TAGS
El kit de herramientas Enhanced Mitigation Experience (EMET) es una herramienta gratuita de Microsoft que incorpora protección avanzada contra los atacantes. El concepto permite mayor protección de los métodos que los hackers utilizan para comprometer los sistemas a través de la explotación. Si eres nuevo en esto, y no es comprensión de la súper tecnología y busca instalar EMET para su hogar o para uso personal (no se preocupe! Es fácil !!!), leche desnatada a la "Instalación EMET Paso a paso paso "tutorial disponible sólo un poco en el presente artículo.
De lo contrario, continúe leyendo por!
mecanismos de protección comunes, tales como espacio de direcciones aleatoria del diseño (ASLR), Prevención de ejecución de datos (DEP), y seguro Handler estructurado de excepciones (SafeSEH) son protecciones construidas en el interior de los sistemas operativos más recientes de Microsoft. Estas protecciones proporcionan un nivel básico de seguridad frente a los métodos conocidos explotar. Los piratas informáticos han aumentado gradualmente la sofisticación de explotar desarrollo y han encontrado formas de eludir una gran parte de estas técnicas de mitigación.
EMET funciona mediante la inyección de un EMET.dll en funcionamiento ejecutables para proporcionar protecciones y mitigaciones nivel de la memoria contra el exploit común técnicas. Nada es perfecto - varios individuos tienen la forma de eludir EMET sin embargo, llega a ser mucho más difícil y tiene que ser incorporado en la explotación. EMET 5.1 fue lanzado ayer (10 de noviembre de 2014) por Microsoft que incluye su última iteración de EMET. La gente de Microsoft continúan moviéndose hacia delante el producto mediante la inclusión de correcciones y mejoras cada vez que lo que es tanto más compatible con varios productos diferentes, así que es más difícil de eludir y bypass.
EMET 5.1 incluye los cuales incluyen:
• Varios problemas de compatibilidad de aplicaciones con Internet Explorer, Adobe Reader, Adobe Flash, y Mozilla Firefox y algunas de las mitigaciones EMET se han resuelto. • Ciertos mitigaciones se han mejorado y endurecido para que sean más resistentes a los ataques y derivaciones. • Añadida función "Telemetría local" que permite guardar localmente volcados de memoria cuando se desencadena una mitigación.
Para las personas nuevas a EMET, la forma en que funciona es primero tiene que implementar EMET, aplicaciones de línea de base y crear una plantilla de qué tipos de aplicaciones que desea cubrir en EMET. El gran error para las grandes organizaciones es que mediante la implementación de EMET, se romperá todo. La verdad del asunto es que EMET sólo protege lo que se especifica, probado y configurado dentro de su perfil de configuración (XML). De hecho tienes que especificar qué aplicaciones desea proteger bajo EMET (hay plantillas comunes que incluyen aplicaciones básicas). TrustedSec ha hecho una serie de implementaciones a gran escala para los clientes empresariales con decenas de miles de activos - siempre y cuando el despliegue se prueba apropiada, EMET es relativamente trivial y fácil de implementar.
En primer lugar diríjase a la página EMET Microsoft para descargar la última versión de EMET. Actualmente esta es la versión 5.1.
A continuación, seleccione la descarga.
A continuación, seleccione el MSI para descargar.
Ejecute el archivo MSI, seleccione siguiente.
Utilice la ruta de instalación por defecto - para mayor seguridad contra ataques automatizados, puede cambiar este directorio ruta para los atacantes que pueden buscar la EMET.dll codificado. Tenga en cuenta que la mayoría de los ataques de memoria orientada simplemente identificar si se ha cargado el EMET.dll, en realidad no comprobar la ruta de EMET.
Seleccionar "Acepto" y pulsa siguiente.
Aquí es donde se realiza la instalación, seleccione Siguiente para comenzar la fase de instalación.
Seleccione "Usar la configuración recomendada" - vamos a cambiar esto en breve.
Seleccione Finalizar para completar la instalación.
Una vez completada la instalación, se debe notar un icono en la parte inferior derecha que se parece a un bloqueo.
Haga doble clic en el icono de bloqueo, y obtendrá la interfaz predeterminada para EMET 5.1.
Un par de artículos para la explicación, la sección de la mitad inferior de "Procesos de marcha" es las aplicaciones que actualmente están protegidos por EMET. Nótese que en esta pantalla no hemos configurado nada para ser protegidos por EMET. De forma predeterminada, EMET protegerá las aplicaciones comunes, tales como Java, Adobe, e Internet Explorer. Sin embargo, no protege nada no se especifica otra de las aplicaciones comunes. Ya que previamente especificada "para el uso recomendado Configuración" que seleccionará las aplicaciones predeterminadas que acabamos de mencionar (Java / Adobe / Internet Explorer). Vamos a querer cambiar esto en breve. Tenga en cuenta que una aplicación protegida tendría una marca de verificación verde bajo "EMET de reproducción" en la parte inferior derecha.
Desde EMET funciona mediante la inyección de una DLL en el espacio de memoria ejecutables, cada vez que configurar ningún nuevo proceso para estar protegido por EMET, nos va a requerir para cerrar la aplicación y reiniciarla (o servicio). No requiere un reinicio completo, sólo los servicios o aplicaciones a sí mismos que reiniciarse.
En la sección "Estado del sistema" de EMET, asegúrese de que el DEP se establece en "Always On", SEHOP a "Always On", y ASLR "Aplicación OPT en". El siguiente es el certificado de colocación de clavos confianza que compruebe seguridad certificado. Este ajuste puede ser problemático cuando se despliegan en las estaciones de trabajo y los puntos finales comunes debido al hecho de que el campo de la gestión de certificados en la mayor parte de la Internet está muy mal estado. Normalmente, esto dará lugar a las alertas para el usuario final y causar confusión. Para los puntos finales, TrustedSec recomienda potencialmente incapacitante esta función.
En la parte superior central, hay una "Ficha Nombre:" campo - se recomienda configurar los ajustes de "Configuración de seguridad máximos" -, mientras que vamos a hacer algunos cambios adicionales aquí en breve, la configuración de máxima seguridad incorporan políticas adicionales de seguridad estrictas y protecciones.
A continuación, seleccione el botón "Aplicaciones" en la mitad superior izquierda para abrir la ventana de la aplicación:
En la parte superior izquierda, aseguran que "Deep ganchos", "Anti desvíos", y "Funciones prohibidas" son seleccionados. Todos ellos deben destacarse como éstas son las configuraciones predeterminadas de 5.x EMET Asegúrese también de "parada en explotar" está seleccionado. El único momento en que es posible que desee implementar "auditoría única" es cuando se están haciendo pruebas iniciales y está experimentando aplicación se bloquea. EMET le notificará en un momento en que sería tradicionalmente bloquear algo de correr frente a detener realmente se ejecute y se puede sintonizar fino protecciones de EMET para no bloquear una cierta protección para la funcionalidad de la aplicación normal.
Para los usuarios de la empresa y tecnología gente con experiencia, tendrá que incorporar aplicaciones adicionales para una mayor protección. Esto es muy recomendable y una necesidad para las implementaciones empresariales.
En la misma ventana que los pasos anteriores, si nos fijamos en la parte inferior de fondo, esta es la lista actualizada de todas las aplicaciones protegidas actualmente en EMET. Puesto que no hemos hecho ningún cambio, se puede ver estos son las aplicaciones predeterminadas protegidos por EMET con el perfil de seguridad seleccionado. Esto incluiría Java, Internet Explorer, Adobe, productos de oficina, y más. Si la creación de una plantilla para su organización como una configuración estándar para las empresas, TrustedSec recomienda crear dos plantillas separadas, una para servidores y otra para estaciones de trabajo / puntos finales.
Para añadir una nueva aplicación, sólo tiene que seleccionar "Añadir aplicación" y EMET punto a un archivo ejecutable que desea proteger. La forma TrustedSec le gusta romper los mecanismos de protección son las siguientes:
1. Los ataques del lado del cliente - las aplicaciones que se pueden utilizar en contra de una estación de trabajo o servidor que se puede aprovechar para la ejecución remota de código. Estos son por lo general las aplicaciones de terceros que están instalados que aceptan alguna forma de entrada, si es un archivo o comandos. Por ejemplo, Foxit Software lector de PDF utiliza comúnmente como un reemplazo para Adobe. Se podría señalar EMET al ejecutable Foxit y sería agregado con éxito. Si el resultado es esto, usted debe notar que cuando se lanza una aplicación adicional de esto, se mostrará en la sección "Correr EMET" tan verde (sólo cuando la aplicación se está ejecutando).
2. Los ataques de servidor / servicio - estos se clasifican como servicios, puertos y protocolos que podrían ser subjetiva a los ataques. Aquí es donde se pone un poco en el lado cauteloso. La postura de Microsoft ha sido proteger su mayoría los ataques del lado del cliente de la explotación. Sin embargo, los servicios comunes también son atacados con frecuencia. EMET se puede implementar en los servicios con el fin de añadir una protección adicional. Un escenario común de implementación que normalmente vemos es colocar EMET sobre IIS, SMTP (transporte), RDP, SMB, RPC, y otros servicios comúnmente atacadas. Tenga en cuenta que esto no es una práctica recomendada de Microsoft sin embargo a través de nuestra experiencia, no hemos visto ningún problema de compatibilidad mediante la colocación de EMET sobre estos servicios. Pensar como un atacante al implementar EMET - que comúnmente a ir después de los puntos finales y servicios expuestos. Tener EMET implementa en estos servicios reduce en gran medida la capacidad de ataque de día cero ángulos, así como una reducción temporal contra parches que faltan. Esto se puede implementar tanto enestaciones de trabajo y servidores / puntos finales. También hemos hecho implementaciones alrededor de DameWare, VNC, y otro software de control remoto sin problema.
Una vez que haya determinado qué aplicaciones para agregar, hay otra sección que hace que sea muy sencillo de configurar los servicios comunes que ya se están ejecutando. Salir del menú de aplicaciones y volver a la pantalla de EMET hogar original. En la sección "Ejecución de Procesos" es una lista de todos los procesos que se ejecutan en el sistema actual. Leerlo a través de los procesos e identificar cuáles son los servicios que desea proteger, por ejemplo, a continuación, vamos a cubrir el servicio IIS (inetinfo) (ejecutable) bajo EMET. Simplemente haga clic en el proceso ejecutable, y seleccione "Configuración de Proceso". Esto añadirá automáticamente a la lista EMET solicitudes de protección.
Ahora que este proceso ya está configurado, si hacemos un IISRESET desde la línea de comandos:
Ahora debemos ver la aplicación totalmente protegido bajo "EMET de reproducción" en la parte derecha, indicado por una marca de verificación verde.
¡Eso es! Ya está protegido. Caminar a través de cada uno de los procesos y aplicaciones que se desea proteger para crear su línea de base.
Para usuarios de la empresa, hay dos principales métodos de implementación que funcionan con éxito para ambas pequeñas y grandes organizaciones. La primera está manejando los cambios de configuración a través de su software de gestión de parches como SCCM. Puede realizar los cambios en la plantilla, y empuje el xml para cada sistema a través de SCCM cuando los cambios son necesarios para la compatibilidad o accesorios. Recuerde de los pasos anteriores, usted quiere mantener dos configuraciones distintas, una para servidores y estaciones de trabajo de otros para / puntos finales (facilita las cosas al tener que implementar y mantener un registro de los cambios). También puede administrar EMET la política del grupo, sin embargo la configuración de directiva de grupo están limitadas en la naturaleza y no tienen la misma granularidad como la utilización de los métodos de implementación XML.
Un buen artículo sobre el despliegue de políticas de grupo se puede encontrar aquí. El truco principal también está creando una tarea programada para realizar una -actualizar EMET_Conf al iniciar la sesión para asegurar las últimas políticas son empujados cuando un nuevo usuario se registra en su máquina.
El segundo método, que es el más preferido es mediante políticas Emet automáticamente refrescantes a través de una tarea programada y un recurso compartido de archivos remoto. En este caso, se debe configurar por completo EMET, probarlo con un XML prístina luego exportarlo. Esto se puede hacer ya sea a través de la interfaz gráfica de usuario o cuando están dentro del directorio de EMET, sólo puede ejecutar:
EMET_Conf.exe -export EMET_Endpoint_Profile.xml
La plantilla A continuación se exportó de manera apropiada. A continuación, cree un GPO y el nombre de algo así como "EMET configuración de despliegue para puntos finales". También debe crear una segunda para configuraciones de servidor y seguir los mismos pasos para exportar el perfil y XML para sus configuraciones de servidor.
Seleccionar propiedades en el nuevo GPO y agarrar el GUID único y documentar el número (se ve algo como {} 343423423-32423432-324324-324-32432).
A continuación, vaya a la parte SYSVOL en un controlador de dominio y vaya a sysvol \ domain \ Policies \ {nueva-GPO-GUID}.
Coloque el archivo EMET_Endpoint_Profile.xml bajo ese nuevo objeto de directiva de grupo.
Ahora que tenemos nuestro perfil aquí, cada vez que tenemos que hacer cambios reemplazan el archivo XML ubicado en esta ubicación (ya sea para el punto terminal o servidor o ambos). Tenga en cuenta que el nombre debe seguir siendo el mismo desde que vamos a crear una tarea programada en breve que llama al archivo específico.
Dado que este es un recurso compartido SYSVOL, cualquier persona que está aparte del grupo de usuarios de dominio tendrá acceso a este objeto de directiva de grupo y el archivo con el fin de importar que, finalmente, en EMET.
Lo siguiente que necesitamos para crear una directiva de grupo que se ejecuta una tarea programada. Hay algunas opciones diferentes que tiene, la primera es mediante la creación de una tarea programada al iniciar la sesión (el despliegue más común) o la otra opción es tener que correr a intervalos determinados (por ejemplo cada hora). Bajo la nueva política de grupo que ha creado (en nuestro ejemplo de configuración de implementación para puntos finales "navegar a la configuración del equipo, las preferencias, los ajustes del panel de control, las tareas programadas. Seleccione" nueva tarea programada ".
A continuación, seleccione un nombre, en este caso utilizamos "Actualización EMET", vaya al directorio EMET 5.1 archivos de programa y seleccione el archivo ejecutable "EMET_Conf.exe". Para argumentos usar la bandera -import con EMET que importar el archivo XML para nosotros y seleccionar nuestro controlador de dominio para tirar de la política del grupo de. En este caso utilizamos el ejemplo de "serverdc1" y proporcione la ruta a nuestra nueva política que hemos creado en la política del grupo y el punto a nuestro XML que recientemente hemos copiado sobre "EMET_Endpoint_Profile.xml".
También podemos especificar cuándo se debe ejecutar este xml, al iniciar la sesión, todos los días, horas, semanas, sean cuales sean sus preferencias personales.
¡Eso es! Uf. Ahora debe tener una tarea programada y siempre que se sustituya el archivo XML que se encuentra en la política del grupo, que se actualizará automáticamente a la población de usuarios sin la necesidad de desplegar empresa paquetes adicionales de ancho por algo así SCCM.
Servicio de Cliente Sistemas Operativos • Windows Vista Service Pack 2 • Windows 7 Service Pack 1 de Windows 8 • • Windows 8.1
Servidor de Operación de Sistemas • Windows Server 2003 Service Pack 2 • Server 2008 Service Pack 2 • Servidor de servicios de Windows Windows 2008 R2 Pack 1 de Windows Server 2012 • • Windows Server 2012 R2
Envolver las cosas - EMET es una herramienta potente y libre que debe ser considerada seriamente por tanto despliegue hogar y empresas. Es obtenible y fácil si usted entiende cómo funciona el EMET y cómo implementarlo dentro de un entorno de gran tamaño. TrustedSec ha visto un sinnúmero de organizaciones que se mueven hacia EMET y siempre y cuando estén debidamente probados y planeadas, los problemas son mínimos o inexistentes. EMET 5.1 continúa a lo largo de las líneas de una gran línea de productos de Microsoft y debería ser elogiado en los mecanismos de protección adicionales que se introduzcan por tener EMET en su lugar.
Este artículo fue escrito por David Kennedy - CEO de TrustedSec
.
