Als EMET alle aanvallers stopt, zou het wel leuk zijn, om de juiste instellingen van het programma te mogen weten.
Zo wie voelt zich aangesproken om deze hier te plaatsen.

Heel mooi, maar als ik EMET installeer wil Outlook niet meer opstarten. Dat is me iets te veilig.

EMET houdt geen Java exploits tegen.

Dat hangt van de instellingen van EMET af. Je kunt bijvoorbeeld Outlook verwijderen uit de lijst van programma's die worden gecontroleerd.

Ik heb de instellingen uit het onderzoeksdocument waarnaar in het artikel wordt verwezen
ingesteld, en het eerste programma dat een Caller Mitigation melding weergeeft en wordt afgesloten is internet Explorer.
Nadat ik in EMET configuratie in ROP de Caller optie heb uit gevinkt, werkt Explorer weer gewoon.

De vraag is natuurlijk, is hier wat aan de hand, of EMET niet goed met Explorer, of er is sprake van een probleem.
Ingeval het laatste, hoe kom ik er achter wat het probleem is.
De conclusie die ik voorlopig meen te mogen trekken, is, dat EMET meer vragen oproept, dan
dat het een veilig gevoel geeft.

Vreemd.. hier totaal geen last van EMET en Outlook..

.

http://www.winhelp.us/microsoft-emet.html

Mogelijk worden de problemen met Outlook en IE veroorzaakt door een plug-in. De versie kan natuurlijk ook een groot verschil maken.

Een late reactie van mij,
aanvullend op wat Anoniem, 14-11-2013, 21:10 uur tipte,
voor wie er eventueel nog wat aan kan hebben.

Hieronder een beschrijving van de EMET 4.1 instellingen zoals ik die toepas.
(Een ander kan andere voorkeuren hebben.)


Bij het installeren van EMET, kies "Use Recommended settings".
Na installeren,
open de EMET gebruikersinterface, en maak instellingen naar wens:

EMET\ Skin:
Kies een skin naar eigen voorkeur.
Ik kies Seven Classic.

EMET\ Quick Profile:
Probeer de instelling "Maximum security settings".
Dat levert de volgende instellingen:
DEP: "Always On"
SEHOP: "Always On" (Vista) of "Application Opt Out" (Windows 7 en 8)
ASLR: "Application Opt In"
Pinning: "Enabled"

Levert DEP "Always On" op een gegeven moment onverhoopt een probleem met een of meerdere applicaties, gebruik voor DEP dan de instelling "Application Opt Out".
Onder EMET Quick Profile wordt dan vervolgens weergegeven "Custom security settings".
(Er bestaat in dat geval de kans dat elders in Windows dan een uitzondering voor DEP ingesteld moet worden voor die betreffende applicatie(s).
Dat doe je dan zo nodig onder
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde"
waar je dan zo nodig de applicatie(s) kunt toevoegen die uitgesloten moet(en) worden van controle door DEP.)

Verder,
verwijder het relatief beperkte standaard-profiel "Recommended Software":
EMET\ Apps:
Selecteer onder Appication Configuration\ Mitigations alle apps waarop mitigations zijn toegepast (dat is na de standaard-configuratie het profiel "Recommended Software"),
alle apps selecteren dat doe je door middel van het indrukken en vasthouden van de Shift-toets en vervolgens de eerste en de laatste app aanklikken en dan de Shift-toets loslaten.
Rechtsklik en kies "Disable All Mitigations",
klik nu het rode kruis, "Remove Selected",
Bevestig met OK.

Nu installeer je vervolgens het uitgebreidere profiel "Popular Software".
EMET\ Import:
kies:
C:\Program Files\EMET 4.1\Deployment\Protection Profiles\Popular Software.xml
Dit past de EMET mitigations toe op een relatief uitgebreide voorgeselecteerde reeks programma's.
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder Apps\ Appication Configuration\ Mitigations.

EMET\ Apps\ Appication Configuration:
Vink daar ook aan "Deep Hooks".
N.B.
aanvulling 6-12-2013, betreffend Deep Hooks:
Onder Windows 8 en Windows 8.1 is het wellicht beter om Deep Hooks niet aan te vinken.
Zie de reacties hieronder,
https://www.security.nl/posting/369778#posting370542
https://www.security.nl/posting/369778#posting371820

Ten slotte,
loop zekerheidshalve EMET User's Guide "Table 7: Common Software Compatibility Matrix", pagina 40-42 na, en vergelijk de geadviseerde op de diverse applicaties toe te passen mitigations met de daadwerkelijk toegepaste mitigations zoals je die ziet onder EMET\ Apps\ Appication Configuration\ Mitigations.
Mochten bepaalde mitigations niet correct zijn toegepast zoals die worden aangegeven in tabel 7, dan kun je die zo nodig handmatig aanpassen.
(Bij mij ontbraken onder EMET 4.1 de SEHOP mitigations voor 7-Zip.)
(N.B. Let wel op de uitzonderingen die in tabel 7 zijn aangegeven met "(1)". De met "(1)" aangeduide SEHOP-mitigations voor Windows Media Player, Google Chrome en Google Talk zijn enkel van toepassing op Windows 7/Server 2008R2 en latere Windows versies, en niet op Windows XP/Server 2003 en Windows Vista/Server 2008.)

Veel succes.

Als ik in Win8 of Win8.1 Deep Hooks aan vink, wil Internet Explorer niet meer opstarten.
Ook andere opstart programmas/services van Win8/8.1 lijken dan problemen te krijgen.

Deep Hooks weer uitzetten lijkt bij Win8/8.1 beter te zijn ??


Als je EMET opent zie je een lijst met running processes. Als je die lijst blauw blokt en dan de rechter muistoets inklikt, worden deze processen ook opgenomen in de bescherming. Bij deze opname wordt van sommige processen vermeld dat de opname niet kan (een error dus), de rest wordt toegevoegd aan de Apps-lijst.

Ik vraag mij wel af of deze handelswijze OK is ??

Verder dank voor uw uitleg, en ik hoop op uw reaktie.

Groeten

Opnieuw een late reactie van me.
Dit omdat reacties op deze thread niet opvallen als je de thread niet specifiek opzoekt. (Het e-mail notificatie systeem dat tot begin augustus 2013 bestond, dat bestaat niet meer.)
Daarom een flink verlate reactie.
Wie nog wat wil mededelen of vragen over EMET 4.1, die zou dat in het vervolg in een nieuwe forum-thread kunnen doen, of wellicht voorlopig in de EMET 4.0 forum-thread: https://www.security.nl/posting/41491/EMET+4_0+beschikbaar, gezien het feit dat EMET 4.1 nauwelijks verschilt van EMET 4.0.

Daar lijkt het dan wel op, ja.
Wellicht staat om die reden Deep Hooks niet standaard aangevinkt.
Verder heb ik hier geen kennis over en kan ik er niets zinnigs over zeggen.

Het is een mogelijkheid.
Ik heb die mogelijkheid niet genoemd, omdat ik voor de processen die niet zijn opgenomen in het Popular Software Protection Profile en in "Table 7: Common Software Compatibility Matrix" op pagina 40-42 van de EMET User's Guide niet weet welke mitigations er wel en niet zonder problemen op toegepast kunnen worden.
Je kunt dat voor 'niet opgenomen' processen/apps eventueel zelf uitproberen, maar ik kan je er niets zinnigs over zeggen. Nogmaals, dat is waarom ik niets over die mogelijkheid heb vermeld.

P.S.
Ik kopieer deze bijdrage tevens naar de https://www.security.nl/posting/41491/EMET+4_0+beschikbaar forum-thread.