Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)

31-07-2014, 21:30 door W. Spu, 98 reacties
De final version van EMET 5.0 is uitgekomen en is te downloaden via http://www.microsoft.com/en-us/download/details.aspx?id=43714. De announcement blog post is te lezen op deze pagina http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx.
Reacties (98)
31-07-2014, 23:17 door vanegmond
Ik wacht meestal een paar weken, zelfs met een Final version van iets.
Mochten de Experts van EMET zo vriendelijk willen zijn, hoe installeeer je 5.0
over 4.1 heen ?
Laatste keer moest ik alle instellingen laten staan van 4.0, want anders raakte
ik de snelkoppeling kwijt waarmee 4.1 kon worden gestart !
Dus hoe installeer ik 5.0, verwijder ik eerst 4.1 ?
Doe ik daarna , oude settings bewaren ?
Het is toch de bedoeling om de Software op je PC, zoals Freemake daar juist
in te zetten, zodat EMET kan ingrijpen als er iets niet klopt bij die software of
vinden de Security Members het in EMET zetten van eigen Software zoals Freemake
niet verstandig ?
Hoe gebruiken de Members nu eigenlijk EMET ? Alleen met Populair Software ?
31-07-2014, 23:20 door Spiff has left the building - Bijgewerkt: 31-07-2014, 23:21
@ W. Spu,

Ha, mooi, dankjewel voor het melden.
Ik zal EMET 5.0 binnenkort uitproberen.

EMET 5.0 TP1 gaf me teveel problemen, zie https://www.security.nl/posting/380416/,
maar ik hoop dat de dappere testers met vervolgens TP2 en TP3 alle fouten hebben weten te vinden en dat de dappere programmeurs met EMET 5.0 mooi werk hebben afgeleverd.

Wie trouwens de EMET Application compatibility list zoekt, met de eerdere versies zat die in de EMET User Guide, met EMET 5.0 Final niet meer, nu kun je die hier vinden:
http://support.microsoft.com/kb/2909257/nl
http://support.microsoft.com/kb/2909257/en
31-07-2014, 23:45 door Spiff has left the building
@ vanegmond, 23:17 uur,

Ik heb zelf EMET 5.0 Final nog niet geïnstalleerd en uitgeprobeerd, dus ik kan je nog weinig zeggen.
Later wil ik gerust met je meedenken.

Ikzelf maak overigens eerst de mitigations van EMET 4.1 Update 1 ongedaan en deïnstalleer vervolgens EMET 4.1 u1 voordat ik EMET 5.0 Final installeer en configureer.
Ik kan je dus ook later niet vertellen of je EMET 5.0 Final met prima succes overheen EMET 4.1 kunt installeren. Iemand anders kan je dat misschien vertellen.

Met de snelkoppeling waarmee EMET 4.1 kan worden gestart bedoel je wellicht het EMET pictogram in het Windows Systeemvak? Ik weet niet waardoor je dat eerder kwijtraakte.
Mogelijk had Windows het EMET pictogram in het Windows Systeemvak slechts verborgen.
Gebruik je Windows 7, meen ik?
Via de knop met pijltje in het Systeemvak (“Verborgen pictogrammen weergeven”) kun je via Aanpassen, Systeemvakpictogrammen, per pictogram aangeven of en wanneer het wel/niet getoond moet worden. Een verborgen EMET pictogram kun je zo gemakkelijk weer in het Windows Systeemvak weergeven.

Of je in EMET 5.0 de settings van EMET 4.1 kunt importeren, dat weet ik niet.
Ik ga dat zelf niet uitproberen.
Gezien de veranderingen van EMET 5.1 naar EMET 5.0 maak ik liever nieuwe settings.

Wat betreft het toepassen van EMET mitigations op andere software dan die in het EMET protection profile Popular Software, dat kan uiteraard, maar ik heb daar zelf geen ervaring mee.
Zoals ik hier aangaf
https://www.security.nl/posting/395852#posting396807
Door Spiff, 28-07-2014, 15:14 uur:
Ik heb EMET niet toegepast op Freemake Video Downloader.
Het zal misschien best kunnen, maar dan zou ik moeten uitzoeken of Freemake Video Downloader compatible is met alle EMET mitigations, of dat bepaalde EMET mitigations uitgeschakeld moeten worden voor Freemake Video Downloader.
Bij het toepassen van EMET op Freemake Video Downloader en het gebruik van Freemake Video Downloader merk je gauw genoeg of dat wel of geen conflicten oplevert. Levert het conflicten op, dan kun je alle EMET mitigations voor Freemake Video Downloader uitschakelen en ze dan één voor één toevoegen om te zien welke mitigations problemen geven en in het vervolg uitgeschakeld moeten blijven bij de EMET mitigations voor Freemake Video Downloader. Maar zoals ik zei, ik heb dat zelf nooit toegepast en uitgezocht.
Hetzelfde geldt voor andere software waarop je de EMET mitigations wil toepassen maar die niet in het EMET protection profile Popular Software zit.
01-08-2014, 00:00 door Anoniem
Ik heb deze noch niet geprobeerd, maar ik heb eerder EMET gewoon over een oudere versie geïnstalleerd, zonder problemen. Instellingen worden mooi overgenomen. De laatste keer heb ik EMET 5.0 TP 1 over EMET 4.1 geinstalleerd.
01-08-2014, 00:54 door Spiff has left the building - Bijgewerkt: 01-08-2014, 00:55
Door vanegmond, do.31-07-2014, 23:17 uur:
Dus hoe installeer ik 5.0, verwijder ik eerst 4.1?
Uit de EMET 5.0 User Guide, pagina 34 van de pdf, pagina 31 van de tekst:
EMET 4 Questions

Is my configuration from EMET 4 compatible with EMET 5?

Yes, EMET 4 configuration is compatible with EMET 5.

I have EMET 4 installed. Should I uninstall it before installing the new version?
You don’t need to uninstall EMET 4 before installing EMET 5.
EMET 5 installer will automatically uninstall EMET 4 and install EMET 5.
The Configuration Wizard provides an upgrade experience to safely migrate current settings from EMET 4.


01-08-2014, 09:15 door Anoniem
Vanaf EMET 3 kan je gewoon de nieuwe versie bovenop de oude installeren:

"I have an old version of EMET installed. How do I upgrade to EMET 5?
If you have a version of EMET older than 3, it is recommended that you first uninstall the old version via
the Windows Control Panel, and then manually delete the HKLM\Software\Microsoft\EMET and
HKLM\Software\Policies\Microsoft\EMET keys.
If you have EMET 3 or EMET 4 and want to upgrade to EMET 5, you can run the installation package and
follow the instructions to either maintain your old configuration or apply the recommended one. "
01-08-2014, 11:37 door Spiff has left the building
Bij wat Anoniem 09:15 citeerde uit de EMET 5.0 User Guide -
Inderdaad, dat staat er ook in, pagina 35 van de pdf, pagina 32 van de tekst.
Het is een goeie aanvulling op wat ik 00:54 uur al citeerde.
Het bevestigt wat ik 00:54 uur al citeerde, en geeft daarnaast aan hoe het zit met updaten van EMET 3 of eerder.
01-08-2014, 11:47 door Spiff has left the building
Nog een handig weetje:
Anders dan ik eerder dacht (zie https://www.security.nl/posting/41491#posting370538), is het voor het toepassen van het (uitgebreide) protection profile Popular Software niet nodig eerst het (beperkte) protection profile Recommended Software te verwijderen.
Bij het toepassen van het protection profile Popular Software wordt automatisch het protection profile Recommended Software vervangen/overschreven. Er treden geen doublures op.
Netjes, dat scheelt weer een handeling bij het configureren van EMET :-)
01-08-2014, 15:30 door [Account Verwijderd] - Bijgewerkt: 01-08-2014, 15:34
Bedankt voor het melden W.Spu

Door Spiff 31-07-2014 23:20 uur:

Wie trouwens de EMET Application compatibility list zoekt, met de eerdere versies zat die in de EMET User Guide, met EMET 5.0 Final niet meer, nu kun je die hier vinden:
http://support.microsoft.com/kb/2909257/nl
http://support.microsoft.com/kb/2909257/en

Ik vind op deze pagina's alleen de niet-compatible oplossingen van EMET 3 en EMET 4 beschreven. Zal dit voor EMET 5 onveranderd zijn gebleven?
01-08-2014, 15:55 door Spiff has left the building
Door Spiff, do.31-07-2014, 23:20 uur:
Wie trouwens de EMET Application compatibility list zoekt, met de eerdere versies zat die in de EMET User Guide, met EMET 5.0 Final niet meer, nu kun je die hier vinden:
http://support.microsoft.com/kb/2909257/nl
http://support.microsoft.com/kb/2909257/en
Door _kraai__, 15:30 uur:
Ik vind op deze pagina's alleen de niet-compatible oplossingen van EMET 3 en EMET 4 beschreven.
Zal dit voor EMET 5 onveranderd zijn gebleven?
Ja, ik vind dat nogal slordig.
Ik neem aan dat dat wat voor EMET 4 is beschreven ook geldt voor EMET 5, gezien het feit dat de opzet van EMET 4 is overgenomen in EMET 5, maar betreffend de nieuwe mitigations in EMET 5, EAF+ en ASR, biedt het geen informatie over incompatibiliteiten.
Dat laatste is wellicht geen probleem zolang EMET's Recommended Software of Popular Software protection profile wordt overgenomen, inclusief de geselecteerde mitigations, maar voor wie wil experimenteren met het uitgebreider toepassen van de nieuwe mitigations EAF+ en ASR zal het dat zijn - experimenteren - gezien het feit dat de EMET Application compatibility list voor EMET 3 en 4 nog niets zegt over EAF+ en ASR incompatibiliteiten.
Ik mag hopen dat die EMET Application compatibility list binnnkort wordt uitgebreid met informatie die specifiek van toepassing is op EMET 5.
01-08-2014, 17:48 door W. Spu - Bijgewerkt: 01-08-2014, 20:56
Inmiddels zelf wat getest met EMET 5.0 op een virtuele Windows 7 64-bit computer. Ik heb versie 5 over EMET 4.1u1 heen geïnstalleerd via 'msiexec /i "EMET Setup.msi" /qb! /norestart'. De oude versie werd netjes gedeïnstalleerd en EMET 5.0 is gelijk actief. Ik heb wat basis testen gedaan met het testen van Java, Flash player en Adobe Reader en geen echte problemen ondervonden. Mijn virtuele computer reageert wat traag en een filmpje met YouTube kon niet afgespeeld worden maar nadat ik de virtuele computer weer in de vorige staat heb terug gebracht blijkt dat met EMET 4.1u1 een YouTube filmpje ook niet afgespeeld kan worden terwijl flash wel werkt. Vermoedelijk ligt het dus niet aan EMET...

Ik heb vervolgens EMET 4.1u1 verwijderd en gecontroleerd of alle instellingen en bestanden echt weg waren. Na de unattended installatie van de nieuwe versie is de Quick Profile "recommended security settings" geselecteerd maar zijn er geen Apps en Trust pinning rules geconfigureerd.Via de Wizard knop de recommend settings geconfigureerd.

In de virtuele computer reageert IE en Adobe Reader echt traag en krijg ik vaak de "not responding" melding. Na lang wachten zie ik voor Adobe Reader een verzoek van EMET om een rapport naar Microsoft te sturen. De EMET mitigation melding heb ik gemist maar ik zie wel in de application event log "EMET detected EAF+ (GuardPage) mitigation and will close the application: AcroRd32.exe. EAF+ (guard page) check failed:...". Dit probleem is ook al door anderen geconstateerd. Zie ook http://social.technet.microsoft.com/Forums/security/en-US/92e04b6a-e47c-43f8-aa0b-4a94b164bccf/emet-5-eaf-breaks-adobe-reader-protected-view-mode?forum=emet. Op Microsoft EMET connect portal https://connect.microsoft.com/emet/Feedback is er nog geen nieuwe melding van gemaakt.

Uiteindelijk wordt geconstateerd dat Java niet gedetecteerd wordt in Internet Explorer. Bij controle van de instellingen blijkt dat nu wel de Attack Surface Reduction voor IE is ingesteld terwijl dat bij de upgrade niet het geval was. Testen of het wel lukt als ik de website toevoeg aan de trusted sites lukt niet echt omdat IE nauwelijks reageert. Het CPU gebruik van iexplore.exe is vrij hoog maar het CPU gebruik van de virtuele computer niet echt. Veel later zie in de application event log de melding "EMET detected ASR mitigation in iexplore.exe" en kort daarvoor "The program iexplore.exe version 9.0.8112.16561 stopped interacting with Windows and was closed." Inmiddels lijkt IE wat beter te reageren maar ik krijg wel "We kunnen niet verifiëren of Java op uw browser is geïnstalleerd en geactiveerd." te zien. In EMET ASR uitgeschakeld voor IE en IE opnieuw gestart. IE reageert wederom slecht... Een half uur later zie ik eindelijk de Java control panel vanwege de tracing en logging optie's die ik aan heb staan maar weer krijg ik "We kunnen niet verifiëren of Java op uw browser is geïnstalleerd en geactiveerd." te zien.

Ik ben het wachten zat en geef het voor nu even op. Ik zal proberen of ik volgende week verder kan testen op een andere virtuele computer of een echte test computer...

Edit 20.55: Eindelijk reageert IE een beetje vlot en "U beschikt over de juiste Java-versie. (Version 7 Update 65).".IE afgesloten, ASR voor IE aan gezet, IE weer gestart en.... 5 minuten later.....
01-08-2014, 19:18 door Anoniem
Even een opmerking, de geavanceerde opties van EAF+ en ASR worden standaard niet toegevoegd als je je huidige instellingen behoud.
Hieronder staande de geavanceerde opties uit het Popular Software profiel:

EAF+ opties:
-Acrobat.exe: AcroRd32.dll;Acrofx32.dll;AcroForm.api
-AcroRd32.exe: AcroRd32.dll;Acrofx32.dll;AcroForm.api
-firefox.exe: mozjs.dll;xul.dll
-iexplore.exe: mshtml.dll;flash*.ocx;jscript*.dll;vbscript.dll;vgx.dll

ASR opties:

-EXCEL.EXE: flash*.ocx
-iexplore.exe: Modules: npjpi*.dll;jp2iexp.dll;vgx.dll;msxml4*.dll;wshom.ocx;scrrun.dll
Internet Zone Exceptions: Local intranet; Trusted sites
-POWERPNT.EXE: flash*.ocx
-WINWORD.EXE: flash*.ocx
01-08-2014, 19:56 door vanegmond
Met de snelkoppeling waarmee EMET 4.1 kan worden gestart bedoel je wellicht het EMET pictogram in het Windows Systeemvak? Ik weet niet waardoor je dat eerder kwijtraakte.
Mogelijk had Windows het EMET pictogram in het Windows Systeemvak slechts verborgen.
Gebruik je Windows 7, meen ik?
Via de knop met pijltje in het Systeemvak (“Verborgen pictogrammen weergeven”) kun je via Aanpassen, Systeemvakpictogrammen, per pictogram aangeven of en wanneer het wel/niet getoond moet worden. Een verborgen EMET pictogram kun je zo gemakkelijk weer in het Windows Systeemvak weergeven.

Met die snelkoppeling @ Spiff bedoel ik, dat na het installeren van Update 1, dus Emet 4.1. Bij Progamfiles, geen pictogram
stond op Emet 4.1 te starten !? Dus ook niet bij Verborgen Pictogrammen, daar stond er wel een maar die startte niet.
Ik heb die dus maar weer eruit gedaan en daarna opnieuw, maar toen met behoud van oude instellingen,
Heb gelijk gekeken naar Systeempictogrammen, goeie tip, thanks !
Vandaar mijn vragen over het installeren van EMET 5.0.
Las net in een andere topic over EMET 5.0 dat PeterV zie, gewoon bij Emet 4.1 blijven, dus wat is wijsheid.

Ook of het wel of niet in EMET zetten van al je Software, bv een interface om te schaken, of om te
tekenen, daar hoor ik niemand over ?
Terwijl dat nu juist de bedoeling van EMET is volgens mij. Of zijn de Populair Settings van EMET genoeg ?
Zag ook in de afbeelding dat ze jouw Deep Hooks @ Spiiff nu in EMET 5.0 wel aangevinkt hebben.
01-08-2014, 21:51 door Spiff has left the building
Door vanegmond, 19:56 uur:
Met die snelkoppeling @ Spiff bedoel ik, dat na het installeren van Update 1, dus Emet 4.1. Bij Progamfiles, geen pictogram stond op Emet 4.1 te starten!?
Bedoel je in Menu Start? Ah, daaraan had ik niet gedacht, doordat ik zelf voor het openen van de EMET gebruikers-interface doorgaans het pictogram in het Systeemvak gebruik.
Door vanegmond, 19:56 uur:
Dus ook niet bij Verborgen Pictogrammen, daar stond er wel een maar die startte niet.
Ik heb die dus maar weer eruit gedaan en daarna opnieuw, maar toen met behoud van oude instellingen.
Wanneer de EMET snelkoppeling in Menu Start ontbrak en het EMET pictogram in het Systeemvak niet functioneerde, dan was er blijkbaar bij de installatie iets niet goed gegaan.
Mogelijk had opnieuw installeren van EMET het probleem opgelost, ook zonder behoud van oude instellingen? Dat is achteraf uiteraard niet meer vast te stellen.

Door vanegmond, 19:56 uur:
Ook of het wel of niet in EMET zetten van al je Software, bv een interface om te schaken, of om te tekenen, daar hoor ik niemand over?
Terwijl dat nu juist de bedoeling van EMET is volgens mij. Of zijn de Populair Settings van EMET genoeg?
EMET is voor elk wat wils.
Er is niet één 'bedoeling'.
EMET kan eventueel out-of-the-box worden gebruikt, na de standaard-installatie met Recommended Settings, met enkel protection profile Recommended Software, maar gevorderde gebruikers kunnen aan de andere kant ook helemaal los met het naar eigen inzicht onder EMET's hoede brengen van allerlei software en/of het aanpassen van de mitigations. Niets moet, alles mag. Het is aan een ieder om te bepalen wat die wil toepassen en/of uitproberen.
Ook via EMET\ System Status kunnen non-standaard aanpassingen worden gemaakt, voor DEP, SEHOP, ASLR en Pinning. Ikzelf heb met EMET 5.0 nu de unsafe option "Always On" setting voor ASLR toegepast. Dat is bepaald niet standaard, maar wel een optie.
Zoals ik aangaf, EMET is op allerlei manieren te gebruiken, iedereen bepaalt voor zich wat die wilt, en de een zal daarbij anders te werk gaan dan de ander.
Of het onder EMET's controle brengen van een veelheid aan software, zoals jij aangeeft, door veel anderen wordt toegepast, dat weet ik niet. Ikzelf laat EMET mijn persoonlijke systeeminstellingen voor DEP en SEHOP overnemen en zet nu tevens ASLR "Always On" en ik pas EMET's mitigations toe op het protection profile Popular Software, maar iedereen is vrij om diverse andere software onder EMET's controle te brengen en/of andere aanpassingen te maken.
Naar aanleiding van je vraag ben ik best benieuwd wat anderen doen, hoe anderen EMET configureren.

Door vanegmond, 19:56 uur:
Zag ook in de afbeelding dat ze jouw Deep Hooks @ Spiiff nu in EMET 5.0 wel aangevinkt hebben.
Klopt.
Dat is al zo sinds EMET 4.1 Update 1.
01-08-2014, 22:13 door [Account Verwijderd]
Door W. Spu:
In de virtuele computer reageert IE en Adobe Reader echt traag en krijg ik vaak de "not responding" melding. Na lang wachten zie ik voor Adobe Reader een verzoek van EMET om een rapport naar Microsoft te sturen. De EMET mitigation melding heb ik gemist maar ik zie wel in de application event log "EMET detected EAF+ (GuardPage) mitigation and will close the application: AcroRd32.exe. EAF+ (guard page) check failed:...". Dit probleem is ook al door anderen geconstateerd. Zie ook http://social.technet.microsoft.com/Forums/security/en-US/92e04b6a-e47c-43f8-aa0b-4a94b164bccf/emet-5-eaf-breaks-adobe-reader-protected-view-mode?forum=emet. Op Microsoft EMET connect portal https://connect.microsoft.com/emet/Feedback is er nog geen nieuwe melding van gemaakt.

Ik maak gebruik van een Windows 7 64 bits systeem met EMET 5.0. Met Adobe Reader heb ik nog geen problemen ondervonden en ook Internet Explorer vind ik niet traag reageren. (IE11)

Overigens wanneer ik gebruik maak van het F12-ontwikkelhulpprogramma krijg ik soms wel de volgende melding:

"EMET detected DEP mitigation and will close the application iexplore.exe."

Echter heb ik geen idee waar dit vandaan komt.
01-08-2014, 22:33 door W. Spu - Bijgewerkt: 01-08-2014, 22:40
Door _kraai__:
Ik maak gebruik van een Windows 7 64 bits systeem met EMET 5.0. Met Adobe Reader heb ik nog geen problemen ondervonden en ook Internet Explorer vind ik niet traag reageren. (IE11)

Kun je controleren of je Protected View Mode aan hebt staan? In Adobe Reader is 'Protected View' in te stellen via Edit > Preferences > Security (Enhanced) > Protected View. The Protected View opties zijn 'Off', 'Files from potentially unsafe locations' and 'all files'. Volgens mij staat de Protected View standaard niet aan.

Het traag reageren van IE en Reader heb ik nog niet geconstateerd op andere systemen aangezien ik nog niet in de gelegenheid ben geweest het op meer systemen te testen. Ik beschouw het als een incident.
01-08-2014, 22:35 door [Account Verwijderd]
Voor wie geïnteresseerd is, ik configureer EMET 5.0 als volg:

Ik gebruik bij Quick Profile Name de Maximum security settings.

Verder gebruik ik het Popular Software protection profile en heb ik Deep Hooks aangevinkt.

Ik ben verder nog van plan om nog andere software onder EMET's controle te brengen.
01-08-2014, 22:55 door [Account Verwijderd]
Door W. Spu:
Door _kraai__:
Ik maak gebruik van een Windows 7 64 bits systeem met EMET 5.0. Met Adobe Reader heb ik nog geen problemen ondervonden en ook Internet Explorer vind ik niet traag reageren. (IE11)

Kun je controleren of je Protected View Mode aan hebt staan? In Adobe Reader is 'Protected View' in te stellen via Edit > Preferences > Security (Enhanced) > Protected View. The Protected View opties zijn 'Off', 'Files from potentially unsafe locations' and 'all files'. Volgens mij staat de Protected View standaard niet aan.

Ik heb dit gecontroleerd. Protected View stond niet aan. Na dit te hebben ingeschakeld voor alle bestanden kreeg ik ook de melding van EMET 5,0 die jij omschreef in je post van 01-08-2014 17:48.

Door W. Spu 01-08-2014 17:48 uur:

Na lang wachten zie ik voor Adobe Reader een verzoek van EMET om een rapport naar Microsoft te sturen. De EMET mitigation melding heb ik gemist maar ik zie wel in de application event log "EMET detected EAF+ (GuardPage) mitigation and will close the application: AcroRd32.exe. EAF+ (guard page) check failed:...".
02-08-2014, 11:39 door W. Spu
Door W. Spu:
Het traag reageren van IE en Reader heb ik nog niet geconstateerd op andere systemen aangezien ik nog niet in de gelegenheid ben geweest het op meer systemen te testen. Ik beschouw het als een incident.

Als EAF+ voor IExplore.exe uitgeschakeld wordt reageert IE wat beter. Als ook EAF uitgeschakeld wordt start IE snel maar als er naar http://www.java.com/nl/download/installed.jsp?detect=jre crasht IE. Dit gebeurd ook als ASR uitgeschakeld(*1) wordt. Als ook Stack Pivot uitgeschakeld wordt start IE snel en wordt Java gedetecteerd.
Als ik ASR weer inschakel met EAF, EAF+ en Stack Pivot uitgeschakeld detecteerd EMET een ASR mitigation. Ik had al http://www.java.com toegevoed aan de trusted sites en onder All Settings voor IExplore.exe is bij Internet Zones Exceptions is de Trusted Sites zone ook geselecteerd. Als ik deze de-selecteer wordt Java helemaal niet gedetecteerd en krijg ik nog steeds een ASR mitigation melding. De reden hiervoor is dat (volgens de logging en tracing in de Java console) de applets via https://www.java.com geladen worden. Als 'www.java.com' in de trusted sites gezet wordt gaat alles goed.


*1: let op er is een verschil tussen het uitschakelen van ASR via de standaard Application Configuraton pagina en via de Show All Settings optie. Als het vinkje verwijderd uit de checkbox van de ASR setting verwijderd wordt worden ook de Modules en Internet Zones Exceptions tekst velden geleegd. Wanneer je de ASR mitigation weer wilt aan zetten wordt de All Settings pagina getoond en staat er een rood kruis naast de Modules tekst veld. Als ASR op Off gezet wordt via de Show All Settings optie blijven de tekst velden wel gevuld maar zijn deze grayed out. Als ASR weer op On gezet wordt zijn de opties weer actief.
P.S.: Ik heb dit via de Microsoft EMET connect portal als bug gemeldt!
02-08-2014, 12:28 door Spiff has left the building - Bijgewerkt: 02-08-2014, 12:35
@ W. Spu,

EMET 5.0 gaat dus blijkbaar slecht samen met een geïnstalleerde Java JRE.
En blijkbaar ook met Adobe Reader met Protected View, zoals je eerder aangaf.
Ik snap niet goed dat bij de EMET 5.0 TP1, TP2 en TP3 testronden de problemen die je nu tegenkomt niet zijn ontdekt en vervolgens verholpen.

Met Windows Vista x86 zónder Java JRE en zónder Adobe Reader ervaar ik overigens géén problemen met IE9 met alle EMET mitigations voor iexplore.exe toegepast (waaronder dus ook EAF, EAF+ en ASR), maar na EMET 5.0 TP1, TP2 en TP3 zou je toch verwachten dat hetzelfde zou mogen gelden voor Windows 7 x64 met Java JRE en Adobe Reader met Protected View.

Hoeveel TP-rondes zijn er nodig om een final te kunnen afleveren die werkt?
Waren er mogelijk te weinig bèta-testers?
Ik zou me daar wat bij kunnen voorstellen, gezien de praktijk waarbij de toegang tot de TP-versies anders dan met eerdere EMET bèta's een Microsoft inlog verlangde, én gezien een 5.0 TP1 die naar mijn mening nog een rotbende was waarna ik afhaakte met bèta-testen. Ik kan me voorstellen dat EMET 5.0 minder bèta-testers had dan eerdere EMET-versies, te weinig bèta-testers misschien, met de huidige nog bestaande problemen met de 5.0 final tot gevolg.

Erg jammer.
02-08-2014, 13:14 door W. Spu
Door Spiff: @ W. Spu,

EMET 5.0 gaat dus blijkbaar slecht samen met een geïnstalleerde Java JRE.
En blijkbaar ook met Adobe Reader met Protected View, zoals je eerder aangaf.
Ik snap niet goed dat bij de EMET 5.0 TP1, TP2 en TP3 testronden de problemen die je nu tegenkomt niet zijn ontdekt en vervolgens verholpen.

Met Windows Vista x86 zónder Java JRE en zónder Adobe Reader ervaar ik overigens géén problemen met IE9 met alle EMET mitigations voor iexplore.exe toegepast (waaronder dus ook EAF, EAF+ en ASR), maar na EMET 5.0 TP1, TP2 en TP3 zou je toch verwachten dat hetzelfde zou mogen gelden voor Windows 7 x64 met Java JRE en Adobe Reader met Protected View.
Ik heb nog niet kunnen testen met andere systemen dus ik kan nog geen conclusies trekken


Hoeveel TP-rondes zijn er nodig om een final te kunnen afleveren die werkt?
Waren er mogelijk te weinig bèta-testers?
Ik zou me daar wat bij kunnen voorstellen, gezien de praktijk waarbij de toegang tot de TP-versies anders dan met eerdere EMET bèta's een Microsoft inlog verlangde, én gezien een 5.0 TP1 die naar mijn mening nog een rotbende was waarna ik afhaakte met bèta-testen. Ik kan me voorstellen dat EMET 5.0 minder bèta-testers had dan eerdere EMET-versies, te weinig bèta-testers misschien, met de huidige nog bestaande problemen met de 5.0 final tot gevolg.
Ik heb ook alleen EMET 5.0TP1 (en oppervlakkig) getest en wat bevindingen gemaild naar Microsoft maar verder nooit wat gehoord. Ook op eerdere feedback op de Microsoft connect portal heb ik geen reactie gehad. Sinds EMET 5.0 final is uitgekomen is mijn feedback over TP verwijzingen in de User's Guide afgehandeld en is de status van de feedback over de problemen met Adobe Reader met protected view op accepted gezet.


Erg jammer.
inderdaad
02-08-2014, 15:59 door [Account Verwijderd] - Bijgewerkt: 02-08-2014, 15:59
Door W. Spu:

Als EAF+ voor IExplore.exe uitgeschakeld wordt reageert IE wat beter. Als ook EAF uitgeschakeld wordt start IE snel

Bij mij staat EAF+ en EAF ingeschakeld en heb geen last van het traag opstarten van IE (wel dat het programma moet worden afgesloten en niet reageert maar niet vaak.)

Is misschien iemand het probleem tegengekomen dat ik in mijn post van 01-08-2014 22:13 omschreef:

Door _kraai__ 01-08-2014 22:13uur:

Overigens wanneer ik gebruik maak van het F12-ontwikkelhulpprogramma krijg ik soms wel de volgende melding:

"EMET detected DEP mitigation and will close the application iexplore.exe."

Dit probleem treed op wanneer ik de reactietijd van het gebruikersinterface ga profileren. Wanneer ik een webpagina open en het profileren start en vervolgens na een tijdje stop, treden er geen problemen op. Echter wanneer ik vervolgens naar een andere webpagina navigeer en het profileren opnieuw start en na een tijdje weer stop, treed het hierboven beschreven probleem op.
02-08-2014, 18:17 door Spiff has left the building
Door _kraai__, 01-08-2014, 22:13 uur:
Overigens wanneer ik gebruik maak van het F12-ontwikkelhulpprogramma krijg ik soms wel de volgende melding:
"EMET detected DEP mitigation and will close the application iexplore.exe."
Door _kraai__, 02-08-2014, 15:59 uur:
Dit probleem treed op wanneer ik de reactietijd van het gebruikersinterface ga profileren. Wanneer ik een webpagina open en het profileren start en vervolgens na een tijdje stop, treden er geen problemen op. Echter wanneer ik vervolgens naar een andere webpagina navigeer en het profileren opnieuw start en na een tijdje weer stop, treed het hierboven beschreven probleem op.

Ik heb het net uitgeprobeerd met IE9 met Windows Vista x86.
Ik heb het probleem dat je aangaf niet kunnen reproduceren.

Welke Windows versie met welke browser en browserversie gebruikte je?
Windows 7 x64 met IE11?
En treed het probleem op met alle webpagina's, of alleen met specifieke webpagina's?
02-08-2014, 18:41 door W. Spu - Bijgewerkt: 02-08-2014, 18:41
Door _kraai__:
Overigens wanneer ik gebruik maak van het F12-ontwikkelhulpprogramma krijg ik soms wel de volgende melding:

"EMET detected DEP mitigation and will close the application iexplore.exe."

Dit probleem treed op wanneer ik de reactietijd van het gebruikersinterface ga profileren. Wanneer ik een webpagina open en het profileren start en vervolgens na een tijdje stop, treden er geen problemen op. Echter wanneer ik vervolgens naar een andere webpagina navigeer en het profileren opnieuw start en na een tijdje weer stop, treed het hierboven beschreven probleem op.

Volgens mij krijgen we allemaal wel eens een EMET melding die niet echt reproduceerbaar is. Ik krijg ze ook wel eens bij het afsluiten van een programma. Vermoedelijk zal dit veroorzaakt worden door een programmeerfout in de applicatie die onder bepaalde voorwaarden optreedt en een EMET melding veroorzaakt. Is er ook een specifiek forum voor die F12-ontwikkelhulpprogramma? Misschien kun je daar iemand vinden die ook EMET gebruikt. Je zou ook een vraag kunnen stellen op het Technet forum van EMET: http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet
02-08-2014, 20:05 door [Account Verwijderd] - Bijgewerkt: 03-08-2014, 20:34
Door Spiff 02-08-2014 18:17 uur:

Ik heb het net uitgeprobeerd met IE9 met Windows Vista x86.
Ik heb het probleem dat je aangaf niet kunnen reproduceren.

Welke Windows versie met welke browser en browserversie gebruikte je?
Windows 7 x64 met IE11?
En treed het probleem op met alle webpagina's, of alleen met specifieke webpagina's?

Ik gebruik IE11 en Windows x64

Overigens ben ik er net achter gekomen dat deze melding (beschreven in mijn post van 01-08-2014 22:13) ook optreed bij EMET4.1u1. Deze heb ik nog geïnstalleerd staan op een andere PC (Windows 7 32 bits)

Tot nu toe is het probleem bij elke webpagina opgetreden (zowel op het 32bits als het 64 bits systeem), en bij HTML documenten die ik op mijn pc heb opgeslagen (alleen het 64 bits systeem op het 32 bits systeem niet getest).

Overigens als ik mij niet vergis is het F12-ontwikkelhulpprogramma in IE11 nogal vernieuwd, dus dit kan misschien de oorzaak zijn dat jij het probleem niet kan reproduceren met IE9 met Windows Vista x86.

Door W. Spu 02-08-2014 18:41 uur:

Volgens mij krijgen we allemaal wel eens een EMET melding die niet echt reproduceerbaar is. Ik krijg ze ook wel eens bij het afsluiten van een programma. Vermoedelijk zal dit veroorzaakt worden door een programmeerfout in de applicatie die onder bepaalde voorwaarden optreedt en een EMET melding veroorzaakt. Is er ook een specifiek forum voor die F12-ontwikkelhulpprogramma? Misschien kun je daar iemand vinden die ook EMET gebruikt. Je zou ook een vraag kunnen stellen op het Technet forum van EMET: http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet

Ik zal een kijken in het Windows Ontwikkelaarscentrum of er een specifiek forum is voor het F12-ontwikkelhulpprogramma. Zelf een vraagstellen wordt echter lastig aangezien ik nu niet erg goed ben in de Engels taal.

Overigens probeerde ik EMET 5.0 zojuist ook op het hierboven omschreven Windows 7 32 bits systeem proberen te installeren. Echter na installatie van EMET 5.0 start IE niet en geeft EMET de volgende melding:

"EMET detected EAF mitigation and will close the application iexplore.exe."

EMET 5.0 dus maar weer verwijderd en EMET 4.1u1 opnieuw geïnstalleerd.

aanvulling.

Het probleem met het F12-ontwikkelhulpprogramma is nog niet zo heel vervelend als ik navigeer naar een ander webpagina start ik simpelweg het F12 ontwikkelhulpprogramma gewoon even opnieuw op (Een handeling die ik toch al standaard uitvoer), het is echter wel opvallend.

Door Spiff:
Erg jammer.

Inderdaad erg jammer.

aanvulling 2

Wanneer ik het vinkje bij EAF weghaal (Op het systeem met Windows 7 32bits systeem EMET 5.0), startte IE wel op maar verscheen er vervolgens meteen een foutmelding.
04-08-2014, 10:56 door [Account Verwijderd] - Bijgewerkt: 04-08-2014, 10:57
Inmiddels heb ik (zoals ik in mijn reactie van 02-08-2014 20:05 aangaf) gekeken voor een specifiek forum maar (nog) niet gevonden. Ik zal nog even verder zoeken.
04-08-2014, 12:38 door W. Spu
Door _kraai__: Inmiddels heb ik (zoals ik in mijn reactie van 02-08-2014 20:05 aangaf) gekeken voor een specifiek forum maar (nog) niet gevonden. Ik zal nog even verder zoeken.

Dan lijkt mij het EMET forum http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet nog de beste optie. Via Google translate (eventueel in Chrome) kun je de pagina automatisch laten vertalen. Als je de vraag in het Nederlands opstelt kun je die natuurlijk ook laten vertalen door Google translate en aanpassen. Ik zie vaker wel vragen die niet helemaal in correct Engels geschreven zijn en ook mijn Engels is niet perfect...

Ik heb trouwens zelf je probleem proberen te reproduceren op het W764 test systeem met IE9 en op een W32 systeem met IE11. In beide gevallen kon ik het probleem met DEP niet oproepen terwijl ik toch meerdere malen de profiler gestopt en gestart heb op verschillende pagina's.
04-08-2014, 12:43 door W. Spu
Vanmorgen een snapshot gemaakt van mijn andere virtuele test systeem met Windows 7 32-bit met Internet Explorer 11. Na de installatie werkte Internet Explorer 11 en Adobe Reader iets trager maar zeker niet zo traag als op het andere test systeem. Op het W764 test systeem werkte IE9 ook traag nadat ik terug gegaan was naar de vorige staat met EMET 4.1. Het zal dus wel iets op het systeem zelf zijn. Op hetzelfde systeem werkte Adobe Reader ook weer snel nadat ik (net zoals bij IE) EAF, EAF+ en Stack Pivot uitgeschakeld had....
Na mijn vakantie zal ik de test systemen eens geheel opnieuw uitrollen.
04-08-2014, 13:57 door [Account Verwijderd]
Bedankt voor de moeite W.Spu.

Door W. Spu 04-08-2014 12:38:

Ik heb trouwens zelf je probleem proberen te reproduceren op het W764 test systeem met IE9 en op een W32 systeem met IE11. In beide gevallen kon ik het probleem met DEP niet oproepen terwijl ik toch meerdere malen de profiler gestopt en gestart heb op verschillende pagina's.

Of het probleem bij IE9 optreed weet ik niet ik heb het zelf namelijk alleen bij IE11 gehad. Verder Heb je het F12 ontwikkelhulpprogramma tussendoor niet afgesloten? Verder treed bij mij het probleem alleen of als ik het F12 ontwikkelhulpprogramma even verklein tijdens het profileren en de webpagina dus in beeld heb.

Echter ervaar ik het probleem niet als irritant maar het viel mij gewoon op.

Ik zal zelf het probleem nog eens bekijken aangezien andere (in zoverre ik weet) het niet kunnen produceren. Excuses voor mijn terughoudendheid met het stellen van een vraag op het EMET forum.

Overigens begrijp ik dat je mijn ander probleem ook niet heb kunnen reproduceren omdat je het F12 ontwikkelhulpprogramma op het Windows 7 32-bits systeem kreeg opgestart en dus (als ik mij niet vergis) IE11 ook.

Door _kraai__02-08-2014 20:05 uur:

Overigens probeerde ik EMET 5.0 zojuist ook op het hierboven omschreven Windows 7 32 bits systeem proberen te installeren. Echter na installatie van EMET 5.0 start IE niet en geeft EMET de volgende melding:

"EMET detected EAF mitigation and will close the application iexplore.exe."

EMET 5.0 dus maar weer verwijderd en EMET 4.1u1 opnieuw geïnstalleerd.
Door _kraai__02-08-2014 20:05 uur:

aanvulling 2

Wanneer ik het vinkje bij EAF weghaal (Op het systeem met Windows 7 32bits systeem EMET 5.0), startte IE wel op maar verscheen er vervolgens meteen een foutmelding.

Verder zet ik mijn twee vragen eventueel in een nieuwe thread als de vakantie periode is afgelopen.

Door W. Spu:
Na mijn vakantie zal ik de test systemen eens geheel opnieuw uitrollen.

Een fijne vakantie toegewenst :-)
04-08-2014, 16:28 door Anoniem
Net als meer gebruikers heb ook ok EMET 5.0 problemen. De hele rits Microsoft programma's als IE 11 Office Word, Excel, die allen niet meer willen opstarten. Probleem EAF mitigation.
Gelet op de vele reacties, kan je dus als gewone gebruiker eigenlijk niks met EMET, want de programma's die bij mij niet meer werken, doen het bij anderen wel.
EMET geeft immers een gevoel van veiligheid bij de één, en een onveilig gevoel bij de andere.
04-08-2014, 22:34 door [Account Verwijderd]
Door Anoniem 04-08-2014 16:28: Net als meer gebruikers heb ook ok EMET 5.0 problemen. De hele rits Microsoft programma's als IE 11 Office Word, Excel, die allen niet meer willen opstarten. Probleem EAF mitigation.
Gelet op de vele reacties, kan je dus als gewone gebruiker eigenlijk niks met EMET, want de programma's die bij mij niet meer werken, doen het bij anderen wel.
EMET geeft immers een gevoel van veiligheid bij de één, en een onveilig gevoel bij de andere.

Het probleem wat jij omschrijft met EMET 5.0 dat IE11 niet wil opstarten, heb ik ook last van. (Ik vermoed dat wij het zelfde probleem hebben). Ik heb EMET4.1 update 1 opnieuw geïnstalleerd op de PC waarop ik problemen ondervond, omdat ik met EMET4.1 update 1 geen problemen ondervond op mijn PC.

Eventueel zou jij ook kunnen overwegen om EMET4.1 update 1 te installeren en te kijken of je met EMET4.1 update 1 geen problemen ondervindt op jouw PC.
04-08-2014, 22:58 door Anoniem
@Kraai, Als gewone consument met iets meer kennis van de PC dan de gemiddelde gebruiker, is ook voor mij EMET een niveau te hoog, net als de meeste virus en firewall programma's, en die doen ook gewoon hun werk, zonder allerlei hocus pocus.
Het probleem is dat Microsoft een programma op de markt heeft gezet, die de gebruiker een gevoel van veiligheid had moeten geven, in plaats van een gevoel van onveiligheid. Nota bene hun eigen software dat door EMET wordt gestopt, is toch wel een enorm brevet van onvermogen.
Hiervoor gebruikte ik EMET 4.1 en voor zover ik mij herinner moest ik daar ook één en andere beveiligingskenmerk zoals EAF uitvinken voor hun eigen software.
08-08-2014, 02:45 door Spiff has left the building
01-08-2014, 21:51 uur (https://www.security.nl/posting/397253#posting397404), had ik het over het toepassen van de "Always On" system setting voor ASLR in EMET 5.0.
Zonet ontdekte ik dat ASLR "Always On" opvallend bleek te conflicteren met het programma Freemake YouTube to MP3.
Het proberen te openen van Freemake YouTube to MP3 leverde een merkwaardige melding, ongeveer zoiets als "This program may have been tempered with" en zoiets als 'misschien wel door een virus'. Volstrekte onzin natuurlijk, en ik weet niet of het EMET of Freemake YouTube to MP3 was dat die melding genereerde, maar het was nogal opvallend, en reproduceerbaar.
Na het omzetten van de "Always On" system setting voor ASLR in EMET 5.0 naar de ASLR "Application Opt In" system setting functioneert Freemake YouTube to MP3 weer normaal.
Niks dramatisch, maar wel zo opvallend dat ik het even wilde melden.
08-08-2014, 22:35 door vanegmond - Bijgewerkt: 08-08-2014, 23:18
van W.Spu, De final version van EMET 5.0 is uitgekomen en is te downloaden via http://www.microsoft.com/en-us/download/details.aspx?id=43714.

Het zal wel aan mij liggen, maar ik kan op deze site, geen download ontdekken !?

Wat doe ik verkeerd, en graag. Waar moet ik op deze site op klikken om EMET 5.0 te downloaden ?

Lag aan Firefox, denk No Script, met Chrome kwam Download gelijk tevoorschijn .
Dus Dag Firefox, of No Script eruit.
09-08-2014, 00:17 door Spiff has left the building
@ vanegmond, vr.08-08, 22:35+ uur,
Ik kan je niet vertellen hoe NoScript je precies dwars zat/zit.
Mogelijk kan iemand anders je daarmee helpen.
Maar als je kunt downloaden door middel van Google Chrome, dan is er geen probleem meer, denk ik?
09-08-2014, 00:36 door vanegmond
Maar als je kunt downloaden door middel van Google Chrome, dan is er geen probleem meer, denk ik?

Nee, alles gelukt @ Spiff ! Pffff, niet bijster slim dat gedoe met Firefox, maar ja.....tis gelukt.
En Emet 5.0 met jullie advies {Spiff/W.Spu/Anoniem} Populair Software erin gezet.
Ik heb net trouwens ook Recommended Software erin gezet, was ik vergeten.
Nu geen problemen met Snelkoppeling, wel iets met Chrome, wat na opstarten van de PC
weg zou zijn, of ik verder wilde gaan, Continue dus en niks aan de hand, ook niet op te hoeven
starten, weet niet zo gauw wat dat met Chrome was.
Ook toch maar weer mijn Schaakinterface, en ik denk dat ik Freemake er toch ook weer in ga
zetten, zonder problemen gegaan met Emet 4.1 , dus nu ook niet denk ik.

Weet niet hoe makkleijk dat Dowload naar Mp3 is , maar ik doe zelf Mp3 in een mapje.
Dan start ik Freemake Converter en dan kun je kiezen waarnaar, Mp3 dus in jouw geval.
Gaat snel en doet diverse tegelijk.
09-08-2014, 01:05 door Spiff has left the building
Door vanegmond, 00:36 uur:
En Emet 5.0 met jullie advies {Spiff/W.Spu/Anoniem} Populair Software erin gezet.
Ik heb net trouwens ook Recommended Software erin gezet, was ik vergeten.
Um...
Bij de standaard-installatie met "Use Recommended Settings", wordt automatisch het EMET protection profile Recommended Software toegepast.
Pas je vervolgens het (uitgebreide) protection profile Popular Software toe, dan overschrijft dat het (beperkte) protection profile Recommended Software. Dat is wat je daarmee wilt bereiken.
Ik weet niet zeker wat er gebeurt wanneer je vervolgens weer het (beperkte) protection profile Recommended Software toepast, zoals je aangeeft dat je gedaan hebt. Waarschijnlijk overschrijft dat dan weer het (uitgebreide) protection profile Popular Software met het (beperkte) protection profile Recommended Software. En dat was niet je bedoeling, denk ik.
Het lijkt me dan verstandig om vervolgens nogmaals opnieuw het (uitgebreide) protection profile Popular Software toe te passen.

Door vanegmond, 00:36 uur:
Weet niet hoe makkelijk dat Dowload naar Mp3 is , maar ik doe zelf Mp3 in een mapje.
Dan start ik Freemake Converter en dan kun je kiezen waarnaar, Mp3 dus in jouw geval.
De verschillende Freemake software biedt mogelijkheden die elkaar met de verschillende applicaties wat overlappen.
Freemake YouTube to MP3 biedt een optie die ook in Freemake Video Downloader zit, maar met een wat hogere download/conversie-kwaliteit. Maar wat jij aangaf is ook een mogelijkheid.
Ik zal niet verder op Freemake YouTube to MP3 ingaan.
Ik noemde het enkel om aan te geven wat ASLR "Always On" deed op mijn systeem, omdat ik eerder nog een enthousiaste vermelding had gemaakt van het toepassen van ASLR "Always On", en tevens als illustratie van de onverwachte dingen die sommige EMET-instellingen kunnen doen.
09-08-2014, 01:14 door Spiff has left the building
P.S.
Het is wat overbodig wanneer we hetzelfde in twee EMET-threads blijven neerzetten.
Mijn melding over ASLR "Always On" plaatste ik in beide EMET-threads, omdat ik in allebei eerder had geschreven over het toepassen van ASLR "Always On".
Maar buiten dat denk ik dat het goed is dat we niet alles over EMET, Freemake software, etc. etc. steeds in beide threads tegelijk blijven neerzetten.
We moeten een keuze zien te maken wélke nieuwe bijdragen in wélke thread horen.
Ik stop hierna in ieder geval met het in twee threads tegelijk plaatsen van reacties op twee maal dezelfde vragen of reacties.
09-08-2014, 23:52 door W. Spu
Heeft iemand verder nog ervaringen met EMET 5.0? Ik heb zelf nog problemen ondervonden met Skype, Windows Mediaplayer en 7-zip Filemanager.

Volgens mijn is dit het enigste Nederlands talige forum met ervaringen over EMET of heb ik wat gemist? Engels talige forums over EMET zijn die van Microsoft http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet en http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631. Verder heb je nog https://connect.microsoft.com/emet/Feedback maar mogelijk is daar niet iedereen lid van.
10-08-2014, 01:08 door Spiff has left the building
Door W. Spu, za.09-08, 23:52 uur:
Heeft iemand verder nog ervaringen met EMET 5.0?
Ik heb zelf nog problemen ondervonden met Skype, Windows Mediaplayer en 7-zip Filemanager.
- 08-08, 02:45 uur, beschreef ik het conflict van ASLR "Always On" met het programma Freemake YouTube to MP3.
- G Data IS 2015 BankGuard bleek af en toe een false positive te geven na toepassing van EMET 5.0. Dat is opgelost door middel van het met G Data's Change File tool een nieuwere versie van de BankGuard dll te installeren.
- Een paar keer een probleempje met IE9, waarna het betreffende tabblad gesloten en opnieuw geopend wordt, maar dat trad ook al af en toe op met de EMET 4.x versies, dat is niets nieuws dus.
- 7-Zip heb ik nog niet gebruikt met EMET 5.0. Met eerdere EMET versies gaf het geen problemen.
Heb je voor 7-Zip niet de EAF (en EAF+) mitigation toegepast? 7-Zip is niet compatible met EMET's EAF mitigation.
- Met Windows Media Player heb ik geen problemen gehad, maar ik heb slechts even een mp3-tje getest.
Heb je voor WMP niet de MandatoryASLR, EAF (en SEHOP onder Vista en eerder) mitigations toegepast? WMP is niet compatible met die EMET mitigations.

Door W. Spu, za.09-08, 23:52 uur:
Volgens mijn is dit het enigste Nederlands talige forum met ervaringen over EMET of heb ik wat gemist?
Ik heb net even een rijtje Nederlandstalige fora gecheckt, maar ik vond er enkel post betreffende eerdere EMET versies, niets betreffend EMET 5.0.
10-08-2014, 13:54 door [Account Verwijderd]
Door W. Spu: Heeft iemand verder nog ervaringen met EMET 5.0?

Inmiddels heb ik EMET mitigrations toegepast op software die niet in het protection profile Popular software staat. Over het resultaat ben ik tevreden.
10-08-2014, 20:37 door Anoniem
Door EricJan H te A.

"unsafe options" zijn precies dàt. Moest een restore (System restore point) tot voor EMET 5.0 uitvoeren, want het alleen terugzetten van de registerwaarde in "safe mode" bleek niet voldoende. Booten lukte nog. Aanmelden ook. Maar ergens ging er van alles fout RPC-server busy; Powercfg stopped etc etc. Resulterend in een door het OS geforceerde reboot.
10-08-2014, 21:32 door Spiff has left the building
Door Anoniem [EricJan H te A.], 20:37 uur:

"unsafe options" zijn precies dàt. Moest een restore (System restore point) tot voor EMET 5.0 uitvoeren, want het alleen terugzetten van de registerwaarde in "safe mode" bleek niet voldoende. Booten lukte nog. Aanmelden ook. Maar ergens ging er van alles fout RPC-server busy; Powercfg stopped etc etc. Resulterend in een door het OS geforceerde reboot.

Um.. waar doel je precies op?
Je hebt het over de situatie na het maken van een register-aanpassing om de unsafe option "Always On" setting voor ASLR vrij te geven en die vervolgens toe te passen in EMET, zo vermoed ik?
Zoals beschreven in de EMET 5.0 User Guide, onder Advanced Options, Enabling Unsafe Configurations, pagina 28 van de tekst, pagina 31 van de pdf.

Daar staat ook beschreven wat je moet doen wanneer er ten gevolge van dat instellen van ASLR "Always On" wat fout gaat:
booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
Dus EMET's ASLR system setting terugzetten van "Always On" naar "Application Opt In".
Niet het terugzetten van de registerwaarde.
De aanpassing van het register dient slechts om de "Always On" mogelijkheid voor ASLR vrij te geven.
Is vervolgens ASLR "Always On" toegepast in EMET, dan kun je dat ongedaan maken door EMET's ASLR system setting terug te zetten van "Always On" naar "Application Opt In". Nogmaals, niet door het terugzetten van de eerder aangepaste registerwaarde.
10-08-2014, 22:59 door Anoniem
Door EricJan H te A.

Door Spiff:De aanpassing van het register dient slechts om de "Always On" mogelijkheid voor ASLR vrij te geven.
Is vervolgens ASLR "Always On" toegepast in EMET, dan kun je dat ongedaan maken door EMET's ASLR system setting terug te zetten van "Always On" naar "Application Opt In". Nogmaals, niet door het terugzetten van de eerder aangepaste registerwaarde.

Niet uitgetest zeker Spiff? ;-) EMET start niet in "Safe mode". Misschien had ik dat er even bij moeten zeggen. Shame on me. Inmiddels heb ik op het WWW al wel een manier gevonden om "Program and Features" uninstall aan de praat te krijgen. Iets wat door MS standaard ook wordt uitgezet in "Safe mode". Dit soort disasters levert altijd weer nieuwe kennis op.
11-08-2014, 12:08 door Spiff has left the building - Bijgewerkt: 11-08-2014, 12:14
Door Anoniem [EricJan H te A.], zo.10-08, 22:59 uur:
Niet uitgetest zeker Spiff? ;-)
Haha, daar heb je me ;-)
Nee, ik volgde slechts wat de EMET User Guide aangeeft.
Er doordat jij iets heel anders deed dan wat de EMET User Guide aangeeft, ging ik er vanuit dat je per vergissing wat anders deed en de aanwijzingen in de EMET User Guide over het hoofd gezien had of verkeerd begrepen had.
Maar uit wat je nu aangeeft blijkt dat de EMET User Guide betreffend EMET en Safe Mode dus blijkbaar mis zit.

Door Anoniem [EricJan H te A.], zo.10-08, 22:59 uur:
EMET start niet in "Safe mode". Misschien had ik dat er even bij moeten zeggen. Shame on me. Inmiddels heb ik op het WWW al wel een manier gevonden om "Program and Features" uninstall aan de praat te krijgen. Iets wat door MS standaard ook wordt uitgezet in "Safe mode". Dit soort disasters levert altijd weer nieuwe kennis op.
Nogal een ontdekking, dat EMET niet start in Safe Mode, en dat je zo dus niet EMET's ASLR system setting kunt terugzetten van "Always On" naar "Application Opt In".
Dat maakt het toepassen van ASLR "Always On" inderdaad beslist een unsafe configuration/ setting/ option, zoals je dat eerder aangaf.
Iets om beslist ook aan het EMET-team door te geven, zo lijkt me.

Van mij alvast hartelijk bedankt voor de informatie.
11-08-2014, 22:53 door W. Spu
Door Spiff:
- 7-Zip heb ik nog niet gebruikt met EMET 5.0. Met eerdere EMET versies gaf het geen problemen.
Heb je voor 7-Zip niet de EAF (en EAF+) mitigation toegepast? 7-Zip is niet compatible met EMET's EAF mitigation.
- Met Windows Media Player heb ik geen problemen gehad, maar ik heb slechts even een mp3-tje getest.
Heb je voor WMP niet de MandatoryASLR, EAF (en SEHOP onder Vista en eerder) mitigations toegepast? WMP is niet compatible met die EMET mitigations.
De standaard protections uit de popular software profile staan geselecteerd, EAF en EAF+ zijn niet geselecteerd voor 7-Zip en voor wmplayer.exe zijn EAF, EAF+ en MandatoryASLR niet geselecteerd. De problemen met Windows Media player treden op als het netwerk gescand wordt op library's.

Verder iedereen bedankt voor de aanvullingen in deze thread.
11-08-2014, 23:11 door Spiff has left the building
Door W. Spu, 22:53 uur:
De standaard protections uit de popular software profile staan geselecteerd, EAF en EAF+ zijn niet geselecteerd voor 7-Zip en voor wmplayer.exe zijn EAF, EAF+ en MandatoryASLR niet geselecteerd.
Dank je, duidelijk.
Kun je nog aangeven bij welke handeling met 7-Zip je een probleem of problemen ondervond? Dan kan ik dat zelf ook nog uitproberen.

Door W. Spu, 22:53 uur:
De problemen met Windows Media player treden op als het netwerk gescand wordt op library's.
Kun je aangeven hoe je dat doet?
Ik heb maar beperkte ervaring met WMP, ik vind sommige opties en functies van WMP moeilijk doorgrondelijk.
Het scannen op libraries ken ik niet. Hoe doe je dat en wat voor soort libraries wordt bedoeld? Windows 7 libraries of WMP libraries?
Met die informatie kan ik dat mogelijk zelf ook nog uitproberen.
11-08-2014, 23:37 door W. Spu
Door Spiff:
Kun je nog aangeven bij welke handeling met 7-Zip je een probleem of problemen ondervond? Dan kan ik dat zelf ook nog uitproberen.
Alleen het opstarten van de 7-Zip file manager zorgt al voor een App crash in 7zFM.exe en de module KERNELBASE.dll. 7-Zip via het context menu gebruiken gaat prima maar dan wordt natuurlijk 7zFM.exe niet gebruikt.
Die module KERNELBASE.dll zie ik trouwens vaker in combinatie met de protection Stack Pivot en dat is in dit geval ook de boosdoener. Na het uit zetten van deze protection start e 7-Zip file manager gewoon weer.


Kun je aangeven hoe je dat doet?
Ik heb maar beperkte ervaring met WMP, ik vind sommige opties en functies van WMP moeilijk doorgrondelijk.
Het scannen op libraries ken ik niet. Hoe doe je dat en wat voor soort libraries wordt bedoeld? Windows 7 libraries of WMP libraries?
Met die informatie kan ik dat mogelijk zelf ook nog uitproberen.
Ook in dit geval start ik gewoon Windows Media Player op en ik zie diverse WMP libraries van collega's. Alweer een app crach i.c.m. die module KERNELBASE.dll en bij uitschakelen van Stack Pivot laadt WMP wel verder. Ik zie dan overigens geen verschil in het aantal WMP libraries maar even later verschijnt de playlist dus mogelijk zit het probleem daar ergens....
11-08-2014, 23:59 door Spiff has left the building
Door W. Spu, 23:37 uur:
Alleen het opstarten van de 7-Zip file manager zorgt al voor een App crash in 7zFM.exe en de module KERNELBASE.dll
Op mijn Vista x86 systeem treedt dat niet op met 7-Zip 9.20.
Zou het een x86 - x64 verschil kunnen betreffen?
Of gebruik je mogelijk een nieuwere (beta of alpha) 7-Zip versie?

Door W. Spu, 23:37 uur:
Ook in dit geval start ik gewoon Windows Media Player op en ik zie diverse WMP libraries van collega's. Alweer een app crash i.c.m. die module KERNELBASE.dll
Op mijn Vista x86 systeem treedt dat niet op.
Ik weet niet of dat een x86 - x64 verschil kan betreffen, of een een verschil door een andere WMP versie, of dat op mijn Vista systeem mogelijk geen (nieuwe?) WMP libraries te vinden zijn.

De beschreven fouten laten overigens zien dat de EMET ontwikkelaars slecht zicht lijken te hebben op wat er op verschillende Windows versies zoal mis kan gaan met diverse software in combinatie met EMET.
Zoals eerder al genoemd, misschien wordt er te weinig gerapporteerd aan het EMET team (of met onvoldoende details vermeld?), maar ik sluit ook niet uit dat er bij de EMET ontwikkelaars door ándere oorzaken mogelijk onvoldoende zicht bestaat op onvolkomenheden in EMET.
12-08-2014, 00:06 door W. Spu
Ik heb nog niet getest op Vista. Ik vermoed dat het feit dat het om virtuele Windows 7 systemen gaat, een rol speelt bij de mate van problemen. Op mijn derde test systeem heb ik minder problemen.
12-08-2014, 09:48 door Mysterio
Windows 7 Ent. 64 bit niet virtueel.

Nog geen problemen tegengekomen, maar ik heb dan ook niet alle software in de lijst gezet. Op dit moment draaien mijn browsers onder EMET (firefox, IE 11, allerlei Chromium varianten) Office 2010, Dropbox, Onedrive, VLC player en explorer.exe. Verder vind ik het vrij zinloos om programma's onder EMET te draaien.
12-08-2014, 10:07 door Anoniem
Door Spiff:
Door Anoniem [EricJan H te A.], zo.10-08, 22:59 uur:
Niet uitgetest zeker Spiff? ;-)
Haha, daar heb je me ;-)
Nee, ik volgde slechts wat de EMET User Guide aangeeft.
Er doordat jij iets heel anders deed dan wat de EMET User Guide aangeeft, ging ik er vanuit dat je per vergissing wat anders deed en de aanwijzingen in de EMET User Guide over het hoofd gezien had of verkeerd begrepen had.
Maar uit wat je nu aangeeft blijkt dat de EMET User Guide betreffend EMET en Safe Mode dus blijkbaar mis zit.

Door Anoniem [EricJan H te A.], zo.10-08, 22:59 uur:
EMET start niet in "Safe mode". Misschien had ik dat er even bij moeten zeggen. Shame on me. Inmiddels heb ik op het WWW al wel een manier gevonden om "Program and Features" uninstall aan de praat te krijgen. Iets wat door MS standaard ook wordt uitgezet in "Safe mode". Dit soort disasters levert altijd weer nieuwe kennis op.
Nogal een ontdekking, dat EMET niet start in Safe Mode, en dat je zo dus niet EMET's ASLR system setting kunt terugzetten van "Always On" naar "Application Opt In".
Dat maakt het toepassen van ASLR "Always On" inderdaad beslist een unsafe configuration/ setting/ option, zoals je dat eerder aangaf.
Iets om beslist ook aan het EMET-team door te geven, zo lijkt me.

Van mij alvast hartelijk bedankt voor de informatie.

Ik heb eerder op een computer ASLR op Always On gezet, waarna de computer steeds een blue screen gaf tijdens het booten, ik heb de computer toen in Safe Mode gestart. EMET was niet gestart, maar ik kon wel gewoon de GUI starten en ASLR weer op opt-in zetten.
(Dit was overigens met EMET 5.0 Technical Preview 3.)
12-08-2014, 10:09 door [Account Verwijderd] - Bijgewerkt: 12-08-2014, 14:18
Door W. Spu: Ik heb nog niet getest op Vista. Ik vermoed dat het feit dat het om virtuele Windows 7 systemen gaat, een rol speelt bij de mate van problemen. Op mijn derde test systeem heb ik minder problemen.

Ik zal kijken of ik problemen ondervind met EMET en 7-Zip (Windows 7 64bitst). Ik ben alleen niet echt bekent met het programma 7-Zip dus het kan misschien even duren. Iemand tips?

update 14:14
Inmiddels hen ik 7-Zip geïnstalleerd. Zie mijn reactie van 12-08-2014 14:12 uur.

aanvulling 14:17
https://www.security.nl/posting/397253#posting398438
12-08-2014, 12:08 door Spiff has left the building
Door Anoniem, 10:07 uur:
Ik heb eerder op een computer ASLR op Always On gezet, waarna de computer steeds een blue screen gaf tijdens het booten
Was dat mogelijk met een oude AMD/ATI video driver, een situatie waarvan bekend is dat die niet-compatible is met System ASLR Always On, of was er geen sprake van een oude AMD/ATI video driver en was de oorzaak van het probleem dus wat anders?

Door Anoniem, 10:07 uur:
ik heb de computer toen in Safe Mode gestart. EMET was niet gestart, maar ik kon wel gewoon de GUI starten en ASLR weer op opt-in zetten.
(Dit was overigens met EMET 5.0 Technical Preview 3.)
Dat was dan in ieder geval een prettig verschil met wat EricJan H te A. ervaren heeft en beschreef.
12-08-2014, 12:17 door Spiff has left the building
Door _kraai__, 10:09 uur:
Ik zal kijken of ik problemen ondervind met EMET en 7-Zip (Windows 7 64bitst). Ik ben alleen niet echt bekend met het programma 7-Zip dus het kan misschien even duren. Iemand tips?
Gezien het feit dat W. Spu aangaf dat het probleem zich al voordeed bij het openen van de 7-Zip File Manager, zou het downloaden en installeren van 7-Zip en het vervolgens enkel het openen van de 7-Zip File Manager al voldoende moeten zijn om te testen of er wel of geen probleem optreedt.
Met het gebruik van de 7-Zip File Manager heb ik overigens geen ervaring, behalve het openen ervan ;-) Wanneer ik 7-Zip gebruik om een bestand uit te pakken of te comprimeren, dan doe ik dat via het contextmenu. Maar zoals ik al zei, voor het testen van incompatibiliteiten met EMET is het simpelweg openen van de 7-Zip File Manager al voldoende, zoals W. Spu aangaf.
12-08-2014, 13:37 door Anoniem
Door Spiff: Dat was dan in ieder geval een prettig verschil met wat EricJan H te A. ervaren heeft en beschreef.

Mijn excuses Piff. Als rechtlijnig denker had ik natuurlijk niet door dat als je bij MS op "cancel" drukt de GUI toch wordt opgestart. Ik had de melding dat de EMET-service niet gestart was gewoon open laten staan. Geprobeerd de service handmatig op te starten,-geen succes-. En na de registerwijziging opnieuw opgestart, -geen succes-. Waarna ik het moede hoofd in de schoot geworpen heb en terug ben gegaan na het Restore Point.

Dus de aanwijzing in de EMET-handleiding is WEL goed. Niet schrikken als de melding komt dat de EMET-service niet is gestart en "gewoon"op [d]CANCEL[/u][/d] drukken
12-08-2014, 13:46 door [Account Verwijderd] - Bijgewerkt: 12-08-2014, 16:52
Inmiddels heb ik 7-Zip geïnstalleerd. Bij de installatie heb ik geen problemen ondervonden. Ook bij het openen van de 7-Zip File Manager open, treden geen problemen op.

Verder heb ik ook 7-Zip gebruikt om een bestand te comprimeren en een bestand uit te pakken. Ook hierbij treden geen problemen op.
12-08-2014, 15:11 door Spiff has left the building
Door Anoniem [EricJan H te A., neem ik aan], 13:37 uur:

Mijn excuses Piff. Als rechtlijnig denker had ik natuurlijk niet door dat als je bij MS op "cancel" drukt de GUI toch wordt opgestart. Ik had de melding dat de EMET-service niet gestart was gewoon open laten staan. Geprobeerd de service handmatig op te starten,-geen succes-. En na de registerwijziging opnieuw opgestart, -geen succes-. Waarna ik het moede hoofd in de schoot geworpen heb en terug ben gegaan na het Restore Point.

Dus de aanwijzing in de EMET-handleiding is WEL goed. Niet schrikken als de melding komt dat de EMET-service niet is gestart en "gewoon"op CANCEL drukken
Ha, gelukkig.
En tsja, ook ik zou mogelijk op het verkeerde been gezet worden door wat je tegenkwam.
Je verwacht immers niet dat na "Cancel" te kiezen een service vervolgens toch opstart.
Wij zullen te logisch denken, denk je niet ;-)
12-08-2014, 17:36 door Anoniem
Door Spiff:
Door Anoniem, 10:07 uur:
Ik heb eerder op een computer ASLR op Always On gezet, waarna de computer steeds een blue screen gaf tijdens het booten
Was dat mogelijk met een oude AMD/ATI video driver, een situatie waarvan bekend is dat die niet-compatible is met System ASLR Always On, of was er geen sprake van een oude AMD/ATI video driver en was de oorzaak van het probleem dus wat anders?

Door Anoniem, 10:07 uur:
ik heb de computer toen in Safe Mode gestart. EMET was niet gestart, maar ik kon wel gewoon de GUI starten en ASLR weer op opt-in zetten.
(Dit was overigens met EMET 5.0 Technical Preview 3.)
Dat was dan in ieder geval een prettig verschil met wat EricJan H te A. ervaren heeft en beschreef.
Dat is inderdaad een machine met ATI-graphics. Ik heb een VM overgezet naar een fysieke PC, ASLR stond al op Always On, maar omdat ik geen drivers van ATI zelf had geinstalleerd dacht ik dat dat geen probleem zou zijn. De ingebouwde drivers in Windows voor ATI hebben dus hetzelfde probleem. Overigens werkte ASLR op Always On wel weer gewoon nadat ik de nieuwste drivers van ATI had geïnstalleerd.

Door Spiff:
Door Anoniem [EricJan H te A., neem ik aan], 13:37 uur:

Mijn excuses Piff. Als rechtlijnig denker had ik natuurlijk niet door dat als je bij MS op "cancel" drukt de GUI toch wordt opgestart. Ik had de melding dat de EMET-service niet gestart was gewoon open laten staan. Geprobeerd de service handmatig op te starten,-geen succes-. En na de registerwijziging opnieuw opgestart, -geen succes-. Waarna ik het moede hoofd in de schoot geworpen heb en terug ben gegaan na het Restore Point.

Dus de aanwijzing in de EMET-handleiding is WEL goed. Niet schrikken als de melding komt dat de EMET-service niet is gestart en "gewoon"op CANCEL drukken
Ha, gelukkig.
En tsja, ook ik zou mogelijk op het verkeerde been gezet worden door wat je tegenkwam.
Je verwacht immers niet dat na "Cancel" te kiezen een service vervolgens toch opstart.
Wij zullen te logisch denken, denk je niet ;-)

Ik heb nog even gekeken omdat ik geen Cancel kon herinneren, ik zag inderdaad alleen maar een Ok knop, waarschijnlijk hebben ze dat nu dan aangepast, niet bepaald een logische move :P
12-08-2014, 18:08 door Anoniem
Door Spiff:Wij zullen te logisch denken, denk je niet ;-)

Even kijken of je deze herkent. Wordt door MS sinds de eerste versie van Outlook meegesleept.

In de schermen voor het creëren van een E-mailaccount al eens geprobeerd een invoerveld te selecteren en te kopiëren......
Nee niet vals spelen door een Ctrl-combi te gebruiken. Gewoon zoals een normale gebruiker doet... met rechts klikken.

"So far" voor volledig vernieuwd en modern. Gewoon van de vorige versie kopiëren, nieuw likje verf en cashen maar.
12-08-2014, 21:09 door Spiff has left the building
@ Anoniem 18:08 uur,
Ik heb hier geen systeem met een in gebruik genomen Microsoft mailprogramma bij de hand, dus ik kan het niet bekijken.
Maar ik geloof je graag, dat Microsoft's mailprogramma's onlogische aspecten hebben, net zoals sommige andere Microsoft applicaties. En laten we ook ándere aanbieders niet vergeten, want niet alleen Microsoft kan er wat van, natuurlijk.
Maar buiten EMET is dat hier allemaal een beetje off-topic, dus ik zal maar geen opsommingen gaan maken ;-)
12-08-2014, 22:32 door vanegmond
van W.Spu, Ook in dit geval start ik gewoon Windows Media Player op en ik zie diverse WMP libraries van collega's. Alweer een app crach i.c.m. die module KERNELBASE.dll en bij uitschakelen van Stack Pivot laadt WMP wel verder. Ik zie dan overigens geen verschil in het aantal WMP libraries maar even later verschijnt de playlist dus mogelijk zit het probleem daar ergens....

Ik weet niet waarom je die WMP libaries in jouw Player wilt hebben, maar dat werkt WMP steeds bij, dus ik zou ze verwijderen.
Mijn ervaring met WMP is dat het soms wel even duurt, dus geduld is wel een vereiste.
Maar gezien jouw kennis, zal dat niet het probleem zijn.
14-08-2014, 09:08 door Mysterio
Tja, ik heb nu twee zo goed als identieke testsystemen en ik krijg wisselende resultaten. Op één systeem (Win 7 Ent. 64 bit) heb ik de populaire software geïmporteerd en krijg 0 (!!) foutmeldingen. Ook in de logboeken zijn geen EMET afwijkingen te zien. Firefox, IE 11, Office 2010... alles werkt zoals het hoort.

Op mijn andere computer (Win 7 Ent. 64 bit) heb ik een upgrade gedaan van EMET 4.1 update 1 naar 5 met behoud van instellingen en IE 11 geeft bij opstarten een EAF error en Firefox gaf gisteren een aantal keren een caller error. In de Apps lijst heb ik dus maar EAF bij IE en caller bij Firefox uitgeschakeld terwijl het op mijn andere systeem dus prima werkt met de vinkjes aan.

Ik kan zo snel niet verklaren waar de verschillen vandaan komen.
14-08-2014, 14:51 door Spiff has left the building - Bijgewerkt: 14-08-2014, 15:23
Ook nog wel interessant in verband met EMET 5.0 is het volgende:

EMET 5.0 past op iexplore.exe onder meer de ASR (Attack Surface Reduction) mitigation toe, waardoor voor de volgende modules wordt voorkomen dat die worden geladen:
npjpi*.dll;jp2iexp.dll;vgx.dll;msxml4*.dll;wshom.ocx;scrrun.dll

Add-on beheer in Internet Explorer verloopt via Extra\ Invoegtoepassingen beheren (Manage add-ons).
Voor het installeren van EMET 5.0 had ik in het IE add-ons overzicht nooit Scripting.Dictionary (scrrun.dll) vermeld zien staan.
Na installatie van EMET 5.0 valt Scripting.Dictionary (scrrun.dll) me wél op in het IE add-ons overzicht, omdat het openen van Invoegtoepassingen beheren (Manage add-ons)\ Alle invoegtoepassingen (All add-ons) nu een melding door EMET genereert betreffend de ASR scrrun.dll mitigation.
Er wordt overigens slechts voorkomen dat scrrun.dll geladen kan worden, er treed geen crash op.

Meer informatie:
Naam: Scripting.Dictionary
Uitgever: Niet beschikbaar
Type: ActiveX-besturingselement
Versie: Niet beschikbaar
Bestandsdatum: 11-10-2013
Datum laatst geopend: 30-11-1999
Klasse-id: {EE09B103-97E0-11CF-978F-00A02463E06F}
Aantal keer gebruikt: 0
Bloktelling: 0
Bestand: scrrun.dll
Map: C:\Windows\System32

C:\Windows\System32\scrrun.dll
Eigenschappen:
Bestandsdatum: 11-10-2013
Datum laatst geopend: 3-8-2014
Bestandsbeschrijving: Microsoft (R) Script Runtime
Productversie: 5.7.6002.18960

Overigens zie ik Scripting.Dictionary (scrrun.dll) enkel in de IE add-ons in mijn standaardgebruikersaccount, niet in mijn Administrator-account.
Zou die Scripting.Dictionary (scrrun.dll) ooit (lang geleden?) automatisch in mijn standaardgebruikersaccount zijn toegepast, of zou dit veroorzaakt kunnen zijn door toepassing van EMET 5.0?

Zouden jullie eens in Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ Alle invoegtoepassingen (All add-ons) willen zien of daar Scripting.Dictionary (scrrun.dll) vermeld wordt?
Ik ben benieuwd.

En is het niet de toepassing van EMET 5.0 dat Scripting.Dictionary (scrrun.dll) aan de IE add-ons in mijn standaardgebruikersaccount heeft toegevoegd, hebben jullie dan enig idee hoe dat daar dan wél terechtgekomen kan zijn?

Overigens biedt de Scripting.Dictionary (scrrun.dll) add-on in IE geen optie tot verwijderen.
Wel heb ik de Scripting.Dictionary (scrrun.dll) add-on in IE zekerheidshalve uitgeschakeld.
14-08-2014, 16:07 door [Account Verwijderd] - Bijgewerkt: 14-08-2014, 16:18
Door Spiff 14-08-2014 14:51:
Zouden jullie eens in Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ Alle invoegtoepassingen (All add-ons) willen zien of daar Scripting.Dictionary (scrrun.dll) vermeld wordt?
Ik ben benieuwd.

Ik zie op de door jouw aangegeven plaat Scripting.Dictionary (scrrun.dll) nergens vermeld staan. Maar het kan best dat ik er overheen kijk.

M.v.g. _kraai__
14-08-2014, 19:11 door vanegmond - Bijgewerkt: 14-08-2014, 19:18
van Spiff, Zouden jullie eens in Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ Alle invoegtoepassingen (All add-ons) willen zien of daar Scripting.Dictionary (scrrun.dll) vermeld wordt?
Ik ben benieuwd.

Ik heb, hoewel ik IEX liever niet gebruik net gekeken. |Maar ja, jij Spiff geeft ook zoveel antwoorden, dus als ik
wat terug kan doen.
Die Scripting.Dictionary krijg je alleen te zien, als je Zonder Toestemming uitvoeren doet. Bij Invoegtoepassingen.
|Dan staat Scripting.Dictionary op UItgeschakeld en EMET grijpt in, iets ook van Script, kan dat van Emet
verder niet zien.

Klik op Uitvoeren zonder toestemming als u invoegtoepassingen wilt weergeven die vooraf zijn goedgekeurd door Microsoft, de computerfabrikant of een internetprovider.

http://windows.microsoft.com/nl-nl/windows-vista/Internet-Explorer-add-ons-frequently-asked-questions?69829690

Zo te zien, kan het niet zoveel kwaad, dat ik het hebt aangeklikt, Uitvoeren zonder toestemming
maar EMET greep wel in !

Hoop niet dat ik nu door Zonder Toestemming uitvoeren heb aangeklikt er iets is gebeurt ?
14-08-2014, 20:06 door Spiff has left the building
Door vanegmond, 19:11 uur:
Die Scripting.Dictionary krijg je alleen te zien, als je Zonder Toestemming uitvoeren doet. Bij Invoegtoepassingen.
Ja, dat klopt, ik zie Scripting.Dictionary (scrrun.dll) onder "Zonder toestemming uitvoeren" en onder "Alle invoegtoepassingen".

Door vanegmond, 19:11 uur:
Dan staat Scripting.Dictionary op UItgeschakeld
Bij mij stond het ingeschakeld.
Zoals ik al aangaf heb ik het uitgeschakeld.

Door vanegmond, 19:11 uur:
en EMET grijpt in, iets ook van Script, kan dat van Emet verder niet zien.
Klopt, het openen van Invoegtoepassingen beheren\ "Alle invoegtoepassingen" of "Zonder toestemming uitvoeren" wanneer daaronder Scripting.Dictionary (scrrun.dll) vermeld is, dat genereert een EMET ASR mitigation melding betreffend scrrun.dll.
Houd je je muisaanwijzerpijltje op die EMET melding, dan blijft die staan als ik me niet vergis, maar ik was daar vandaag te laat mee en dan verdwijnt die EMET melding vrij snel, te snel om de melding even te kunnen noteren.

Door vanegmond, 19:11 uur:
Zo te zien, kan het niet zoveel kwaad, dat ik het hebt aangeklikt, Uitvoeren zonder toestemming maar EMET greep wel in!
Vanwege de aanwezige Scripting.Dictionary (scrrun.dll).
De EMET ASR mitigation voor Internet Explorer blokkeert het laden van scrrun.dll.

Door vanegmond, 19:11 uur:
Hoop niet dat ik nu door Zonder Toestemming uitvoeren heb aangeklikt er iets is gebeurt?
Nee hoor, het is slechts een van de categorieën binnen "Invoegtoepassingen beheren", naast Geïnstalleerde invoegtoepassingen, Gedownloade invoegtoepassingen en Alle invoegtoepassingen.
Het is slechts een categorie, en toont de invoegtoepassingen (add-ons) die onder die categorie vallen.
Het bekijken van zo'n categorie doet niets behalve het tonen van de betreffende invoegtoepassingen (add-ons).
Dus alles OK.
14-08-2014, 20:28 door [Account Verwijderd] - Bijgewerkt: 14-08-2014, 20:28
Door vanegmond 14-08-2014 19:11 uur:
Die Scripting.Dictionary krijg je alleen te zien, als je Zonder Toestemming uitvoeren doet. Bij Invoegtoepassingen.
|Dan staat Scripting.Dictionary op UItgeschakeld en EMET grijpt in, iets ook van Script, kan dat van Emet
verder niet zien.

@vanegmond, bedankt
Bij Internet Explorer vervolgens Invoegtoepassingen en dan onder 'Zonder Toestemming uitvoeren', had ik niet gekeken. Hier staat inderdaad Scripting.Dictionary (scrrun.dll) vermeld. En inderdaad, EMET ASR mitigation voor Internet Explorer blokkeert inderdaad het laden van scrrun.dll. zoals Spiff eerder ook al in zijn reactie van 14-08-2014 20:06 aangaf.

Door Spiff 14-08-2014 20:06 uur:
Vanwege de aanwezige Scripting.Dictionary (scrrun.dll).
De EMET ASR mitigation voor Internet Explorer blokkeert het laden van scrrun.dll.
14-08-2014, 21:05 door Spiff has left the building
Dankjewel vanegmond en _kraai__,
voor bevestiging van jullie allebei dat ook bij jullie Scripting.Dictionary (scrrun.dll) aanwezig is onder Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons).
Wellicht is het iets dat Microsoft standaard in IE zet.
Óf het is er bij ons alle drie in terecht gekomen via een ons nog onbekend mechanisme, maar dat lijkt me beslist minder waarschijnlijk.

En omdat jullie Scripting.Dictionary (scrrun.dll) enkel vonden onder "Zonder toestemming uitvoeren" en niet onder "Alle invoegtoepassingen", heb ik ook m'n Administrator-account nog even nagekeken, waarvan ik eerder aangaf dat ik Scripting.Dictionary (scrrun.dll) daar niet had aangetroffen onder "Alle invoegtoepassingen".
Yep, onder "Zonder toestemming uitvoeren" vond ik het daar ook!

Wel vind ik het merkwaardig dat een bepaalde add-on blijkbaar getoond kan worden onder "Zonder toestemming uitvoeren" en niet onder "Alle invoegtoepassingen". Onder "Alle" verwacht je toch ook alle, zo zou je denken?
Maar ik herinner me nu dat dat fenomeen hier in een eerdere thread betreffend een geheel ander onderwerp ook een keer aan de orde kwam. Mogelijk was het Bitwiper(?) die constateerde dat onder Alle invoegtoepassingen (All add-ons) niet alle add-ons worden weergegeven.
Raar, maar goed om weer eens mee geconfronteerd te worden:
Alle add-ons in Internet Explorer bekijken? Kijk niet alleen onder Alle invoegtoepassingen (All add-ons).
14-08-2014, 21:19 door vanegmond
van Spiff, En omdat jullie Scripting.Dictionary (scrrun.dll) enkel vonden onder "Zonder toestemming uitvoeren" en niet onder "Alle invoegtoepassingen", heb ik ook m'n Administrator-account nog even nagekeken, waarvan ik eerder aangaf dat ik Scripting.Dictionary (scrrun.dll) daar niet had aangetroffen onder "Alle invoegtoepassingen".
Yep, onder "Zonder toestemming uitvoeren" vond ik het daar ook!

Wel vind ik het merkwaardig dat een bepaalde add-on blijkbaar getoond kan worden onder "Zonder toestemming uitvoeren" en niet onder "Alle invoegtoepassingen". Onder "Alle" verwacht je toch ook alle, zo zou je denken?

Graag gedaan Spiff, de ene dienst is de andere waard.
Ik begrijp dat het kijken ernaar geen kwaad kon ? Dit omdat EMET aansloeg, iets over Script
en Stop all mitigations. Had jij dat niet toen je dit keek in IExploxer 11 ?
Als EMET aanslaat zou ik wel wat meer willen zien, wat EMET vind en waarom, en als het kan, kopieëren.
Daar ben ik nog wel benieuwd naar, kan het kwaad om te kijken naar Zonder Toestemming uitvoeren ?
Ja dat alle Invoegtoepassingen laten zien, heb ik altijd al vreemd gevonden en verbaasd, wat er
zoal in kwam. Java Deployment kit....bijna niet te verwijderen.
14-08-2014, 21:24 door vanegmond
van_kraai_@vanegmond, bedankt
Bij Internet Explorer vervolgens Invoegtoepassingen en dan onder 'Zonder Toestemming uitvoeren', had ik niet gekeken. Hier staat inderdaad Scripting.Dictionary (scrrun.dll) vermeld. En inderdaad, EMET ASR mitigation voor Internet Explorer blokkeert inderdaad het laden van scrrun.dll. zoals Spiff eerder ook al in zijn reactie van 14-08-2014 20:06 aangaf.

Graag gedaan Kraai, mag ik ook hieruit begrijpen dat het geen kwaad kon om dit te bekijken
en dat EMET aansloeg ? Ik deed toch Zonder Toestemming uitvoeren, iets te snel vind ik.
Kan ik in EMET niet wat beter zien, wat die precies tegenhoud en evt kopiëren naar.....
14-08-2014, 21:36 door W. Spu
Ook ik zie de add-on Scripting.Dictionary alleen onder 'Run without permissions' staan en krijg meerdere meldingen van mitigations:

1:
EMET detected ASR mitigation in iexplore.exe

ASR check failed:
Application : C:\Program Files\Internet Explorer\iexplore.exe
User Name :
Session ID : 1
PID : 0xFEC (4076)
TID : 0x11C0 (4544)
Module : scrrun.dll

2:
EMET detected ASR mitigation in iexplore.exe

ASR check failed:
Application : C:\Program Files\Internet Explorer\iexplore.exe
User Name :
Session ID : 1
PID : 0xFEC (4076)
TID : 0x11C0 (4544)
Module : jp2iexp.dll

3:
EMET detected ASR mitigation in iexplore.exe

ASR check failed:
Application : C:\Program Files\Internet Explorer\iexplore.exe
User Name :
Session ID : 1
PID : 0xFEC (4076)
TID : 0x11C0 (4544)
Module : msxml4.dll

@Spiff: Rapporteer jij hiervoor nog een issue op de feedback pagina van de "Microsoft EMET Connect Portal" (https://connect.microsoft.com/emet/Feedback) en/of de "Enhanced Mitigation Experience Toolkit (EMET) Support" pagina (http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet)?
14-08-2014, 21:42 door Spiff has left the building
@ vanegmond 21:19 uur en 21:24 uur,

Ik had dat om 20:06 uur al beantwoord.

Het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren", met daarin Scripting.Dictionary (scrrun.dll), dat genereert een EMET ASR mitigation melding betreffend scrrun.dll, juist vanwege die aanwezige Scripting.Dictionary (scrrun.dll), omdat de EMET ASR mitigation voor Internet Explorer het laden van scrrun.dll blokkeert.
Dat blokkeren van het laden van scrrun.dll gebeurt uit voorzorg. Er is dan niets engs aan de hand. Het is slechts een nieuwe veiligheidsmaatregel, zodat scrrun.dll enkel nog in de relatief veilige zones Lokaal internet en Vertrouwde websites gebruikt kan worden.

En nee, het kan geen kwaad om in Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren" te openen.
Het is geen opdracht of toestemming die je geeft, maar slechts een van de overzichts-categorieën binnen "Invoegtoepassingen beheren", naast Geïnstalleerde invoegtoepassingen, Gedownloade invoegtoepassingen en Alle invoegtoepassingen.
Het is slechts een overzichts-categorie, en toont de invoegtoepassingen (add-ons) die onder die categorie vallen.
Het bekijken van zo'n categorie doet niets behalve het tonen van de betreffende invoegtoepassingen (add-ons).
Dus alles OK.
14-08-2014, 22:04 door Spiff has left the building
Door W. Spu, 21:36 uur:
Ook ik zie de add-on Scripting.Dictionary alleen onder 'Run without permissions' staan
Dank je voor ook jouw bevestiging.

Door W. Spu, 21:36 uur:
en krijg meerdere meldingen van mitigations:
[...]
ASR check failed:
[...]
Module: scrrun.dll
Module: jp2iexp.dll
Module: msxml4.dll
Naast Scripting.Dictionary (scrrun.dll) heb je blijkbaar ook een Java plug-in en een MSXML 4 add-on.
Die zitten alle drie in de groep waarvan de ASR (Attack Surface Reduction) mitigation voor IE voorkomt dat die worden geladen:
npjpi*.dll;jp2iexp.dll;vgx.dll;msxml4*.dll;wshom.ocx;scrrun.dll

Echter, die vermelding "ASR check failed" is nogal merkwaardig. Het doet denken dat EMET niet kan doen wat die zou moeten doen. Maar het zou best kunnen dat het slechts een onbegrijpelijke of slechte formulering is, dat "ASR check failed". Ik weet niet wat ik ervan moet denken.

Door W. Spu, 21:36 uur:
@Spiff: Rapporteer jij hiervoor nog een issue op de feedback pagina van de "Microsoft EMET Connect Portal" (https://connect.microsoft.com/emet/Feedback) en/of de "Enhanced Mitigation Experience Toolkit (EMET) Support" pagina (http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet)?
Eh, nee.
Ik heb er momenteel de tijd niet voor. Integendeel, ik zit al dingen te doen waar ik eigenlijk geen tijd voor heb. (Kom op Spiff, ga nou eens aan de gang met je andere klussen ;-)
Ik beperk me momenteel tot het rapporteren van dingen die werkelijk fout gaan, zoals false positives die structureel voor het blokkeren van het een of ander zorgen.
Heb jij tijd en zin en energie om je bevinding als EMET-issue te melden? Ik vraag het beslist niet van je, maar als je zin hebt dan houd ik je uiteraard niet tegen :-)
14-08-2014, 22:11 door W. Spu
Ik heb voor IExplore.exe de ASR setting 'Internet Zone Exceptions' aangepast en de zone Computer toegevoegd. Dit verhelpt het probleem echter niet.

Ik begrijp dat je er geen problemen mee hebt als ik een issue aanmeldt dus zal dat zo doen. Mocht ik een reactie krijgen dan post ik die wel in deze forum thread.
14-08-2014, 22:24 door Spiff has left the building
Door W. Spu, 22:11 uur:
Ik heb voor IExplore.exe de ASR setting 'Internet Zone Exceptions' aangepast en de zone Computer toegevoegd. Dit verhelpt het probleem echter niet.
Voor de duidelijkheid,
bedoel je dat die meldingen enkel optreden bij het bekijken van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons) dan lijkt dat me niet zeer ernstig,
maar bedoel je dat die meldingen ook optreden bij het bezoeken van webpagina's, dan lijkt dat me irritant.

Overigens, zoals ik 22:04 uur aangaf, ik weet niet of de meldingen die je 21:36 uur neerzette nou meldingen zijn dat er iets fout gaat met EMET, of dat "ASR check failed" een beroerde formulering is maar dat EMET niettemin doet wat het doen moet. Ik kan me voorstellen dat enkel al om dat onder de aandacht te brengen het maken van een melding wenselijk is.

Door W. Spu, 22:11 uur:
Ik begrijp dat je er geen problemen mee hebt als ik een issue aanmeldt dus zal dat zo doen. Mocht ik een reactie krijgen dan post ik die wel in deze forum thread.
Uiteraard heb ik daar geen problemen mee :-)
Heel mooi, als jij dat wilt doen. Bij voorbaat dank.
14-08-2014, 22:56 door W. Spu
ASR protection is (standaard) niet actief voor websites die behoren tot de Trusted Sites zone en de Local Intranet Zone. Als je de pagina about:blank of de New Tab pagina open hebt staan en dan op manage add-ons klikt zit je niet in één van die zones. Ik heb de computer zone toegevoegd maar dit helpt ook niet. De pagina staat namelijk niet lokaal op de computer of in één van de andere zone's.

EMET zou in dit geval de ASR mitigation ook niet moeten detecteren. De dll wordt wel geladen maar niet in de internet zone of de restricted sites zone. Internet Explorer leest alleen welke add-ons er geïnstalleerd zijn en het maakt nog niet eens uit of deze actief en/of geladen zijn.

Voor wat betreft de "ASR check failed" melding. Dit is niet anders dan als bij de melding als de ASR protection getriggered wordt bij het controleren van de Java versie. Alleen nu wordt ook de Url zone en het Web address genoemd:

EMET detected ASR mitigation in iexplore.exe

ASR check failed:
Application : C:\Program Files\Internet Explorer\iexplore.exe
User Name :
Session ID : 1
PID : 0x1A54 (6740)
TID : 0x1A8C (6796)
Module : jp2iexp.dll
Web address : http://www.java.com/en/download/uninstallapplet.jsp
Url zone : Internet
15-08-2014, 00:20 door vanegmond
van Spiff, Ik had dat om 20:06 uur al beantwoord.

Het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren", met daarin Scripting.Dictionary (scrrun.dll), dat genereert een EMET ASR mitigation melding betreffend scrrun.dll, juist vanwege die aanwezige Scripting.Dictionary (scrrun.dll), omdat de EMET ASR mitigation voor Internet Explorer het laden van scrrun.dll blokkeert.
Dat blokkeren van het laden van scrrun.dll gebeurt uit voorzorg. Er is dan niets engs aan de hand. Het is slechts een nieuwe veiligheidsmaatregel, zodat scrrun.dll enkel nog in de relatief veilige zones Lokaal internet en Vertrouwde websites gebruikt kan worden.

En nee, het kan geen kwaad om in Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren" te openen.

Mooi zo, want ik wilde alles hier al laten draaien, wat ze zouden vinden. Ben ik wéér gerustgesteld :-) Bedankt !

Ik heb net nog maar een keer gekeken en Scripting.Dictionary stond op ingeschakeld, dan juist slaat EMET
aan, uitgschakeld en EMET slaat niet meer aan. Ik heb denk ik alleen gekeken wat ervoor stond.

Dat minder computeren herken ik wel, gewoon UIT laten staan Spiff, als de PC aan staat is er geen ruimte
voor iets anders , heel leuk allemaal, maar ik moet ook minderen !

Die bijdrage van W.Spu is heel uitgebreid, is die van/uit EMET ?
Want ik zou graag willen dat EMET de kans bied om te kijken, wat er nu precies gebeurt en evt
knippen en plakken.
15-08-2014, 10:28 door Spiff has left the building
Door vanegmond, 00:20 uur:
Ik heb net nog maar een keer gekeken en Scripting.Dictionary stond op ingeschakeld, dan juist slaat EMET aan,
uitgeschakeld en EMET slaat niet meer aan.
Ik heb denk ik alleen gekeken wat ervoor stond.
Wanneer bij het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren" een EMET ASR mitigation melding betreffend scrrun.dll optreedt en EMET het laden van scrrun.dll blokkeert, dan duurt die blokkade tot na een herstart van de computer.
Na het opnieuw opstarten van de computer treedt die EMET melding opnieuw op bij het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren", ongeacht of Scripting.Dictionary (scrrun.dll) is ingeschakeld of uitgeschakeld, dus ook als dat is uitgeschakeld.
Probeer maar, vandaag na het opnieuw starten van de computer.

Door vanegmond, 00:20 uur:
Die bijdrage van W.Spu is heel uitgebreid, is die van/uit EMET?
Want ik zou graag willen dat EMET de kans bied om te kijken, wat er nu precies gebeurt en evt knippen en plakken.
Ik begrijp wat je bedoelt. Ook ik weet niet waar W. Spu die uitgebreide EMET meldingen van gisteren 21:36 en 22:56 uur precies vandaan heeft.
@ W. Spu,
kun je aangeven waar je die meldingen van gisteren 21:36 en 22:56 uur kreeg of vond?

Ik heb zonet de EMET melding genoteerd die ik zie bij het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren":
EMET 5.0
EMET detected ASR mitigation in iexplore.exe
Component: Microsoft (R) Script Runtime
Zónder vermelding van "ASR check failed" zoals in de meldingen die W. Spu weergaf.
@ W. Spu,
Ik vermoed dat we het over andere meldingen hebben.
Ik heb het over de melding bij het openen van Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ "Zonder toestemming uitvoeren",
en heb jij het over meldingen die optreden bij het openen van webpagina's, vermoed ik?


Door vanegmond, 00:20 uur:
Dat minder computeren herken ik wel, gewoon UIT laten staan Spiff, als de PC aan staat is er geen ruimte voor iets anders, heel leuk allemaal, maar ik moet ook minderen!
Het vervelende is dat het niet eens leuk is allemaal, maar sommige dingen zijn essentieel, vind ik, zoals het rapporteren van dingen die werkelijk fout gaan, zoals false positives die structureel voor het blokkeren van het een of ander zorgen. Of dat nou EMET betreft, of antivirus-software, of andere hommeles met software (of andere problemen, in brede zin).
Maar de dingen die niet essentieel zijn echter, die moet ik niet doen.

Wat de meldingen door EMET betreft, lijkt er een verschil te zijn tussen wat W. Spu gemeld krijgt en wat ik gemeld krijg.
De melding die ik krijg (zie hierboven in deze reactie) die is duidelijk anders dan de meldingen die W. Spu krijgt. Gezien de meldingen met "ASR check failed" die W. Spu krijgt, kan ik me voorstellen dat W. Spu het belangrijk vindt dat te rapporteren via de EMET feedback mogelijkheden.
15-08-2014, 14:04 door Anoniem
Door vanegmond: [Als EMET aanslaat zou ik wel wat meer willen zien, wat EMET vind en waarom, en als het kan, kopieëren./quote]

In de eventlog staat ook het één en ander. Overigens ook geen echte details.
15-08-2014, 17:10 door W. Spu
kun je aangeven waar je die meldingen van gisteren 21:36 en 22:56 uur kreeg of vond?
Sorry voor het misverstand. De meldingen heb ik gekopieerd uit de application event log items die EMET aan maakt bij iedere gedetecteerde mitigation.

P.S. Bij mij detecteerde EMET de mitigations ook weer na het afsluiten van alle IE vensters.
15-08-2014, 18:22 door Spiff has left the building
Door W. Spu, 17:10 uur:
De meldingen heb ik gekopieerd uit de application event log items die EMET aan maakt bij iedere gedetecteerde mitigation.
Ah, sorry, ik had eerder gezocht in de Windows logboeken en geen relevante EMET logs gevonden, maar ik zal toen niet goed gezocht hebben. Zonet heb ik opnieuw gezocht en nu vond ik bij het tijdstip van de melding die ik hier vandaag om 10:28 uur postte de bijbehorende melding in de Windows logboeken, hetzelfde als wat jij aangaf:

EMET detected ASR mitigation in iexplore.exe

ASR check failed:
Application : C:\Program Files\Internet Explorer\iexplore.exe
User Name :
Session ID : 1
PID : 0x1268 (4712)
TID : 0xC74 (3188)
Module : scrrun.dll

Dat "ASR check failed" is toch inderdaad zeer merkwaardig ...
17-08-2014, 14:38 door Spiff has left the building
Off-topic betreffend EMET,
maar desondanks, omdat het wel belangrijke materie is, even nog een vervolg op wat ik eerder in deze thread aangaf.
Ik schreef:
https://www.security.nl/posting/397253#posting398724
Door Spiff, 14-08-2014, 21:05 uur:
[...]
Wel vind ik het merkwaardig dat een bepaalde add-on blijkbaar getoond kan worden onder "Zonder toestemming uitvoeren" en niet onder "Alle invoegtoepassingen". Onder "Alle" verwacht je toch ook alle, zo zou je denken?
Maar ik herinner me nu dat dat fenomeen hier in een eerdere thread betreffend een geheel ander onderwerp ook een keer aan de orde kwam. Mogelijk was het Bitwiper(?) die constateerde dat onder Alle invoegtoepassingen (All add-ons) niet alle add-ons worden weergegeven.
Raar, maar goed om weer eens mee geconfronteerd te worden:
Alle add-ons in Internet Explorer bekijken? Kijk niet alleen onder Alle invoegtoepassingen (All add-ons).

Ik heb het nagezocht, en m'n herinnering bleek correct,
het was inderdaad Bitwiper die eerder hetzelfde had geconstateerd:
onder Internet Explorer\ Extra\ Invoegtoepassingen beheren (Manage add-ons)\ Alle invoegtoepassingen (All add-ons)
vind je niet alle invoegtoepassingen (add-ons).

Bitwiper gaf aan dat onder "Alle invoegtoepassingen" add-ons pas worden getoond wanneer deze geladen zijn!
"Alle invoegtoepassingen" zou dus eigenlijk moeten heten "Alle geladen invoegtoepassingen".

Zie Bitwiper's bijdragen uit 2012:
https://www.security.nl/posting/37858#posting328065
https://www.security.nl/posting/37858#posting328072
21-08-2014, 10:49 door W. Spu
Door W. Spu: Ik heb voor IExplore.exe de ASR setting 'Internet Zone Exceptions' aangepast en de zone Computer toegevoegd. Dit verhelpt het probleem echter niet.

Ik begrijp dat je er geen problemen mee hebt als ik een issue aanmeldt dus zal dat zo doen. Mocht ik een reactie krijgen dan post ik die wel in deze forum thread.

Microsoft heeft bevestigd dat ze de ASR mitigation melding bij het beheren van de add-ons kunnen reproduceren. IE probeert de DLL te laden en dat veroorzaakt de melding. Ze gaan het verder onderzoeken en overwegen een uitzondering voor dit gedrag in de volgende EMET versie.
21-08-2014, 12:39 door Spiff has left the building
Door W. Spu:
Microsoft heeft bevestigd dat ze de ASR mitigation melding bij het beheren van de add-ons kunnen reproduceren. IE probeert de DLL te laden en dat veroorzaakt de melding. Ze gaan het verder onderzoeken en overwegen een uitzondering voor dit gedrag in de volgende EMET versie.
Dankjewel voor je bericht.
En je gaf eerder ook aan dat EMET tevens melding gaf na het afsluiten van alle IE vensters.
Is dat gerelateerd, volgens Microsoft, of is dat een ander probleem? Of was Microsoft daarover mogelijk niet duidelijk?
21-08-2014, 17:34 door W. Spu
Door Spiff:En je gaf eerder ook aan dat EMET tevens melding gaf na het afsluiten van alle IE vensters.
Is dat gerelateerd, volgens Microsoft, of is dat een ander probleem? Of was Microsoft daarover mogelijk niet duidelijk?

Als ik het goed heb bedoelde ik dat het volstaat om Internet Explorer af te sluiten en weer op te starten om de ASR melding te genereren via Manage Add-Ons. Het was (in mijn geval) niet nodig om uit en in te loggen.
21-08-2014, 19:03 door Spiff has left the building
Door W. Spu:
Als ik het goed heb bedoelde ik dat het volstaat om Internet Explorer af te sluiten en weer op te starten om de ASR melding te genereren via Manage Add-Ons. Het was (in mijn geval) niet nodig om uit en in te loggen.
Dankjewel voor je toelichting. Ik had je de hele tijd verkeerd begrepen, gek genoeg.
En je hebt gelijk, zo zie ik nu, enkel het sluiten en weer openen van Internet Explorer is voldoende om de ASR melding weer opnieuw te kunnen genereren via Manage Add-Ons.
Ik weet niet waardoor ik eerder de indruk had gekregen dat die EMET ASR mitigation voor Internet Explorer het laden van scrrun.dll (e.a.) niet slechts gedurende een IE-sessie, maar gedurende een Windows account sessie (of zelfs gedurende een systeem-sessie, zoals ik aangaf) zou blokkeren. Ik heb me duidelijk vergist.
Hartelijk dank voor de correctie!
26-08-2014, 14:43 door Spiff has left the building
Ik zie dat de EMET Application compatibility list inmiddels is aangepast, en dat anders dan eerder, toen slechts informatie werd geboden betreffend EMET 3 en EMET 4, nu informatie wordt gegeven met betrekking tot EMET 4.1 Update 1 en EMET 5.0.
http://support.microsoft.com/kb/2909257/en
http://support.microsoft.com/kb/2909257/nl
26-08-2014, 16:08 door [Account Verwijderd]
Door Spiff 26-08-2014 14:43 uur: Ik zie dat de EMET Application compatibility list inmiddels is aangepast, en dat anders dan eerder, toen slechts informatie werd geboden betreffend EMET 3 en EMET 4, nu informatie wordt gegeven met betrekking tot EMET 4.1 Update 1 en EMET 5.0.
http://support.microsoft.com/kb/2909257/en
http://support.microsoft.com/kb/2909257/nl

Bedankt voor het melden Spiff.

Ik zie dat er toch een paar verschillen zijn tussen EMET4.1 update 1 en EMET 5.0 wat betreft het kunnen toepassen van de mitigations.
05-01-2015, 16:14 door Hilversum - Bijgewerkt: 05-01-2015, 16:23
Ik heb een computer met W8, waarop zowel IE als Mozilla Firefox draaien.
Sinds kort krijg ik op IE de melding EMET 5.0 EMET detected EAF+ (GuardPage) migration and will close the application
Ik kan dan IE niet openen / gebruiken. Firefox werkt wel goed.
Wat kan het probleem zijn? En hoe kan ik het probleem verwijderen / verhelpen?
Ik heb beperkte computerkennis ;-)
05-01-2015, 17:01 door [Account Verwijderd] - Bijgewerkt: 05-01-2015, 17:11
Door Hilversum 05-01-2015 16:14 uur: Ik heb een computer met W8, waarop zowel IE als Mozilla Firefox draaien.
Sinds kort krijg ik op IE de melding EMET 5.0 EMET detected EAF+ (GuardPage) migration and will close the application
Ik kan dan IE niet openen / gebruiken. Firefox werkt wel goed.
Wat kan het probleem zijn? En hoe kan ik het probleem verwijderen / verhelpen?
Ik heb beperkte computerkennis ;-)

Ik begrijp uit je reactie dat je nog EMET 5.0 gebruikt. Echter is EMET5.1 beschikbaar.
https://www.microsoft.com/en-us/download/details.aspx?id=43714

Je zou EMET 5.1 kunnen installeren en kijken of daarmee het probleem dat jij omschrijft dat je IE niet kan openen en de melding die je omschrijft "EMET 5.0 EMET detected EAF+ (GuardPage) migration and will close the application" is opgelost. in

Er zijn namelijk compatibiliteitproblemen met een beveiligingsmaatregel van EMET en een update voor IE11 van november. https://www.security.nl/posting/408245/Microsoft+beschermt+Windows+met+EMET+5_1
http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
06-01-2015, 10:19 door Mysterio
EAF+ moet je sowieso uitschakelen voor Firefox, want dat scheelt ongeveer 20 seconden opstarttijd van Firefox. (niet bij iedereen, maar wel vaak) Ook voor IE11 kan dit problemen opleveren bij hoe snel de applicatie opstart. Verder inderdaad EMET updaten.
06-01-2015, 11:08 door Spiff has left the building
Door Mysterio, 10:19 uur:
EAF+ moet je sowieso uitschakelen voor Firefox, want dat scheelt ongeveer 20 seconden opstarttijd van Firefox. (niet bij iedereen, maar wel vaak)
Ook voor IE11 kan dit problemen opleveren bij hoe snel de applicatie opstart.
Verder inderdaad EMET updaten.
Betreffend EMET 5.1 en IE11 heb ik in december de vertragingen door EMET eens getimed,
zie deze post in de EMET 5.1 thread:
https://www.security.nl/posting/408206#posting411328
Met EMET 5.1 met EAF+ ingeschakeld ervaar ik IE11 op een Windows 7 x64 systeem als zo goed als onbruikbaar.
Maar ook met EAF+ uitgeschakeld ervaar ik de vertraging van IE11 nog als dusdanig hinderlijk dat ik het onwerkbaar vind. Met Windows 7 x64 kies ik daarom noodgedwongen voor EMET 4.1 Update 1 in plaats van EMET 5.1.
06-01-2015, 12:25 door Mysterio
Door Spiff:
Door Mysterio, 10:19 uur:
EAF+ moet je sowieso uitschakelen voor Firefox, want dat scheelt ongeveer 20 seconden opstarttijd van Firefox. (niet bij iedereen, maar wel vaak)
Ook voor IE11 kan dit problemen opleveren bij hoe snel de applicatie opstart.
Verder inderdaad EMET updaten.
Betreffend EMET 5.1 en IE11 heb ik in december de vertragingen door EMET eens getimed,
zie deze post in de EMET 5.1 thread:
https://www.security.nl/posting/408206#posting411328
Met EMET 5.1 met EAF+ ingeschakeld ervaar ik IE11 op een Windows 7 x64 systeem als zo goed als onbruikbaar.
Maar ook met EAF+ uitgeschakeld ervaar ik de vertraging van IE11 nog als dusdanig hinderlijk dat ik het onwerkbaar vind. Met Windows 7 x64 kies ik daarom noodgedwongen voor EMET 4.1 Update 1 in plaats van EMET 5.1.
Ja, dat had ik inderdaad gelezen, maar ik dacht dat het nuttig was om in dit geval nog even te vermelden. Met IE11 ondervind ik geen vertraging meer na het uitschakelen van EAF+ op Win 7 x64, maar zoals gezegd is het geen wet van Meden en Perzen dat het goed of fout gaat.
06-01-2015, 12:57 door Spiff has left the building
Door Mysterio, 12:25 uur:
Ja, dat had ik inderdaad gelezen, maar ik dacht dat het nuttig was om in dit geval nog even te vermelden.
Uiteraard :-)
Aandacht voor dat soort dingen is altijd nuttig, denk ik.
Dankjewel daarvoor.

Door Mysterio, 12:25 uur:
Met IE11 ondervind ik geen vertraging meer na het uitschakelen van EAF+ op Win 7 x64, maar zoals gezegd is het geen wet van Meden en Perzen dat het goed of fout gaat.
Hee, dat is mooi.
Mijn ervaring met twee verschillende Windows 7 x64 systemen was anders. Ik ben benieuwd waar het 'm in kan zitten.
Over enige tijd (over een aantal weken, een maand?) zal ik toekomen aan het vervangen van m'n Vista x86 installatie door een Windows 7 x64 installatie, ik ben benieuwd wat daarop het effect van EMET 5.1 op IE11 zal zijn. Het resultaat daarvan post ik dan nog even in de EMET 5.1 thread.
06-01-2015, 15:43 door [Account Verwijderd]
Door Spiff:
Mijn ervaring met twee verschillende Windows 7 x64 systemen was anders. Ik ben benieuwd waar het 'm in kan zitten.
Over enige tijd (over een aantal weken, een maand?) zal ik toekomen aan het vervangen van m'n Vista x86 installatie door een Windows 7 x64 installatie, ik ben benieuwd wat daarop het effect van EMET 5.1 op IE11 zal zijn. Het resultaat daarvan post ik dan nog even in de EMET 5.1 thread.

Wanneer ik de Windows 8.1 x64 laptop heb ingericht waar ik momenteel mee bezig ben kan ik ook testen of EMET5.1 in combinatie met IE11 ook een vertraging ondervind bij het opstarten van IE11. Verder test ik dan ook nog de door cluc-cluc aangepaste versie van VTexplorer.
06-01-2015, 15:57 door Mysterio
Een beetje vertraging vind ik niet zo'n probleem, maar in het geval van Firefox (zo'n 30 seconden) werd ik er toch een beetje verdrietig van. Het schijnt overigens dat IE 11, EMET 5.1 en bepaalde virusscanners zoals Comodo ook een behoorlijke vertraging kan geven. Dus een paar snelle tests: (Allemaal op Win 7 x64 en IE11)

Bij Panda Cloud doet IE11 het ietwat sneller zonder EAF+ dan met EAF+ aan.
Met Bitdefender merk ik geen verschil. Ik weet niet of dat een goed teken is ;)
Met McAfee Ent. merk ik ook enige snelheidswinst op bij het uitschakelen van EAF+.
Met MSE merk ik ook enige snelheidswinst.

Maar, nogmaals, een paar seconden vind ik geen probleem.
06-01-2015, 16:49 door Spiff has left the building
Door Mysterio, 15:57 uur:
Een beetje vertraging vind ik niet zo'n probleem, maar in het geval van Firefox (zo'n 30 seconden) werd ik er toch een beetje verdrietig van.
Dat kan ik me voorstellen.
De tien tot vijftien seconden extra vertraging in het openen van IE11 met EMET 5.1, bovenop en vergeleken met het openen van IE11 met EMET 4.1u1 of zonder EMET, en daarnaast de met EMET 5.1 tevens optredende vreselijke vertraging bij het openen van volgende/extra tabbladen, dat maakte eveneens verdrietig. Boos, zelfs.

Overigens, de ervaringen die ik beschreef met twee systemen met EMET 5.1, dat betrof notebooks, met 5400 rpm HDD's en lichte dual core CPU's. Moderne systemen met razendsnelle SSD en i7 etc. die hebben misschien minder last van vertraging door EMET 5.1?

Door Mysterio, 15:57 uur:
Het schijnt overigens dat IE 11, EMET 5.1 en bepaalde virusscanners zoals Comodo ook een behoorlijke vertraging kan geven. Dus een paar snelle tests: (Allemaal op Win 7 x64 en IE11)

Bij Panda Cloud doet IE11 het ietwat sneller zonder EAF+ dan met EAF+ aan.
Met Bitdefender merk ik geen verschil. Ik weet niet of dat een goed teken is ;)
Met McAfee Ent. merk ik ook enige snelheidswinst op bij het uitschakelen van EAF+.
Met MSE merk ik ook enige snelheidswinst.
Interessant.
Mogelijk door (anti-exploit?) technieken in de betreffende virusscanners die samen met EMET's EAF+ vertraging opleveren? Geen volledige incompatibiliteit, maar misschien wel het elkaar dusdanig in de weg zittend dat het vertraging geeft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.