Защита Windows при помощи EMET::Журнал СА 1-2.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 305
Комментарии: 1
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 402
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 329
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 255
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 823
Комментарии: 0
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Защита Windows при помощи EMET

Архив номеров / 2015 / Выпуск №1-2 (146-147) / Защита Windows при помощи EMET

Рубрика: Безопасность /  Механизмы защиты

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Защита Windows с помощью EMET

Для Windows доступно немало защитных технологий, способных усложнить атаку на операционную систему, но они не затрагивают установленные в ней приложения. EMET помогает решить эту проблему

Enhanced Mitigation Experience Toolkit (EMET) [1] упоминается практически во всех Security Advisory корпорации Microsoft, распространяется бесплатно, но встречается в реальных установках не так и часто.

Актуальная версия EMET 5.1 от 31 июля 2014 года. Она поддерживает работу в: Windows Vista SP2-8.1, Windows Server 2003 SP2-2012 R2 (релиз 4.1 совместим и с Windows XP SP3).

В более ранних системах потребуется установить .NET Framework 4 и обновление KB2790907 (для IE10 в Windows 8).

Поддержка заканчивается через 24 месяца после выпуска или через 12 месяцев после выпуска следующей основной версии (EMET 6.x), в зависимости от того, какое условие будет выполнено раньше.

Распространяется в виде MSI-файла, который можно установить вручную с помощью групповых политик или диспетчер-конфигураций System Center Configuration Manager.

Защитные механизмы EMET

Инструмент реализует 14 защитных техник, усложняющих атаки на Windows-системы от новых угроз, блокируя уязвимости в ПО и изменение потока выполнения кода. Для защиты используется техника inline patching кода защищаемых процессов, когда перехватываются и анализируются API-вызовы. Ориентирован в первую очередь на устаревшие версии ОС и программы, которые по умолчанию не имеют таких механизмов.

Среди поддерживаемых технологий:

  • Attack Surface Reduction (ASR) (уменьшение области атак) – задаются параметры и область применения (соответствует Security Zones для IE). С его помощью можно, например, разрешить работу Java, Flash во внутренней сети, нозаблокировать при выходе в Интернет. При активации можно задать имя или маску блокируемых модулей. По умолчанию активирован для IE и приложений MS Office, для которых уже имеются готовые предустановки модулей.
  • Export Address Table Filtering (EAF) и Export Address Table Filtering Plus (EAF+, появился в EMET с 5.0) (фильтрация таблицы адресов экспорта) – эксплоит для поиска нужного модуля перебирает информацию в Export Address Table. EAF позволяет ограничить доступ к странице памяти системных библиотек только для разрешенных модулей и блокировать доступ к таблицам для кода, который уже использовался в атаках. Сегодня это kernel32.dll, ntdll.dll и в Plus добавлен kernelbase.dll, но список может расширяться. ЕAF включен по умолчанию для всех приложений, EAF+ для IE и Adobe.

Статью целиком читайте в журнале «Системный администратор», №1-2 за 2015 г. на страницах 45-47.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Страница EMET – http://microsoft.com/emet.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru