Microsoft: wapen Windows met EMET
Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen, omdat veel ontwikkelaars hun applicaties niet goed beveiligen. Windows ondersteunt verschillende technieken die het misbruiken van beveiligingslekken moeten bemoeilijken. Veel programma's van derden maken hier geen gebruik van.
Microsoft onderzocht vorig jaar 41 populaire consumentenprogramma's die wereldwijd miljoenen gebruikers hebben. 29 programma's (71%) gebruikten volledige Data Execution Prevention (DEP). Address space layout randomization (ASLR) werd slechts door 14 programma's (34%) volledig toegepast. "Deze technieken maken het zeer lastig of zelfs onmogelijk om een lek op betrouwbare wijze te misbruiken", zegt Microsoft's Tim Rains.
Exploits
Uit een ander onderzoek bleek dat dat van 184 exploits er 181 op Windows XP werken. Met EMET ingeschakeld werkten er nog maar 21. Windows 7 was voor 10 van de 184 exploits kwetsbaar "Deze gegevens suggereren dat systeembeheerders hun aanvalsoppervlak drastisch kunnen verkleinen door naar de nieuwste versie van het besturingssysteem en applicatiesoftware te upgraden of door EMET te gebruiken, of beide."
Al enige tijd is EMET 3.0 beschikbaar, die het eenvoudiger maakt om het programma in bedrijfsomgevingen uit te rollen. "Als je verantwoordelijk bent voor het beveiligen van de applicaties in je werkomgeving of gewoon de applicaties wil auditen die je thuis hebt draaien, dan adviseer ik je om EMET te proberen" besluit Rains.
Eind juli verscheen een bètaversie van EMET 3.5, met een aantal nieuwe technieken die misbruik door hackers nog verder moeten bemoeilijken.
Reacties (9)
09-08-2012, 13:06 door
[Account Verwijderd]
[Verwijderd]
09-08-2012, 13:32 door
Spiff has left the building
Door Redactie: Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen.
Ik denk dat daar een paar kanttekeningen bij mogen.Allereerst is de winst vooral te behalen met het oude Windows XP, waar volgens het artikel uit een genoemde studie blijkt dat bij toepassing van 184 exploits tegen applicaties, door het toepassen van EMET het aandeel succesvolle exploits terugloopt van 181 naar 21.
Dit terwijl op Windows 7 RTM slechts 10 van de 184 exploits succesvol bleken, zonder enig toepassen van EMET.
http://blogs.technet.com/b/security/archive/2012/08/08/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx
Ten tweede, "thuisgebruikers" -
Om bescherming te bieden moet EMET worden geconfigureerd.
Met de configuratieopties kan naar wens DEP en SEHOP worden toegepast, en kan ASLR worden toegepast op applicaties naar keuze.
Voor het inschakelen van DEP voor alle programma's en services is EMET echter niet noodzakelijk, dat kan ook eenvoudig via Windows, evenals het zo nodig maken van een uitzondering voor DEP voor een enkele applicatie.
En ook voor het inschakelen van SEHOP geldt dat het gebruik van EMET daarvoor niet noodzakelijk is, SEHOP kan ook worden ingeschakeld met een eenvoudige registeraanpassing:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
N.B. Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan zou EMET mogelijk nuttig kunnen zijn om daarmee voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.
Voor het eventueel toepassen van ASLR instellingen heeft EMET werkelijk een toegevoegde waarde, maar daartoe is het nodig dat de gebruiker voldoende kennis bezit om dit op de juiste wijze toe te passen per applicatie (Application Opt In).
De EMET standaard-instelling voor ASLR is "Application Opt In".
De ASLR "Always On" instelling daarentegen is een verborgen 'onveilige' optie, een register-aanpassing is nodig om deze optie te kunnen inschakelen.
Zie: http://rationallyparanoid.com/articles/microsoft-emet-3.html
Dat toepassen van "Always On" voor ASLR is niet voor niks een verborgen optie.
Zie de daarbij behorende waarschuwing:
Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
"Thuisgebruikers" hebben zoals gezegd EMET niet per se nodig voor het toepassen van DEP en SEHOP, en voor het toepassen van ASLR moeten ze beslist voldoende kennis bezitten om dit op de juiste wijze toe te passen.
Die kennis zal zeker niet bij elke thuisgebruiker aanwezig zijn.
[wijziging 1: toevoeging van een alinea van twee zinnen onder "thuisgebruikers"]
[wijziging 2: correctie van een typo]
[wijziging 3: aanvulling betreffende SEHOP]
[En nu even in begrijpelijk Nederlands: EMET is niet geschikt voor de simpele huis,tuin en keuken computergebruiker. O.a.doordat het vrij moeilijk is in te stellen en tevens heb je dit alleen nodig als je een netwerk hebt opgezet,of een eigen website hebt e.d. Maar voor de simpele pc gebruiker die alleen beetje surft en download is EMET niet echt nodig.Zeker niet met winsdows 7. Heb ik het zo goed begrepen? En hoe zit dat als je Vista gebruikt? quote]Door Spiff:
Allereerst is de winst vooral te behalen met het oude Windows XP, waar volgens het artikel uit een genoemde studie blijkt dat bij toepassing van 184 exploits tegen applicaties, door het toepassen van EMET het aandeel succesvolle exploits terugloopt van 181 naar 21.
Dit terwijl op Windows 7 RTM slechts 10 van de 184 exploits succesvol bleken, zonder enig toepassen van EMET.
http://blogs.technet.com/b/security/archive/2012/08/08/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx
Ten tweede, "thuisgebruikers" -
Om bescherming te bieden moet EMET worden geconfigureerd.
Met de configuratieopties kan naar wens DEP en SEHOP worden toegepast, en kan ASLR worden toegepast op applicaties naar keuze.
Voor het inschakelen van DEP voor alle programma's en services is EMET echter niet noodzakelijk, dat kan ook eenvoudig via Windows, evenals het zo nodig maken van een uitzondering voor DEP voor een enkele applicatie.
En ook voor het inschakelen van SEHOP geldt dat het gebruik van EMET daarvoor niet noodzakelijk is, SEHOP kan ook worden ingeschakeld met een eenvoudige registeraanpassing:
http://support.microsoft.com/kb/956607/
Voor het eventueel toepassen van ASLR instellingen heeft EMET wél werkelijk een toegevoegde waarde, maar daartoe is het nodig dat de gebruiker voldoende kennis bezit om dit op de juiste wijze toe te passen per applicatie (Application Opt In).
De EMET standaard-instelling voor ASLR is "Application Opt In".
De ASLR "Always On" instelling daarentegen is een verborgen 'onveilige' optie, een register-aanpassing is nodig om deze optie te kunnen inschakelen.
Zie: http://rationallyparanoid.com/articles/microsoft-emet-3.html
Dat toepassen van "Always On" voor ASLR is niet voor niks een verborgen optie.
Zie de daarbij behorende waarschuwing:
Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
"Thuisgebruikers" hebben zoals gezegd EMET niet per se nodig voor het toepassen van DEP en SEHOP, en voor het toepassen van ASLR moeten ze beslist voldoende kennis bezitten om dit op de juiste wijze toe te passen.
Die kennis zal zeker niet bij elke thuisgebruiker aanwezig zijn.
[wijziging 1: toevoeging van een alinea van twee zinnen onder "thuisgebruikers"]
[wijziging 2: correctie van een typo][/quote]
Door Redactie: Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen.
Ik denk dat daar een paar kanttekeningen bij mogen.Allereerst is de winst vooral te behalen met het oude Windows XP, waar volgens het artikel uit een genoemde studie blijkt dat bij toepassing van 184 exploits tegen applicaties, door het toepassen van EMET het aandeel succesvolle exploits terugloopt van 181 naar 21.
Dit terwijl op Windows 7 RTM slechts 10 van de 184 exploits succesvol bleken, zonder enig toepassen van EMET.
http://blogs.technet.com/b/security/archive/2012/08/08/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx
Ten tweede, "thuisgebruikers" -
Om bescherming te bieden moet EMET worden geconfigureerd.
Met de configuratieopties kan naar wens DEP en SEHOP worden toegepast, en kan ASLR worden toegepast op applicaties naar keuze.
Voor het inschakelen van DEP voor alle programma's en services is EMET echter niet noodzakelijk, dat kan ook eenvoudig via Windows, evenals het zo nodig maken van een uitzondering voor DEP voor een enkele applicatie.
En ook voor het inschakelen van SEHOP geldt dat het gebruik van EMET daarvoor niet noodzakelijk is, SEHOP kan ook worden ingeschakeld met een eenvoudige registeraanpassing:
http://support.microsoft.com/kb/956607/
Voor het eventueel toepassen van ASLR instellingen heeft EMET wél werkelijk een toegevoegde waarde, maar daartoe is het nodig dat de gebruiker voldoende kennis bezit om dit op de juiste wijze toe te passen per applicatie (Application Opt In).
De EMET standaard-instelling voor ASLR is "Application Opt In".
De ASLR "Always On" instelling daarentegen is een verborgen 'onveilige' optie, een register-aanpassing is nodig om deze optie te kunnen inschakelen.
Zie: http://rationallyparanoid.com/articles/microsoft-emet-3.html
Dat toepassen van "Always On" voor ASLR is niet voor niks een verborgen optie.
Zie de daarbij behorende waarschuwing:
Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
"Thuisgebruikers" hebben zoals gezegd EMET niet per se nodig voor het toepassen van DEP en SEHOP, en voor het toepassen van ASLR moeten ze beslist voldoende kennis bezitten om dit op de juiste wijze toe te passen.
Die kennis zal zeker niet bij elke thuisgebruiker aanwezig zijn.
[wijziging 1: toevoeging van een alinea van twee zinnen onder "thuisgebruikers"]
[wijziging 2: correctie van een typo][/quote]
09-08-2012, 22:17 door
Spiff has left the building
@ Anoniem 18:06 uur,
Je hoeft een lange bijdrage niet volledig te citeren,
en het is handig om je eigen bijdrage voor het plaatsen even te checken d.m.v. preview, dan kun je een verkeerd geplaatste citaat-haak nog even corrigeren ;-)
Als inhoudelijk antwoord op je reactie:
Het gebruik van EMET om DEP en SEHOP in te schakelen is beslist niet moeilijk en kan nuttig zijn voor elk systeem waarvoor DEP en SEHOP niet al op andere wijze waren ingeschakeld, bijvoorbeeld omdat de gebruiker niet wist dat het nuttig was en hoe dat gedaan moest worden. Als het zo'n gebruiker met EMET dan wél lukt om DEP en SEHOP in te schakelen, dan is dat beslist waardevol, óók voor Vista en Win7 systemen.
Maar waren DEP en SEHOP al ingeschakeld, dan is EMET daarvoor niet nodig.
Voor het toepassen van ASLR geldt wat ik om 13:32 al aangaf. Het door middel van EMET toepassen van ASLR is mijns inziens voorbehouden aan de gebruikers die voldoende kennis bezitten om ASLR op de juiste wijze toe te passen per applicatie (of om weloverwogen zelfs ASLR "Always On" in te stellen).
Ten slotte als reactie op wat je ook nog stelde of vroeg je bijdrage -
Nee, of je een website beheert, en of je netwerk slechts bestaat uit een modem en een computer of dat je een uitgebreid netwerk beheert, dat is volgens mij niet werkelijk relevant bij de vraag of EMET nuttig voor je kan zijn.
Vooral van belang is 1. of je EMET nodig hebt om DEP en SEHOP in te kunnen schakelen, en of dat anders oningeschakeld zou blijven, en 2. of de gebruiker voldoende kennis bezit om op de juiste wijze ASLR-instellingen toe te passen.
Is alleen al punt 1 van toepassing, dan is het gebruik van EMET wel degelijk nuttig, ook onder Vista en Win7. Maar nogmaals, zijn of worden DEP en SEHOP al op andere wijze ingeschakeld, dan is EMET daarvoor niet nodig.
Ik hoop dat ik daarmee een voldoende duidelijk antwoord op je vraag geef.
Je hoeft een lange bijdrage niet volledig te citeren,
en het is handig om je eigen bijdrage voor het plaatsen even te checken d.m.v. preview, dan kun je een verkeerd geplaatste citaat-haak nog even corrigeren ;-)
Als inhoudelijk antwoord op je reactie:
Het gebruik van EMET om DEP en SEHOP in te schakelen is beslist niet moeilijk en kan nuttig zijn voor elk systeem waarvoor DEP en SEHOP niet al op andere wijze waren ingeschakeld, bijvoorbeeld omdat de gebruiker niet wist dat het nuttig was en hoe dat gedaan moest worden. Als het zo'n gebruiker met EMET dan wél lukt om DEP en SEHOP in te schakelen, dan is dat beslist waardevol, óók voor Vista en Win7 systemen.
Maar waren DEP en SEHOP al ingeschakeld, dan is EMET daarvoor niet nodig.
Voor het toepassen van ASLR geldt wat ik om 13:32 al aangaf. Het door middel van EMET toepassen van ASLR is mijns inziens voorbehouden aan de gebruikers die voldoende kennis bezitten om ASLR op de juiste wijze toe te passen per applicatie (of om weloverwogen zelfs ASLR "Always On" in te stellen).
Ten slotte als reactie op wat je ook nog stelde of vroeg je bijdrage -
Nee, of je een website beheert, en of je netwerk slechts bestaat uit een modem en een computer of dat je een uitgebreid netwerk beheert, dat is volgens mij niet werkelijk relevant bij de vraag of EMET nuttig voor je kan zijn.
Vooral van belang is 1. of je EMET nodig hebt om DEP en SEHOP in te kunnen schakelen, en of dat anders oningeschakeld zou blijven, en 2. of de gebruiker voldoende kennis bezit om op de juiste wijze ASLR-instellingen toe te passen.
Is alleen al punt 1 van toepassing, dan is het gebruik van EMET wel degelijk nuttig, ook onder Vista en Win7. Maar nogmaals, zijn of worden DEP en SEHOP al op andere wijze ingeschakeld, dan is EMET daarvoor niet nodig.
Ik hoop dat ik daarmee een voldoende duidelijk antwoord op je vraag geef.
Jeetje Spiff das een hele mond vol zeg.
Ik heb deze instellingen.
Downloaden op bureaublad zetten en vanaf daar installeren.
Voor Windows XP
Start het programma
knop Configure System en dan kies je voor Maximum Security.
Dep - Always on
SEHOP - Application Opt Out
ASLR - Application Opt In
Voor Windows Vista en Windows 7
Start het programma
knop Configure System en dan kies je voor Custum Setting.
Dep - Always on
SEHOP - Application Opt In
ASLR - Application Opt In
Ik heb deze instellingen.
Downloaden op bureaublad zetten en vanaf daar installeren.
Voor Windows XP
Start het programma
knop Configure System en dan kies je voor Maximum Security.
Dep - Always on
SEHOP - Application Opt Out
ASLR - Application Opt In
Voor Windows Vista en Windows 7
Start het programma
knop Configure System en dan kies je voor Custum Setting.
Dep - Always on
SEHOP - Application Opt In
ASLR - Application Opt In
10-08-2012, 12:03 door
Spiff has left the building
Door Anoniem, do.9-8, 23:51 uur:
Jeetje Spiff das een hele mond vol zeg.
Ja, dat is soms nodig.Jeetje Spiff das een hele mond vol zeg.
Door Anoniem, do.9-8, 23:51 uur:
Ik heb deze instellingen.
[...]
Betreffend DEP:Ik heb deze instellingen.
[...]
Mocht je met DEP Always On ooit een programma of programma-onderdeel tegenkomen dat daarmee crasht, dan kun je voor dat programma of programma-onderdeel een uitzondering (Opt out) maken voor DEP.
Betreffend SEHOP onder Vista en Win7:
Het is verstandig om SEHOP in te stellen op Always On, anders benut je SEHOP nog steeds niet voor alle applicaties.
N.B. Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Zie over SEHOP, onder Known Issues:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan is het via EMET misschien mogelijk om voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.
[wijziging: aanvulling]
11-08-2012, 10:24 door
Spiff has left the building
Aanvulling op mijn reactie van gisteren vr.10-8, 12:03 uur,
en inmiddels daarin ook als aanvulling aangbracht:
Bij SEHOP Always On -
Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Zie over SEHOP, onder Known Issues:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan is het via EMET misschien mogelijk om voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.
[wijziging: aanvulling]
en inmiddels daarin ook als aanvulling aangbracht:
Bij SEHOP Always On -
Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Zie over SEHOP, onder Known Issues:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan is het via EMET misschien mogelijk om voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.
[wijziging: aanvulling]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
