Защита Windows при помощи EMET::Журнал СА 1-2.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Учебные центры  

Карьерные мечты нужно воплощать! А мы поможем

Школа Bell Integrator открывает свои двери для всех, кто хочет освоить перспективную

 Читать далее...

Гость номера  

Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»

Использование мобильных устройств растет. А вместе с ними быстро растет количество мобильных

 Читать далее...

Прошу слова  

Твердая рука в бархатной перчатке: принципы soft skills

Лауреат Нобелевской премии, специалист по рынку труда, профессор Лондонской школы экономики Кристофер

 Читать далее...

Как хорошо вы это знаете  

Портал Инкоманд. Для чего он? Для кого? Какие проблемы решает?

Компания «ЕМДЕВ» – создатель интернет-портала, предлагает всем желающим протестировать себя на

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10088
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8296
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8389
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5336
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6021
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Защита Windows при помощи EMET

Архив номеров / 2015 / Выпуск №1-2 (146-147) / Защита Windows при помощи EMET

Рубрика: Безопасность /  Механизмы защиты

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Защита Windows с помощью EMET

Для Windows доступно немало защитных технологий, способных усложнить атаку на операционную систему, но они не затрагивают установленные в ней приложения. EMET помогает решить эту проблему

Enhanced Mitigation Experience Toolkit (EMET) [1] упоминается практически во всех Security Advisory корпорации Microsoft, распространяется бесплатно, но встречается в реальных установках не так и часто.

Актуальная версия EMET 5.1 от 31 июля 2014 года. Она поддерживает работу в: Windows Vista SP2-8.1, Windows Server 2003 SP2-2012 R2 (релиз 4.1 совместим и с Windows XP SP3).

В более ранних системах потребуется установить .NET Framework 4 и обновление KB2790907 (для IE10 в Windows 8).

Поддержка заканчивается через 24 месяца после выпуска или через 12 месяцев после выпуска следующей основной версии (EMET 6.x), в зависимости от того, какое условие будет выполнено раньше.

Распространяется в виде MSI-файла, который можно установить вручную с помощью групповых политик или диспетчер-конфигураций System Center Configuration Manager.

Защитные механизмы EMET

Инструмент реализует 14 защитных техник, усложняющих атаки на Windows-системы от новых угроз, блокируя уязвимости в ПО и изменение потока выполнения кода. Для защиты используется техника inline patching кода защищаемых процессов, когда перехватываются и анализируются API-вызовы. Ориентирован в первую очередь на устаревшие версии ОС и программы, которые по умолчанию не имеют таких механизмов.

Среди поддерживаемых технологий:

  • Attack Surface Reduction (ASR) (уменьшение области атак) – задаются параметры и область применения (соответствует Security Zones для IE). С его помощью можно, например, разрешить работу Java, Flash во внутренней сети, нозаблокировать при выходе в Интернет. При активации можно задать имя или маску блокируемых модулей. По умолчанию активирован для IE и приложений MS Office, для которых уже имеются готовые предустановки модулей.
  • Export Address Table Filtering (EAF) и Export Address Table Filtering Plus (EAF+, появился в EMET с 5.0) (фильтрация таблицы адресов экспорта) – эксплоит для поиска нужного модуля перебирает информацию в Export Address Table. EAF позволяет ограничить доступ к странице памяти системных библиотек только для разрешенных модулей и блокировать доступ к таблицам для кода, который уже использовался в атаках. Сегодня это kernel32.dll, ntdll.dll и в Plus добавлен kernelbase.dll, но список может расширяться. ЕAF включен по умолчанию для всех приложений, EAF+ для IE и Adobe.

Статью целиком читайте в журнале «Системный администратор», №1-2 за 2015 г. на страницах 45-47.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Страница EMET – http://microsoft.com/emet.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru