Microsoft uzlabotās mazināšanas pieredzes rīkkopa (EMET) pievelk drošības skrūves sistēmā Windows un lietojumprogrammās. Tas ir iestatīts uzņēmuma izvietošanai un pārvaldībai.
Gadu gaitā Microsoft ir ieviesis sistēmā Windows daudzas aizsardzības tehnoloģijas, piemēram, ASLR, DEP un SAFESEH, lai mazinātu Windows un lietojumprogrammu ievainojamību izmantošanu. Bet Microsoft pamatoti ir ļoti konservatīvs attiecībā uz šādu izmaiņu veikšanu visiem Windows lietotājiem. Ir arī citas darbības, kuras Microsoft nav uzskatījis par vajadzīgām ieviest sistēmā Windows.
Tā vietā Microsoft ievieto tos Uzlabota ietekmes mazināšanas pieredzes rīkkopa (EMET - izrunā ar diviem mīkstajiem e). EMET ir rīks, ko instalējat Windows sistēmā, kas ļauj noteikt papildu ierobežojumus konkrētām šīs sistēmas lietojumprogrammām. Bieži vien, kad Microsoft atklāj ievainojamību, viņi paziņo, ka EMET izmantošana to mazinātu.
Pavisam nesen, in MS14-080decembra kumulatīvais drošības atjauninājums pārlūkprogrammai Internet Explorer, 11 no 14 ievainojamībām bija atmiņas bojājuma ievainojamības un biļetens saka, ka "EMET palīdz mazināt šīs ievainojamības programmā Internet Explorer sistēmās, kurās EMET ir instalēts un konfigurēts darbam ar internetu Pētnieks."
Es vadu EMET savās sistēmās, bet vai jūs to darītu uzņēmumā? Microsoft man saka:
EMET izmanto plašs klientu klāsts katrā segmentā. Mēs īpaši mudinām dzirdēt no drošības pētniekiem un inženieriem, kuri faktiski raksta ļaunprātīgas darbības, sakot, ka viņi izmanto EMET visās izmantotajās datorsistēmās.
EMET atbilst vienai absolūtai uzņēmuma izvietošanas nepieciešamībai: tā ir izvietojama un pārvaldāma, izmantojot Active Directory grupas politikas objektus. ASV Aizsardzības departaments pilnvaro izmantot EMET datorsistēmās un GPO, lai to pārvaldītu. The Windows 7 STIG, (Drošības tehniskās ieviešanas rokasgrāmata — STIG ir datorsistēmu ieviešanas noteikumi) apraksta noteikumus, pamatojumu un dažas procedūras. Jūs varētu darīt daudz sliktāk, nekā sākt ar šo dokumentu saviem plāniem. Tur ir STIGs citām Windows versijām un daudziem citiem produktiem.
GPO ir pieejami EMET pārvaldībai
Galvenais EMET lietošanas trūkums ir tas, ka tā agresīvās metodes palielina lietojumprogrammu saderības problēmu iespējamību. Metodes, iespējamās kļūdas lietojumprogrammās, var izraisīt EMET mazināšanas pasākumus. Tas nozīmē, ka pirms vispārējas izvietošanas uzņēmuma lietojumprogrammas ir jāpārbauda ar EMET.
Iespējams, šim nolūkam vislabāk ir izvēlēties pieredzējušu lietotāju testa grupu. Saskaroties ar problēmām, varat pielāgot sistēmās izmantotos atvieglojumus (skatiet tālāk redzamo ekrānu), līdz tie vismaz maz ticams, ka tie radīs problēmas jūsu lietojumprogrammām. Varat arī izvēlēties tikai reģistrēt EMET noteikšanas datus un neveikt ar tiem nekādas darbības.
Kolonnu galvenes šajā ekrānā ir pieejamie mazināšanas veidi, un ekrānā tiek rādīti noklusējuma iestatījumi, lai jūs varētu redzēt, ka lielākā daļa noklusējuma ir ieslēgta. EMET lietotāja rokasgrāmatā ir sīki aprakstīts, kādi ir atsevišķie riska mazināšanas pasākumi, taču šeit ir daži:
- Heapspray piešķīrumi: izmantojumi parasti ievieto daudzas sava koda kopijas uzbrukuma procesa kaudzē (programmas datu glabāšanas apgabalā atmiņā), lai palielinātu koda palaišanas iespējas. Nav skaidrs, ko EMET dara, lai to atklātu vai bloķētu.
- Obligāts ASLR: ASLR randomizē programmu atrašanās vietu atmiņā, lai bloķētu ROP (atgriešanās orientētas programmēšanas) uzbrukumus. Bet, lai programmu Windows aizsargātu ar ASLR, izstrādātājiem tā ir jāieslēdz apzināti. Jūs joprojām atrodat daudzas programmas vai, iespējams, tikai vienu vai divus DLL programmā, kas nav iestatīti ASLR. Obligāts ASLR liek aizsargāt visus programmas moduļus. (Līdzīgs iestatījums ir DEP (dinamiskās izpildes novēršanai), kuram izstrādātājam ir līdzīga prasība izvēlēties.
- Eksportēt adrešu tabulas piekļuves filtrēšanu (EAF/EAF+): ja uzbrukuma kodam ir jāpalaiž Windows API, tam vispirms ir jāatrod API adreses. Parasti uzbrukumi to dara, meklējot galveno Windows DLLS eksporta adrešu tabulās, kas nozīmē kernel32.dll, ntdll.dll un kernelbase.dll, līdz tiek atrasta tai nepieciešamā. EAF mēģina bloķēt piekļuvi šīm tabulām, izmantojot uzbrukuma kodu. EAF+ šai problēmai pievieno jaunas, agresīvākas metodes; iepriekš redzamajā ekrānuzņēmumā var redzēt, ka EMET parasti ir izslēgts EAF+.
- Zvanītāja pārbaudes: Šis ir vēl viens ROP mazināšanas līdzeklis. EMET pārbauda, vai ir sasniegta kritiskā funkcija, izmantojot CALL vai RET instrukciju.
Microsoft sauc EMET par "izrādes laukumu jaunām, progresīvām drošības taktikām un funkcijām" operētājsistēmai Windows. Varbūt "lauka pārbaude" ir labāks termins nekā izmēģinājumu lauks, taču tas ir īpaši piemērots rīks, jo īpaši tāpēc, ka to izmanto arvien vairāk uzņēmumu.
Tiešām ambiciozie var izmantot savu testa grupu, lai mēģinātu izmantot agresīvākus iestatījumus EMET nekā noklusējuma iestatījumi. Padziļinātas aizsardzības un mazāko privilēģiju garā jums pēc iespējas jāpastiprina iestatījumi. To var izdarīt drošāk un saprātīgāk, reģistrējot agresīvos iestatījumus, nevis apturot lietojumprogrammu, un žurnāli var sniegt jums kaut ko interesantu un noderīgu, ko sniegt izstrādātājam programmatūra.
Tas rada vēl vienu EMET priekšrocību: kā testēšanas rīks, kas tiek plaši izmantots, tas var palīdzēt izstrādātājiem padarīt programmatūru drošāku. Es domāju, ka mēs visi varam aiz tā atkāpties.