за виртуализация и хардуерния DEP както и от ОС, като общо взето се опитва да обедини собствения си полезен ефект, полезния ефект на вградените в ОС системни защити и тези хардуерно вградени в процесора, като единни системни защити, които се поддържат и подсилват една друга, с разумната цел, до толкова да повдигне летвата, за успешно експлойтване, че да откаже по-голямата част от нападателите, следвайки правилото че колкото повече повдигате летвата, толкова по-малко хора ще се опитат да я прескочат.