Защита Windows при помощи EMET

 СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Защита Windows с помощью EMET

Для Windows доступно немало защитных технологий, способных усложнить атаку на операционную систему, но они не затрагивают установленные в ней приложения. EMET помогает решить эту проблему

Enhanced Mitigation Experience Toolkit (EMET) [1] упоминается практически во всех Security Advisory корпорации Microsoft, распространяется бесплатно, но встречается в реальных установках не так и часто.

Актуальная версия EMET 5.1 от 31 июля 2014 года. Она поддерживает работу в: Windows Vista SP2-8.1, Windows Server 2003 SP2-2012 R2 (релиз 4.1 совместим и с Windows XP SP3).

В более ранних системах потребуется установить .NET Framework 4 и обновление KB2790907 (для IE10 в Windows 8).

Поддержка заканчивается через 24 месяца после выпуска или через 12 месяцев после выпуска следующей основной версии (EMET 6.x), в зависимости от того, какое условие будет выполнено раньше.

Распространяется в виде MSI-файла, который можно установить вручную с помощью групповых политик или диспетчер-конфигураций System Center Configuration Manager.

Защитные механизмы EMET

Инструмент реализует 14 защитных техник, усложняющих атаки на Windows-системы от новых угроз, блокируя уязвимости в ПО и изменение потока выполнения кода. Для защиты используется техника inline patching кода защищаемых процессов, когда перехватываются и анализируются API-вызовы. Ориентирован в первую очередь на устаревшие версии ОС и программы, которые по умолчанию не имеют таких механизмов.

Среди поддерживаемых технологий:

• Attack Surface Reduction (ASR) (уменьшение области атак) – задаются параметры и область применения (соответствует Security Zones для IE). С его помощью можно, например, разрешить работу Java, Flash во внутренней сети, нозаблокировать при выходе в Интернет. При активации можно задать имя или маску блокируемых модулей. По умолчанию активирован для IE и приложений MS Office, для которых уже имеются готовые предустановки модулей.
• Export Address Table Filtering (EAF) и Export Address Table Filtering Plus (EAF+, появился в EMET с 5.0) (фильтрация таблицы адресов экспорта) – эксплоит для поиска нужного модуля перебирает информацию в Export Address Table. EAF позволяет ограничить доступ к странице памяти системных библиотек только для разрешенных модулей и блокировать доступ к таблицам для кода, который уже использовался в атаках. Сегодня это kernel32.dll, ntdll.dll и в Plus добавлен kernelbase.dll, но список может расширяться. ЕAF включен по умолчанию для всех приложений, EAF+ для IE и Adobe.

Статью целиком читайте в журнале «Системный администратор», №1-2 за 2015 г. на страницах 45-47.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Страница EMET – http://microsoft.com/emet.

Комментарии могут оставлять только зарегистрированные пользователи