Consejos avanzados de Microsoft Enhanced Mitigation Experience Toolkit (EMET)

• Categoría: Tutoriales

Pruebe Nuestro Instrumento Para Eliminar Los Problemas

Seleccione El Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Elija Un Programa De Proyección (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Describe Tu Problema

Obtén Una Respuesta

Envíame Por Correo Electrónico Mostrar En El Sitio

El kit de herramientas de experiencia de mitigación mejorada de Microsoft, abreviado EMET, es una descarga opcional para todas las versiones de cliente y servidor compatibles del sistema operativo Windows de Microsoft que agrega mitigación de vulnerabilidades a las defensas del sistema.

Básicamente, ha sido diseñado para evitar que los ataques se lleven a cabo con éxito si ya han violado las defensas del sistema, como las soluciones antivirus.

EMET es fácil de instalar y se ejecuta de fábrica, pero para aprovechar al máximo el programa, debe dedicar tiempo a conocerlo y configurarlo.

Este artículo le brinda sugerencias sobre cómo aprovechar EMET al máximo.

1. Protección de procesos importantes

EMET protege el núcleo de Microsoft y un puñado de procesos de terceros solo después de la instalación. Si bien eso se ocupa de programas como Java, Adobe Acrobat, Internet Explorer o Excel, no protegerá los programas que haya instalado manualmente, como Firefox, Skype o Chrome.

Si bien teóricamente es posible agregar todos sus programas a EMET, es posible que desee considerar agregar solo programas de alto riesgo a la aplicación.

¿Programas de alto riesgo? Una breve definición de un programa de alto riesgo es que se explota con regularidad (por ejemplo, Internet Explorer), es capaz de ejecutar archivos descargados de Internet (navegador web, cliente de correo electrónico) o almacena datos valiosos para usted (por ejemplo, software de cifrado).

Esto haría que Firefox, Chrome y Thunderbird fueran objetivos de alto valor y Notepad, Minesweeper y Paint no.

Para agregar aplicaciones a la lista de protección de EMET

1. Abra EMET en el sistema.
2. Encontrará una lista de procesos en ejecución en la interfaz. Si el programa que desea proteger no se está ejecutando, inícielo en la PC.
3. A continuación, haga clic con el botón derecho en su proceso y seleccione 'configurar proceso' en el menú contextual.
4. Esto agrega el proceso seleccionado a la lista de aplicaciones de EMET.
5. Luego, seleccione Aceptar para guardar la selección y reiniciar el programa que acaba de agregar a EMET.

Propina : Se recomienda probar cada aplicación individualmente antes de comenzar a agregar más procesos a EMET. Es posible que un programa no sea compatible con todas las técnicas de mitigación de exploits que ofrece EMET.

2. Depuración de procesos que se comportan mal

Es bastante probable que encuentre problemas después de agregar programas a EMET. Algunos programas pueden negarse a iniciarse por completo, mientras que otros pueden abrirse y cerrarse inmediatamente después de haberse iniciado.

Este suele ser el caso cuando una o varias mitigaciones no son compatibles con el proceso. El problema principal aquí es que no recibirá información sobre la mitigación que causó el problema.

Verifique que haya un problema

Una de las formas más fáciles de verificar que algo no funciona correctamente es buscar entradas de EMET en el registro de eventos de Windows.

1. Toque la tecla de Windows, escriba visor de eventos y presione enter.
2. Las entradas de EMET se encuentran en Visor de eventos (local)> Registros de Windows> Aplicación.

Le sugiero que ordene por fecha y hora, y busque 'Error de aplicación' como fuente. Debería encontrar EMET.DLL en la lista como el origen del problema en General cuando seleccione una de las entradas del registro.

Obviamente, también puede eliminar todas las protecciones para la aplicación en EMET y ejecutarla nuevamente para ver si resuelve el problema.

Corrigiendo el problema

La única forma infalible de hacer cumplir la compatibilidad con Microsoft EMET es la prueba y el error. Abra la lista de aplicaciones protegidas nuevamente en EMET, desactive todas las protecciones y comience a activarlas nuevamente una por una.

Intente ejecutar el programa después de cada cambio para ver si funciona. Si es así, repita el proceso activando la siguiente mitigación en línea hasta que llegue a una que impida que el programa se inicie.

Deshabilite esa mitigación nuevamente y continúe el proceso hasta que haya habilitado todas las mitigaciones que sean compatibles con el software seleccionado.

Google Chrome, por ejemplo, no pudo comenzar a usar las mitigaciones predeterminadas seleccionadas para nuevos procesos. Descubrí que la única mitigación con la que el navegador no era compatible era EAF, que desactivé como consecuencia.

3. Reglas para todo el sistema

EMET se envía con cuatro reglas para todo el sistema que puede configurar en la interfaz principal. La fijación de certificados, la prevención de ejecución de datos y la protección de sobrescritura del controlador de excepciones estructuradas están habilitadas como reglas para todo el sistema, mientras que la aleatorización del diseño del espacio de direcciones está configurada para optar por participar.

Esto significa que debe habilitar la regla para cada aplicación que desee proteger. Puede cambiar el estado de estas reglas de todo el sistema, por ejemplo, haciendo cumplir la regla de inclusión voluntaria en todo el sistema también.

Sin embargo, esto puede causar problemas con los programas que se ejecutan en el sistema. Dado que se aplica para todos los programas cuando está habilitado, es posible que desee supervisar el sistema de cerca y volver a optar por participar si nota problemas al iniciar o ejecutar aplicaciones en la máquina.

4. Regla de importación y exportación

La configuración de programas en EMET para que estén protegidos por la aplicación lleva un tiempo debido a los problemas descritos anteriormente.

La buena noticia es que no necesita repetir el proceso en otras PC que administra, ya que puede usar la función de importación y exportación de EMET para eso.

Propina : EMET se envía con un conjunto de reglas adicionales que los usuarios pueden agregar al programa. Para acceder a ellos, seleccione importar en EMET y luego uno de los siguientes:

1. CertTrust: configuración predeterminada de EMET de Certificate Trust Pinning para MS y servicios en línea de terceros
2. Software popular: habilita protecciones para software común como Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera
3. Software recomendado: habilita protecciones para el software mínimo recomendado, como Internet Explorer, Microsoft Office, Adobe Acrobat Reader y Java.

La opción 3 es la opción predeterminada que se carga automáticamente. Puede agregar otros programas populares a EMET automáticamente importando las reglas de Software popular.

Migración de reglas y políticas

Para exportar reglas, seleccione el botón exportar en la interfaz principal de EMET. Elija un nombre para el archivo xml en el cuadro de diálogo de guardar y una ubicación.

Este conjunto de reglas se puede importar a otros sistemas o guardarse como una protección en la máquina actual.

Dado que las reglas se guardan como archivos XML, también puede editarlas manualmente.

Los administradores también pueden implementar directivas de políticas de grupo en los sistemas. Los archivos adml / admx son parte de la instalación de EMET y se pueden encontrar en Deployment / Group Policy Files después de la instalación.