Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Is het nu de bedoeling om Software in EMET te zetten ?

02-08-2014, 14:47 door vanegmond, 49 reacties
Laatst bijgewerkt: 02-08-2014, 14:48
Wat ik van EMET begrepen heb. Is dat het bedoeld is om allerlei software erin
te zetten, om die te beveiligen.
Nu kom ik echter nergens tegen op deze site, of op de site van MS, dat het
wel de bedoeling is om je eigen software in EMET te zetten !

Dus zet ik bv Freemake erin ? Had ik al gedaan, de Downloader en Converter
en geen enkle probleem.
Ook een tekenprogamma MyPaint had ik erin staan, ook geen problemen.
Ook mijn Interfaces om te schaken had ik erin staan.

Ik heb echter alles eruit gehaald, omdat ik er niemand over hoor !

Is het gebruiken van de Popualir Software instellingen van EMET nu afdoende
of is het raadzaam om ook bv de bovenstaande erin te zetten ?
Dus is het de bedoeling van EMET om nu juist je eigen Software er ook in te zetten ?
Bij evt problemen is het uitvinken van bv Sehop , was in het begin van EMET en Chrome
een probleem. Dus bij problemen is het uitvinken of verwijderen uit EMET een optie.

Graag Uw antwoord !
Reacties (49)
02-08-2014, 15:04 door Spiff has left the building - Bijgewerkt: 02-08-2014, 18:20
Ik plaats hieronder een kopie van mijn reactie uit de EMET 5.0 thread gestart door W. Spu, waar je hetzelfde vroeg.

Door Spiff, vr.01-08-2014, 21:51 uur:
https://www.security.nl/posting/397253#posting397404

EMET is voor elk wat wils.
Er is niet één 'bedoeling'.
EMET kan eventueel out-of-the-box worden gebruikt, na de standaard-installatie met Recommended Settings, met enkel protection profile Recommended Software, maar gevorderde gebruikers kunnen aan de andere kant ook helemaal los met het naar eigen inzicht onder EMET's hoede brengen van allerlei software en/of het aanpassen van de mitigations. Niets moet, alles mag. Het is aan een ieder om te bepalen wat die wil toepassen en/of uitproberen.
Ook via EMET\ System Status kunnen non-standaard aanpassingen worden gemaakt, voor DEP, SEHOP, ASLR en Pinning. Ikzelf heb met EMET 5.0 nu de unsafe option "Always On" setting voor ASLR toegepast. Dat is bepaald niet standaard, maar wel een optie.
Zoals ik aangaf, EMET is op allerlei manieren te gebruiken, iedereen bepaalt voor zich wat die wilt, en de een zal daarbij anders te werk gaan dan de ander.
Of het onder EMET's controle brengen van een veelheid aan software, zoals jij aangeeft, door veel anderen wordt toegepast, dat weet ik niet. Ikzelf laat EMET mijn persoonlijke systeeminstellingen voor DEP en SEHOP overnemen en zet nu tevens ASLR "Always On" en ik pas EMET's mitigations toe op het protection profile Popular Software, maar iedereen is vrij om diverse andere software onder EMET's controle te brengen en/of andere aanpassingen te maken.
02-08-2014, 16:16 door [Account Verwijderd]
@vanegmond

Je zult zelf moeten beslissen welke software je onder EMET zet en wat jij goed vind werken dit kunnen wij niet voor jou beoordelen.
03-08-2014, 20:10 door vanegmond
@Spiff, maar gevorderde gebruikers kunnen aan de andere kant ook helemaal los met het naar eigen inzicht onder EMET's hoede brengen van allerlei software en/of het aanpassen van de mitigations. Niets moet, alles mag. Het is aan een ieder om te bepalen wat die wil toepassen en/of uitproberen.

Dat is het hem juist Spiff, ik ben géén gevorderde gebruiker, weet geeneens wat al die toepassingen, zoals DEP en ASLR zijn.

Ikzelf laat EMET mijn persoonlijke systeeminstellingen voor DEP en SEHOP overnemen

Wat zijn deze persoonlijke systeeminstellingen ?
Waarom zet je bv jouw Freemake niet in EMET ? Vind je dat geen goed idee ?

@ _kraai_Je zult zelf moeten beslissen welke software je onder EMET zet en wat jij goed vind werken dit kunnen wij niet voor jou beoordelen.

Dat begrijp ik _kraai_ maar het zou nu juist handig zijn om wat advies te krijgen.
Zoals ik al vroeg is het slim om bv Freemake in EMET te zetten, die instellingen van EMET uitvinken
als iets niet werkt is mij bekend, maar dan houd mij kennis wel op.
Daarom zou het voor mij en anderen die deze site bezoeken en niet de kennis hebben, die velen van
deze site wel hebben, dat ze enig advies krijgen.
Bedankt voor je antwoord, want ene @ Spiff en Anoniem willen wat meer moeite nemen, maar van
anderen hoor ik niets..........dat is wat teleurstellend.
03-08-2014, 21:26 door Anoniem

Dat is het hem juist Spiff, ik ben géén gevorderde gebruiker, weet geeneens wat al die toepassingen, zoals DEP en ASLR zijn.

Dan is EMET eigenlijk niet helemaal bedoeld voor je.
EMET is eigenlijk - heel kort door de bocht - een vooruitloopje op wat er komt aan beveiligingstechnieken in de volgende versie van Windows.

Maar gebruik het gerust zolang je gewoon geen problemen ondervindt. Wat die problemen kunnen zijn? Gewoon je software die niet reageert zoals je verwacht (b.v. het start niet op, of het wil geen bestanden meer openen).

Belangrijkste blijft overigens vooral je browser, en Adobe software. Daar zijn de meeste aanvallen waar je zo dagelijks tegen aan kunt lopen namelijk op ge-ent.
03-08-2014, 22:01 door W. Spu - Bijgewerkt: 03-08-2014, 22:51
Hier onder een stukje uit de EMET User's Guide:


What applications should I apply EMET mitigations to?
We suggest to apply EMET mitigations to the applications that are typically targeted by exploits, which are ones that handle files or data coming from an untrusted source. Examples include web browsers, document readers, etc.....

Vrij vertaald: Gebruik EMET voor programma's die meestal doelwit zijn van aanvallen en dat zijn vaak de programma's die bestanden en/of gegevens van een niet-vertrouwde bron openen. Voorbeelden hiervan zijn browsers, documenten lezers, etc..

Als je de Popular Software protection profile importeert zijn de meeste programma's al toegevoegd. Echter de lijst van software is niet oneindig en sommige programma's kunnen handmatig toegevoegd worden. Welke programma's je wel of niet toegevoegd is afhankelijk van verschillende factoren. Bijvoorbeeld wordt de software door weinig of wordt deze door heel veel mensen gebruikt. Heeft het programma een verbinding met internet nodig.

Als je interfaces om te schaken alleen op je eigen pc werken en geen verbinding maken met internet is het risico niet zo groot dat dit programma aangevallen wordt. Als er echter in het programma (zoals met Freemake?) allerlei reclame via internet getoond wordt kan dit wel een aanvalsvector zijn. Met MyPaint gebruik je vaak allerlei plugins en deze zouden wellicht met kwade bedoelingen gemaakt zijn.

Indien een programma problemen heeft met EMET kun je proberen uit te zoeken welke mitigation(s) het probleem veroorzaken. Als EMET een duidelijke melding geeft is het vaak wel duidelijk welke mitigation uitgeschakeld moet worden. Als het programma gewoon crasht moet dat handmatig uitgezocht worden door de mitigations één voor één uit en in te schakelen.

EMET is echter geen totaal oplossing en kan het beste naast een virusscanner en een firewall gebruikt worden. Update verder je software en verwijderd ongebruikte programma's. Als er geen lekken in de software zitten omdat deze up-to-date is (of omdat de software gewoonweg niet geïnstalleerd is) kan er ook geen misbruik van gemaakt worden.
03-08-2014, 23:03 door vanegmond
Dan is EMET eigenlijk niet helemaal bedoeld voor je.
EMET is eigenlijk - heel kort door de bocht - een vooruitloopje op wat er komt aan beveiligingstechnieken in de volgende versie van Windows.

Maar gebruik het gerust zolang je gewoon geen problemen ondervindt. Wat die problemen kunnen zijn? Gewoon je software die niet reageert zoals je verwacht (b.v. het start niet op, of het wil geen bestanden meer openen).

@ Anoniem, Nee ik dacht ook al dat EMET wat boven mijn Pet gaat.
Maar ik begrijp dat ik het gerust kan gebruiken, zonder al die onderdelen van EMET te begrijpen.

Bijvoorbeeld wordt de software door weinig of wordt deze door heel veel mensen gebruikt. Heeft het programma een verbinding met internet nodig.

Als je interfaces om te schaken alleen op je eigen pc werken en geen verbinding maken met internet is het risico niet zo groot dat dit programma aangevallen wordt. Als er echter in het programma (zoals met Freemake?) allerlei reclame via internet getoond wordt kan dit wel een aanvalsvector zijn. Met MyPaint gebruik je vaak allerlei plugins en deze zouden wellicht met kwade bedoelingen gemaakt zijn.

@ W.Spu, wat een duidelijke uitleg, mijn dank daarvoor !
De Software word alleen door mij gebruikt. De SchaakInterfaces voor ICC Chessclub en Fics gaan via het Internet
zo speel ik tegen de hele Wereld.
Daarom had ik deze Interfaces en MyPaint al in EMET gezet, ook Freemake en EMET had geen problemen
met deze Software, alleen omdat ik niemand erover hoorde, heb ik ze uit EMET maar weer weg gehaald.
Ik begrijp dat het verstandig is om ze er juist in te zetten. En dat dit nu juist de bedoeling van EMET is, toch ?
maar zoals Spiff al melde, het is voor ieder wat wils in EMET.
Een progamma crashte, dat was Superantispyware, enigste wat ik kon doen, was de pc uitzetten en weer aan.
Ik kon ook niet op het Pictogram-rechtsonder-van EMET klikken, die aangaf dat er {dacht ik} een Migratie probleem
was. Op de PC zit Superantispyware, daarnaast Avast, MBam, WDefender, Secunia, Ccleaner. W Firewall.
Chrome, Firefox, Internet Exploxer, Sumatra PDF, omdat die Adobe steeds wat mee was.
Die heb ik allemaal nooit in EMET gezet, dat leek me niet zo slim, gezien de ervaring met Superantispyware, die
trouwens alleen wat MS roaming vind, vaak dezelfde twee. Sumatra kan ik er dus beter in zetten, las ik in je bijdrage.

Ik moet EMET 5.0 nog installeren, dat kan ik gezien de laatste keer met 4.1 , beter weer doen met oude
instellingen behouden, hoewel @ Spiff dat niet zo'n goed idee vond.

Hier nog een filmpje van YouTube, misschien interessant ;

http://www.youtube.com/watch?v=zSJ-AFQGpPs
03-08-2014, 23:36 door W. Spu
De Software word alleen door mij gebruikt. De SchaakInterfaces voor ICC Chessclub en Fics gaan via het Internet
zo speel ik tegen de hele Wereld.
Daarom had ik deze Interfaces en MyPaint al in EMET gezet, ook Freemake en EMET had geen problemen
met deze Software, alleen omdat ik niemand erover hoorde, heb ik ze uit EMET maar weer weg gehaald.
Ik begrijp dat het verstandig is om ze er juist in te zetten. En dat dit nu juist de bedoeling van EMET is, toch ?
maar zoals Spiff al melde, het is voor ieder wat wils in EMET.
Het risico van de SchaakInterfaces lijkt mij niet erg hoog maar als het werkt...
Een progamma crashte, dat was Superantispyware, enigste wat ik kon doen, was de pc uitzetten en weer aan.
Ik kon ook niet op het Pictogram-rechtsonder-van EMET klikken, die aangaf dat er {dacht ik} een Migratie probleem
was. Op de PC zit Superantispyware, daarnaast Avast, MBam, WDefender, Secunia, Ccleaner. W Firewall.
Chrome, Firefox, Internet Exploxer, Sumatra PDF, omdat die Adobe steeds wat mee was.
Die heb ik allemaal nooit in EMET gezet, dat leek me niet zo slim, gezien de ervaring met Superantispyware, die
trouwens alleen wat MS roaming vind, vaak dezelfde twee. Sumatra kan ik er dus beter in zetten, las ik in je bijdrage.
Andere security software zoals Superantispyware, Avast, MBAM, WDefender, CCleaner en W Firewall zullen waarschijnlijk problemen geven als deze in EMET toegevoegd worden omdat ze zelf op een laag niveau in Windows werken.
Ik moet EMET 5.0 nog installeren, dat kan ik gezien de laatste keer met 4.1 , beter weer doen met oude
instellingen behouden, hoewel @ Spiff dat niet zo'n goed idee vond.
Als EMET 5.0 geïnstalleerd wordt met behoud van instellingen worden de nieuwe mogelijkheden zoals EAF+ en ASR niet gebruikt. Ik zou ook de oude versie verwijderen (eventueel eerst de eigen apps selecteren en exporteren en daarna "emet_conf.exe --delete_all" vanuit een commandprompt met verhoogde rechten gebruiken om alle apps te wissen), herstarten en dan de nieuwe versie installeren. De eigen apps kunnen daarna weer geïmporteerd worden.
03-08-2014, 23:55 door Spiff has left the building
Door Spiff, za.02-08, 15:04 uur:
Ikzelf laat EMET mijn persoonlijke systeeminstellingen voor DEP en SEHOP overnemen en zet nu tevens ASLR "Always On" en ik pas EMET's mitigations toe op het protection profile Popular Software
Door vanegmond, zo.03-08, 20:10 uur:
Wat zijn deze persoonlijke systeeminstellingen?

De DEP Windows systeem-instelling heb ik in Windows ingesteld via
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde"
waar ik geen uitzonderingen heb hoeven plaatsen onder "de hieronder geselecteerde".
EMET neemt deze Windows systeem-instelling automatisch over, en vermeldt dan als Quick Profile Name "Custom security settings", met DEP "Application Opt Out" (dus DEP voor alle programma's en services ingeschakeld, behalve wanneer ik een opt-out zou instellen via Configuratiescherm\ Systeem en onderhoud\ Systeem\ Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP).

Het in EMET kiezen van "Maximum security settings" met DEP "Always On" is ook een optie, maar dat leverde me eerder een probleem op in combinatie met het gebruik van het programmaatje DesktopOK
(zie https://www.security.nl/posting/41491#posting366965 en https://www.security.nl/posting/380416/).
Dat is waarom ik EMET mijn Windows systeem-instelling voor DEP laat overnemen onder Quick Profile "Custom security settings" met DEP "Application Opt Out", en waarom ik niet "Maximum security settings" met DEP "Always On" kies.

En de SEHOP Windows systeem-instelling heb ik in Windows afgedwongen via een register-aanpassing.
Dat wordt hier beschreven:
http://support.microsoft.com/kb/956607/nl
http://support.microsoft.com/kb/956607/en
http://blogs.technet.com/b/srd/archive/2009/11/20/sehop-per-process-opt-in-support-in-windows-7.aspx
http://www.ghacks.net/2012/07/16/advanced-windows-security-activating-sehop/
EMET neemt die aanpassing in Windows automatisch over, en vermeldt dan
SEHOP Always On - onder Vista,
of SEHOP Application Opt Out - onder Windows 7 en 8.x
Voor wie zelf niet die aanpassing al had gemaakt door middel van een register-aanpassing, kan die SEHOP instelling eenvoudig gemaakt worden door middel van EMET, via "Maximum security settings" of via een "Custom security setting" specifiek voor SEHOP.

Ten slotte -
Het instellen van ASLR "Always On" wordt beschreven in de EMET 5.0 User Guide, onder Advanced Options, Enabling Unsafe Configurations, pagina 28 van de tekst, pagina 31 van de pdf.

Door vanegmond, zo.03-08, 20:10 uur:
Waarom zet je bv jouw Freemake niet in EMET? Vind je dat geen goed idee?
Het is misschien een prima idee.
Gezien het feit dat jij er geen crashes door ondervonden hebt gaat dat blijkbaar prima.
Ik heb er echter nooit een noodzaak toe gezien, om de redenen die W. Spu beschreef.
En zou ik EMET's mitigations willen toepassen op Freemake Video Downloader, dan zou ik willen uitzoeken wát van Freemake Video Downloader er precies onder de hoede van EMET gebracht zou moeten worden. Ik kan me voorstellen dat Freemake Video Downloader meerdere processen genereert. En tevens maakt het via de FreemakeVideoCapture service (of CaptureLibService) gebruik van WinPcap (zoals in je Freemake thread besproken: https://www.security.nl/posting/395852), dus ik kan me voorstellen dat ook dat dan onder de hoede van EMET gebracht zou moeten worden.
Ik ben er nooit aan toegekomen dat te onderzoeken en toe te passen in EMET, en zonder duidelijke noodzaak heeft het geen prioriteit voor me.

Door vanegmond, zo.03-08, 20:10 uur:
van anderen hoor ik niets..........dat is wat teleurstellend.
Er zijn hier op Security.NL ruimschoots mensen geinteresseerd in EMET en doorgaans ook beslist niet te beroerd om meningen, ervaringen en tips te delen, maar je moet je wel realiseren dat we momenteel midden in de zomervakanties zitten. Een deel van de vaste Security.NL bezoekers zal afwezig zijn.
Vind je dat je te weinig respons krijgt, dan kun je deze thread over een aantal weken nog eens een zetje geven, wie weet reageren er dan nog wat zongebruinde bezoekers.
04-08-2014, 07:48 door Anoniem
Door vanegmond: Wat ik van EMET begrepen heb. Is dat het bedoeld is om allerlei software erin
te zetten, om die te beveiligen.
Nu kom ik echter nergens tegen op deze site, of op de site van MS, dat het
wel de bedoeling is om je eigen software in EMET te zetten !
Gezien het feit dat je eigenlijk geen flauw idee hebt wat EMET is en doet, zou ik géén andere software (buiten "popular software") door EMET laten bijhouden.

Als je dat toch wil doen:
A] Bedenk eerst of het nut heeft. Zijn er kwetsbaarheden bekend in de software die je wil toevoegen?
B] Lees goed door wat al die Engelandse termen en afkortingen beteken. Al die afkortingen beschermen het systeem, simple gezegd, tegen één soort dreiging. Lang niet alle dreigingen zijn van toepassing op alle software.


Zoals (alle) anderen al melden, ik zou het bij de standaard-lijstjes houden als ik jou was.

NB: het grootste gevaar voor een systeem is de gebruiker... EMET beschermt daar niet tegen.
(Vragen stellen wel, dus +1 voor jou natuurlijk.)
04-08-2014, 14:40 door Fwiffo
@vanegmond: Ik raad je aan https://www.security.nl/posting/397440#posting397527 goed over te lezen. Meerdere malen als het kan! Wat W. Spu daar zegt is helemaal van toepassing op Freemake zoals ik de software begrijp. Het is een infrequent geupdate bom van codecs waarvan er maar één lek hoeft te zijn. Het vergroot je aanvalsoppervlakte gigantisch! Bovendien begrijp ik dat het vol adware zit die zich mee probeert te installeren, wat ook een veiligheidsrisico kan inhouden (expres of door softwarefouten).

Vroeger gebruikte ik IrFanView erg veel, maar nu eigenlijk niet meer en ik mis het ook niet. Zou je niet zonder Freemake kunnen? Dat is de veiligste oplossing. De reden dat ik IrFanView niet meer gebruik is juist omdat het zoveel formaten ondersteunt. Die elk lek kunnen zijn. Één verkeerde afbeelding openen (of een verkeerd filmpje) en een aanvaller is binnen.

Nu moet ik zeggen dat ik EMET vrij paranoïde software vind. Ik patch liever obsessief en hou het aanvalsoppervlak klein door zo min mogelijk onnodige software te installeren. Bij mij levert EMET meer problemen op dan dat het ooit op zal lossen. Daar komt bij dat elke nieuwe versie weer nieuwe 'mitigations' toevoegt, die ook weer problemen kunnen opleveren die er daarvoor niet waren. Je computer wordt zo steeds instabieler. [Sommige meldingen van EMET zijn geen hackpoging maar gewoon een programmeer fout in de software waar de melding over komt].

EMET maakt een strak systeem veiliger, maar Freemake doet dat naar mijn mening weer teniet. Of Freemake veel gebruikt wordt en dus interessant is voor 'hackers' weet ik niet.
04-08-2014, 15:23 door Spiff has left the building - Bijgewerkt: 04-08-2014, 15:37
Door W. Spu, zo.03-08, 22:01 uur:
[...] Als er echter in het programma (zoals met Freemake?) allerlei reclame via internet getoond wordt kan dit wel een aanvalsvector zijn.
Door Fwiffo, 04-08, 14:40 uur:
[...] Freemake [...]
Bovendien begrijp ik dat het vol adware zit die zich mee probeert te installeren, wat ook een veiligheidsrisico kan inhouden (expres of door softwarefouten).
Zonder advocaat te willen zijn voor Freemake,
ik vind het wel verstandig om even een paar misverstanden uit de weg te ruimen:
1.
Freemake software gebruikt OpenCandy supported installers, dat is uitvoerig besproken in vanegmonds Freemake thread, zie: https://www.security.nl/posting/395852.
Met OpenCandy is bij installatie verstandig om te gaan, of het is zelfs geheel te vermijden (bijvoorbeeld door een offline installer te gebruiken en tijdelijk de netwerkverbinding te verbreken).
De installer bevat dus OpenCandy, maar bij het verstandig omgaan daarmee wordt geen adware gedownload en geïnstalleerd, en het geïnstalleerde programma bevat geen adware en toont geen reclames.
2.
Het toepassen van EMET's mitigations op de geïnstalleerde Freemake software geeft EMET uiteraard geen controle over de installatie van de software, dus over het gedrag van de OpenCandy supported installer.
Dat OpenCandy-aspect van de software is dus niet te controleren door middel van EMET.
De OpenCandy-component van de installer kan daarom mijns inziens geen argument zijn voor het toepassen van EMET's mitigations op de geïnstalleerde Freemake software.

En verder, zoals ik eerder al aangaf,
wil je de EMET's mitigations toepassen op Freemake Video Downloader, dan is het mijns inziens verstandig om uit te zoeken wát van Freemake Video Downloader er precies onder de hoede van EMET gebracht zou moeten worden. Ik kan me voorstellen dat Freemake Video Downloader meerdere processen genereert. En tevens maakt Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik van WinPcap (zoals in vanegmonds Freemake thread besproken: https://www.security.nl/posting/395852), dus ik kan me voorstellen dat ook dat dan onder de hoede van EMET gebracht zou moeten worden.
04-08-2014, 19:55 door vanegmond
van W.Spu , Als EMET 5.0 geïnstalleerd wordt met behoud van instellingen worden de nieuwe mogelijkheden zoals EAF+ en ASR niet gebruikt. Ik zou ook de oude versie verwijderen (eventueel eerst de eigen apps selecteren en exporteren en daarna "emet_conf.exe --delete_all" vanuit een commandprompt met verhoogde rechten gebruiken om alle apps te wissen), herstarten en dan de nieuwe versie installeren. De eigen apps kunnen daarna weer geïmporteerd worden.
Ik lees ook dat Internet Exploxer het na installeren van EMET 5.0 moeilijk doet, nu gebruik ik Chrome, Firefox. Internet Exploxer, want om Firefox te gebrbruiken voor bankzaken, dan liever na Chrome, IEX 11 Inprivate.

van Spiff, I have EMET 4 installed. Should I uninstall it before installing the new version?
You don’t need to uninstall EMET 4 before installing EMET 5.
EMET 5 installer will automatically uninstall EMET 4 and install EMET 5.
The Configuration Wizard provides an upgrade experience to safely migrate current settings from EMET 4.

Ik moet EMET 5.0 nog installeren.
Dat Apps exporteren W.Spu kan ik niet volgen, want waar exporteer ik ze heen, wanneer ik Emet 4.1 al heb
verwijderd ?
Spiff zegt alle software die ik er zelf ingezet heb verwijderen. Doe ik dit via Apps. en dan delete, stuk voor stuk ?
Dan verwijder Emet 4.1, of kan ik dan Emet 5.0 over de oude installeren met Keep Exiting Settings ?
Volgens W.Spu maak ik dan geen gebruik twee nieuwe onderdelen van Emet 5.0.

Emet 5.0 zal aankomen met Installatie, hoe wilt U dit installeren.
Recommended Settings of Keep Exiting Settings, wat dan te doen ?

van Anoniem, Zoals (alle) anderen al melden, ik zou het bij de standaard-lijstjes houden als ik jou was.

NB: het grootste gevaar voor een systeem is de gebruiker... EMET beschermt daar niet tegen.
(Vragen stellen wel, dus +1 voor jou natuurlijk.)

Misschien is dat wel beter Anoniem, proberen kan altijd natuurlijk ;-) heb ik toch nog een +1 te pakken :-)

Freemake is toch na het goed installeren en onderbrengen in EMET beter beschermd ?
Of denk ik nu weer te simpel over het onderbrengen in EMET ?
Het is alleen zo dat ik Freemake al zo lang gebruik, de Downloader en de Converter, maar ik moet
maar eens induiken in andere opties, die dacht ik Anoniem al voorstelde.

Tenslotte, mijn dank voor alle moeite !!!
04-08-2014, 20:35 door W. Spu - Bijgewerkt: 04-08-2014, 20:51
Een installatie van EMET 5.0 (over EMET 4.1 heen) met "Keep Existing Settings" behoud de instellingen van de applicaties. De nieuwe features worden niet geactiveerd omdat deze in 4.1 nog niet bestonden. Zo zullen de mitigations EAF+ en ASR voor bijvoorbeeld IExplore.exe niet geselecteerd zijn.

Een installatie van EMET 5.0 met "Recommended Settings" verwijderd alle voorgaande settings van versie 4.1. De mitigations EAF+ en ASR voor IExplore.exe zullen dan wel geselecteerd zijn.

Door het compleet verwijderen van EMET 4.1 verwijder je ook alle settings maar dan ben je er zeker(der) van dat je met een schone installatie begint. De installatie optie "Keep Existing Settings" heeft dan geen nut (zal ook grijs zijn) omdat alle instellingen verwijderd zijn.

Voor wat betreft het exporteren. Je kan voor het de-installeren van EMET 4.1 de EMET GUI openen en op de Apps knop drukken. De zelf toegevoegde apps zijn vervolgens te selecteren door de CTRL toets ingedrukt te houden en ze 1 voor 1 te selecteren. Klik vervolgens op de 'Export Selected' knop en sla het bestand ergens op waar je deze terug kunt vinden zoals in de mijn documenten map. Op deze manier zou je de eigen apps ook kunnen selecteren en verwijderen maar bij de de-installatie wordt dat ook gedaan. Na de installatie van EMET 5.0 met "Recommended Settings" kun je in de EMET GUI je eigen app settings weer importeren. Klik hiervoor op import knop en open het opgeslagen bestand met de geëxporteerde instellingen. Eventueel kun je per app de mitigations EAF+ (en/of ASR) activeren en testen.

Je computer zal waarschijnlijk beter beschermd zijn tegen misbruik van beveiligingslekken in Freemake als deze applicatie ondergebracht wordt in EMET. Zoals Spiff al aangegeven heeft zou je eventueel ook andere applicaties/processen, die door Freemake opgestart worden, in EMET moeten opnemen.
04-08-2014, 21:17 door vanegmond
Een installatie van EMET 5.0 met "Recommended Settings" verwijderd alle voorgaande settings van versie 4.1. De mitigations EAF+ en ASR voor IExplore.exe zullen dan wel geselecteerd zijn.

Aan W.Spu, zijn dan ook alle Apps{mijn eigen ingezette software}in EMET verdwenen ?
Dan hoef ik nm niet alles eerst te verwijderen, want zoveel apps heb ik er ook niet weer in.

Neem aan, dat verwijderen via config, progam enz dan voldeoende is, hoewel dat verwijderen
al eerder vermeld is volgens mij. Hoe verwijder ik het beste Emet 4.1.
Ik moet nog even zien wat Spiff precies bedoeld wat betreft Freemake en Emet, hij gaat ook wat verder
wat betreft Emet in Windows aanpassen.
04-08-2014, 21:23 door Spiff has left the building - Bijgewerkt: 04-08-2014, 21:32
N.B.
Ik had zoveel tijd genomen voor het schrijven van deze reactie, dat in de tussentijd (20:35+) W. Spu al veel beantwoord had van wat vanegmond had gevraagd, zo zag ik na het posten van mijn reactie.
Een deel van wat ik hieronder heb geantwoord is dus dubbelop. Maar dat is niet erg, denk ik.

Door vanegmond, 19:55 uur:
Ik moet EMET 5.0 nog installeren.
Dat Apps exporteren W.Spu kan ik niet volgen, want waar exporteer ik ze heen, wanneer ik Emet 4.1 al heb verwijderd?
Ik weet niet hoe nuttig het is om de configuratie van EMET 4.1 (Update 1?) te exporteren.

EMET installeren met "Use Recommended Settings", vervolgens protection profile Popular Software toepassen, en ten slotte tevens de EMET mitigations nog toepassen op de applicaties naar eigen wens, dat lijkt me niet bijzonder veel werk. (Wel om driemaal daags te doen, maar niet als dat maar eens in de zoveel maanden hoeft.)

Wil je echter toch graag de configuratie van EMET 4.1 (Update 1?) exporteren en later importeren in EMET 5.0, dan doe je dat exporteren via EMET 4.1\ Apps\ Export, waarbij je de Config files kunt opslaan onder een bestandsnaam naar keuze op een bestandslocatie naar keuze.
N.B. Dat doe je dan dus vanuit EMET 4.1. Je moet dan uiteraard niet eerst EMET 4.1 al verwijderen.
Na het installeren van EMET 5.0 kun je die bewaarde configuratie van EMET 4.1 importeren via Import.

Door vanegmond, 19:55 uur:
Spiff zegt alle software die ik er zelf ingezet heb verwijderen. Doe ik dit via Apps. en dan delete, stuk voor stuk?
Dan verwijder Emet 4.1, of kan ik dan Emet 5.0 over de oude installeren met Keep Exiting Settings?
Volgens W.Spu maak ik dan geen gebruik twee nieuwe onderdelen van Emet 5.0.
Ikzelf verwijder inderdaad een oudere EMET versie voordat ik een nieuwe EMET versie installeer, en voor het verwijderen maak ik eerst alle toegepaste EMET mitigations ongedaan.
Dit is echter niet nodig.
Ik ben gewoon een beetje gek.
Evengoed kun je de nieuwe EMET versie installeren zonder eerst de vorige versie te verwijderen.

Bij installeren heb je twee opties:
"Use Recommended Settings"
en "Keep Existing Settings".

Kies je "Use Recommended Settings" en heb je de vorige EMET versie niet eerst verwijderd, dan wordt automatisch de eerdere versie en de instellingen daarin verwijderd en de nieuwe versie met de aanbevolen instellingen geïnstalleerd.
Het probleem dat de nieuwe mitigations EAF+ en ASR dan niet worden toegepast treedt dan niet op.

Kies je echter "Keep Existing Settings" en heb je de vorige EMET versie niet eerst verwijderd, dan wordt eveneens automatisch de eerdere versie verwijderd, maar dan worden de instellingen van de vorige EMET versie overgenomen in de nieuwe versie en de nieuwe mitigations EAF+ en ASR worden dan niet toegepast.

N.B.
Het verwijderen van de oude EMET versie voor het installeren van de nieuwe versie is dus niet nodig.
Enkel maar wanneer je zo gek bent als ik.
Wil je om een of andere reden ook gek doen, dan kun je de mitigations in de oude versie als volgt simpel ongedaan maken:
Ga naar EMET\ Apps,
markeer de hele kolom applicaties door middel van Shift-knop vasthouden plus met de muis de eerste en vervolgens de laatste applicatie aan te klikken,
rechtsklik de gemarkeerde applicaties en kies "Disable All Mitigations",
en verwijder vervolgens alle applicaties door middel van "Remove selected" (rood kruis),
en ten slotte OK.
Maar nogmaals, doe dit enkel wanneer je dit leuk vind of neurotisch of anderszins zot bent, want er is geen noodzaak toe.

Door vanegmond, 19:55 uur:
Recommended Settings of Keep Exiting Settings, wat dan te doen?
Wil je dat de nieuwe mitigations EAF+ en ASR automatisch worden toegepast, dan is de optie "Use Recommended Settings" de optie die je wilt kiezen, zoals hierboven beschreven.

Door vanegmond, 19:55 uur:
Freemake is toch na het goed installeren en onderbrengen in EMET beter beschermd?
Of denk ik nu weer te simpel over het onderbrengen in EMET?
Het zal zeker niet slechter beschermd zijn.
Maar verder geldt wat ik al een paar keer eerder heb aangegeven:
Wil je de EMET's mitigations toepassen op Freemake Video Downloader, dan is het mijns inziens verstandig om uit te zoeken wát van Freemake Video Downloader er precies onder de hoede van EMET gebracht moet worden. Ik kan me voorstellen dat Freemake Video Downloader meerdere processen genereert. En tevens maakt Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik van WinPcap (zoals in je Freemake thread besproken: https://www.security.nl/posting/395852), dus ik kan me voorstellen dat ook dat dan onder de hoede van EMET gebracht zou moeten worden.

Door vanegmond, 19:55 uur:
Het is alleen zo dat ik Freemake al zo lang gebruik, de Downloader en de Converter, maar ik moet maar eens induiken in andere opties, die dacht ik Anoniem al voorstelde.
Uiteraard bestaan er andere opties.
Maar laat je niet gek maken betreffend de Freemake software.
Aan de OpenCandy component van de Freemake installer is een aparte thread gewijd en ook in deze thread kwam het weer even aan de orde. OpenCandy is in principe geen probleem wanneer je er verstandig mee omgaat. Hoe hard MBAM en andere scanners ook gillen wanneer ze een OpenCandy bestand ontdekken.

Het feit dat Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik maakt van WinPcap (zoals in je Freemake thread besproken: https://www.security.nl/posting/395852), dat lijkt me nog het interessantste aandachtspunt.
Heb je je Freemake thread en ook dat wat daarin is geschreven over WinPcap inmiddels goed bestudeerd? Eerder gaf je aan dat je daaraan nog niet was toegekomen.

Volgens mij is alles al wel een keer gezegd, inmiddels, het probleem is echter dat er zovéél gezegd is. Ik kan me voorstellen dat het je kan duizelen. Vragen stellen en reacties krijgen gaat vlot, maar alles op een rijtje krijgen dat kan tijd kosten, vooral wanneer je zo'n beetje wordt overvoerd met informatie.
Een goed advies advies lijkt me om de tijd te nemen om alles dat gezegd en geschreven is en wordt rustig en goed te bestuderen, en waar nodig te herlezen.


N.B.
Ik had zoveel tijd genomen voor het schrijven van deze reactie, dat in de tussentijd (20:35+) W. Spu al veel beantwoord had van wat vanegmond had gevraagd, zo zag ik na het posten van mijn reactie.
Een deel van wat ik hierboven heb geantwoord is dus dubbelop. Maar dat is niet erg, denk ik.
04-08-2014, 21:31 door W. Spu
Recommended settings verwijderd volgens mij alle Apps (inclusief eigen apps) en alles onder Trust. Vervolgens worden de 'Recommended Software.xml' en 'CertTrust.xml' bestanden geimporteerd en en wordt de Quick Profile 'Recommended security settings' geselecteerd.
04-08-2014, 23:01 door [Account Verwijderd]
Nog een kleine aanvulling op de grote hoeveelheid tekst met informatie die al door W.Spu en Spiff is geschreven, mocht je ervoor kiezen je instellingen niet over te nemen en dus voor de optie "Use Recommended Settings" kiezen bij de installatie van EMET 5.0, maar je wilt de programma's uit het Popular Software protection profile ook onder EMET hebben staan, kun je het Popular Software protection profile natuurlijk importeren.
05-08-2014, 01:04 door vanegmond - Bijgewerkt: 05-08-2014, 01:06
van W.Spu, Een installatie van EMET 5.0 met "Recommended Settings" verwijderd alle voorgaande settings van versie 4.1. De mitigations EAF+ en ASR voor IExplore.exe zullen dan wel geselecteerd zijn. Door het compleet verwijderen van EMET 4.1 verwijder je ook alle settings maar dan ben je er zeker(der) van dat je met een schone installatie begint. De installatie optie "Keep Existing Settings" heeft dan geen nut (zal ook grijs zijn) omdat alle instellingen verwijderd zijn.

Duidelijk. Dat ga ik doen, dus eerst toch Emet 4.1 verwijderen en niet 5.0 erover heen zetten.
Dat Exporteren is alleen jouw tip, als ik/iemand veel apps erin heeft ?

van Spiff, EMET installeren met "Use Recommended Settings", vervolgens protection profile Popular Software toepassen, en ten slotte tevens de EMET mitigations nog toepassen op de applicaties naar eigen wens,

Tevens dit advies, het is alleen mijn ervaring met computers, dat als je denkt. Dit doe ik wel even
dat het dan bij mij zolang duurt, dat het niet leuk meer is. Wel eerst die Deep Hooks uitvinken toch ?

van Spiff, Ikzelf verwijder inderdaad een oudere EMET versie voordat ik een nieuwe EMET versie installeer, en voor het verwijderen maak ik eerst alle toegepaste EMET mitigations ongedaan.
Dit is echter niet nodig.
Ik ben gewoon een beetje gek.Maar nogmaals, doe dit enkel wanneer je dit leuk vind of neurotisch of anderszins zot bent, want er is geen noodzaak toe.

Voor die Gekte, zal je best je redenen hebben Spiff ?
En ik hou wel van Gekte tot op zekere hoogte , maar;
Weleens een normaal Mens ontmoet, en beviel het ? :-)
Ook ik mag graag met Computers zo min mogelijk risico willen lopen.

van Spiff, Wil je de EMET's mitigations toepassen op Freemake Video Downloader, dan is het mijns inziens verstandig om uit te zoeken wát van Freemake Video Downloader er precies onder de hoede van EMET gebracht moet worden. Ik kan me voorstellen dat Freemake Video Downloader meerdere processen genereert.
Het feit dat Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik maakt van WinPcap (zoals in je Freemake thread besproken: https://www.security.nl/posting/395852), dat lijkt me nog het interessantste aandachtspunt.
Heb je je Freemake thread en ook dat wat daarin is geschreven over WinPcap inmiddels goed bestudeerd? Eerder gaf je aan dat je daaraan nog niet was toegekomen.

Dat zou natuurlijk het beste zijn Spiff, om alvorens iets in Emet te zetten, te weten wat die Software
gebruikt, maar ik vermoed dat er maar weinig zijn die dit doen.
Het kan volgens mij Leken Computer Verstand, ook geen kwaad Freemake erin te zetten, werkt het niet
dan er weer uit. Mijn ervaring is dat het geen enkel probleem is.
Ik heb al een paar keer naar die WinPcap gezocht, ook onder andere namen. Maar in Services is het niet
te vinden. Nu heb ik Downloader ná die Virustotal waarschuwing verwijderd maar Converter heb ik nog
wel en ik ga Downloader er ook weer in zetten, gezien jouw gerusstelling over die Pup's.{Open Candy}
Die WinPcap staat er nog wel in progammaonderdelen maar ik wil die nieuwste versie hebben.

Vragen stellen en reacties krijgen gaat vlot, maar alles op een rijtje krijgen dat kan tijd kosten, vooral wanneer je zo'n beetje wordt overvoerd met informatie.
Een goed advies advies lijkt me om de tijd te nemen om alles dat gezegd en geschreven is en wordt rustig en goed te bestuderen, en waar nodig te herlezen.

Juist ja Spiff ! Ik lees en lees, maar het te begrijpen, vaak komen er nog meer vragen en antwoorden bij.
Daar ben ik natuurlijk verguld mee, maar het valt niet mee om het te begrijpen, en voor ik iets doe, wil ik het
graag eerst begrijpen en dan uitvoeren, misschien te voorzichtig. Maar ik ben allergisch voor Apperaten
die problemen gaan geven.

van _kraai_optie "Use Recommended Settings" kiezen bij de installatie van EMET 5.0, maar je wilt de programma's uit het Popular Software protection profile ook onder EMET hebben staan, kun je het Popular Software protection profile natuurlijk importeren.

Dat kan ik toch doen, vanuit Emet 5.0, Import enz Of staat daar dat Populair Sofware niet meer ?
Er staan er twee volgens mij, die ik allebei maar Importeer vanuit Emet.
05-08-2014, 11:19 door Spiff has left the building - Bijgewerkt: 05-08-2014, 18:24
Door vanegmond, 01:04 uur:
Wel eerst die Deep Hooks uitvinken toch ?
Deep Hooks staat standaard aangevinkt sinds EMET 4.1 Update 1.
Ik vink die niet uit, ook niet voorafgaand aan het deïnstalleren van EMET.

Door vanegmond, 01:04 uur:
Voor die gekte, zal je best je redenen hebben Spiff?
De 'gekte' van het verwijderen van een oudere EMET versie voorafgaand aan het installeren van een nieuwe EMET versie, en het voorafgaand aan het verwijderen eerst alle toegepaste EMET mitigations ongedaan maken, dat doe ik alleen omdat dat me met EMET nauwelijks extra moeite kost en ik met een complex en niet altijd volmaakt stuk software zoals EMET liefst zo veel mogelijk potentieel 'storende' factoren wil uitsluiten.
Maar zoals de EMET User Guide vermeldt, en zoals ook gebruikers aangeven, een voorgaande EMET versie hoeft niet van te voren verwijderd te worden, bij het installeren van de nieuwe versie wordt automatisch de eerdere versie verwijderd.
En enkel wanneer bij installatie gekozen zou worden voor "Keep Existing Settings" worden de instellingen van de eerdere EMET versie bewaard. Kies je "Use Recommended Settings" dan worden de instellingen uit de vorige versie weggegooid en de standaard aanbevolen instellingen voor de nieuwe versie ingesteld.
Dus nogmaals, het verwijderen van een oudere EMET versie voorafgaand aan het installeren van een nieuwe EMET versie, en het voorafgaand aan het verwijderen eerst alle toegepaste EMET mitigations ongedaan maken, dat is niet nodig, en doe ik alleen omdat het me nauwelijks extra moeite kost en ik met een complex en niet altijd volmaakt stuk software zoals EMET liefst zo veel mogelijk potentieel 'storende' factoren wil uitsluiten. Maar dat is waarschijnlijk onnodig en een beetje 'gekte'.

Betreffend Freemake software,
Door vanegmond, 01:04 uur:
Dat zou natuurlijk het beste zijn Spiff, om alvorens iets in Emet te zetten, te weten wat die Software gebruikt, maar ik vermoed dat er maar weinig zijn die dit doen.
Als met de EMET gebruikers-interface geopend Freemake software geopend en gebruikt wordt, dan zal onder EMET "Running Processes", "Running EMET", te zien zijn welke processen actief worden en nog niet door EMET beschermd worden. Die processen zijn dan eenvoudig aan de door EMET bewaakte applicaties toe te voegen, zoals je dat zelf eerder ook gedaan hebt.
Een aandachtspunt is wel dat je de Freemake software actief moet gebruiken om die betreffende processen te zien in EMET en ze aan de door EMET bewaakte applicaties toe te voegen. Dus downloaden, of converteren, etc., naar gelang de betreffende Freemake software en de beschikbare mogelijkheden daarvan.
Specifiek met Freemake Video Downloader is WinPcap een extra aandachtspunt, omdat door WinPcap (de FreemakeVideoCapture service, ofwel de CaptureLibService) gegenereerde processen wellicht enkel actief zullen zijn op het moment dat daadwerkelijk video gedownload wordt door middel van Freemake Video Downloader. Het opmerken van die betreffende processen in EMET en ze aan de door EMET bewaakte applicaties toe te voegen is daardoor wellicht een karweitje om even goed je aandacht bij te moeten hebben, en om zo nodig een paar keer opnieuw langs te lopen om te zien of je alle door WinPcap (de FreemakeVideoCapture service, ofwel de CaptureLibService) gegenereerde processen te pakken hebt.

Door vanegmond, 01:04 uur:
Ik heb al een paar keer naar die WinPcap gezocht, ook onder andere namen. Maar in Services is het niet te vinden. Nu heb ik Downloader ná die Virustotal waarschuwing verwijderd maar Converter heb ik nog wel en ik ga Downloader er ook weer in zetten, gezien jouw geruststelling over die Pup's.{Open Candy}
Die WinPcap staat er nog wel in programmaonderdelen maar ik wil die nieuwste versie hebben.
Um, ik gaf dat eerder al aan in je Freemake thread (https://www.security.nl/posting/395852),
heb je Freemake Video Downloader verwijderd (en nog niet opnieuw geïnstalleerd), dan is de FreemakeVideoCapture service (of CaptureLibService) niet meer aanwezig.
De FreemakeVideoCapture service (of CaptureLibService) is een onderdeel van Freemake Video Downloader en (dus) alleen aanwezig bij een geïnstalleerde Freemake Video Downloader.

Ik weet niet of ook Freemake Video Converter WinPcap mee-installeert en gebruikt.
Ik heb zelf Freemake Video Converter niet geïnstalleerd.
Installeert en gebruikt ook Freemake Video Converter WinPcap, dan kan ik niet uitsluiten dat die misschien niet zoals Freemake Video Downloader een FreemakeVideoCapture service (of CaptureLibService) gebruikt. Misschien heet dat bij Freemake Video Converter anders, of wordt een dergelijke service helemaal niet gebruikt.

Betreffend Freemake Video Downloader en Freemake Video Converter kan ik je alleen over Freemake Video Downloader uit eigen ervaring informatie bieden, niet over Freemake Video Converter.

Door vanegmond, 01:04 uur:
Emet 5.0, Import enz Of staat daar dat Populair Software niet meer?
Er staan er twee volgens mij, die ik allebei maar Importeer vanuit Emet.
Onder EMET 5.0 wordt via Import nog steeds zowel Protection Profile "Recommended Software" en Protection Profile "Popular Software" aangeboden.
Protection Profile "Recommended Software" wordt standaard toegepast, en is eenvoudig te vervangen door het uitgebreidere Protection Profile "Popular Software" via EMET\ Import\ Popular Software.xml


[Latere aanpassing: typo gecorrigeerd]
05-08-2014, 11:51 door [Account Verwijderd] - Bijgewerkt: 06-08-2014, 11:44
Door vanegmond 05-08-2014 01:04 uur:

Ik lees en lees, maar het te begrijpen, vaak komen er nog meer vragen en antwoorden bij.
Daar ben ik natuurlijk verguld mee, maar het valt niet mee om het te begrijpen, en voor ik iets doe, wil ik het
graag eerst begrijpen en dan uitvoeren, misschien te voorzichtig. Maar ik ben allergisch voor Apperaten
die problemen gaan geven.

Eerst willen begrijpen en dan pas uitvoeren, vind ik zo gek nog niet.
08-08-2014, 02:45 door Spiff has left the building
02-08-2014, 15:04 uur (https://www.security.nl/posting/397440#posting397443), en 03-08-2014, 23:55 uur (https://www.security.nl/posting/397440#posting397534), had ik het over het toepassen van de "Always On" system setting voor ASLR in EMET 5.0.
Zonet ontdekte ik dat ASLR "Always On" opvallend bleek te conflicteren met het programma Freemake YouTube to MP3.
Het proberen te openen van Freemake YouTube to MP3 leverde een merkwaardige melding, ongeveer zoiets als "This program may have been tempered with" en zoiets als 'misschien wel door een virus'. Volstrekte onzin natuurlijk, en ik weet niet of het EMET of Freemake YouTube to MP3 was dat die melding genereerde, maar het was nogal opvallend, en reproduceerbaar.
Na het omzetten van de "Always On" system setting voor ASLR in EMET 5.0 naar de ASLR "Application Opt In" system setting functioneert Freemake YouTube to MP3 weer normaal.
Niks dramatisch, maar wel zo opvallend dat ik het even wilde melden.
08-08-2014, 08:34 door Anoniem
@spiff 02h45: tip: mail even de makers van de software die problemen geeft (Freemake). Wedden dat er een bug in die software zit?
08-08-2014, 10:52 door Spiff has left the building
Door Anoniem, 08:34 uur:
@spiff 02h45:
tip: mail even de makers van de software die problemen geeft (Freemake).
Wedden dat er een bug in die software zit?
Dank je.
Dat zal ik straks even doen.
Maar ik sluit niet uit dat het geen bug is, maar iets dat te maken heeft met een kenmerk van het betreffende "Freemake YouTube to MP3" programma. Ik ben benieuwd.
08-08-2014, 17:04 door Anoniem
Door Eric-Jan H te A.

Chrome x64 en inlogpagina zijn nog steeds geen vriendjes. Kan iemand dat bevestigen?

Door Spiff: 02-08-2014, 15:04 uur ...... Na het omzetten van de "Always On" system setting voor ASLR in EMET 5.0 naar de ASLR "Application Opt In" system setting functioneert Freemake YouTube to MP3 weer normaal.....

Je kunt natuurlijk ook "Always On" aan laten staan en alleen voor het betreffende programma uit zetten. Ik weet niet of dit advies technisch helemaal klopt, want ik heb EMET tijdelijk niet geïnstalleerd.
08-08-2014, 20:03 door Spiff has left the building - Bijgewerkt: 08-08-2014, 20:13
Door Anoniem [Eric-Jan H te A], 17:04 uur:
Je kunt natuurlijk ook "Always On" aan laten staan en alleen voor het betreffende programma uit zetten.
Ik weet niet of dit advies technisch helemaal klopt, want ik heb EMET tijdelijk niet geïnstalleerd.

Ik ken niet een dergelijke optie
en voor zover ik weet bestaat die niet.

Het betreft niet een onder EMET\ Apps toegevoegde applicatie waarop EMET mitigations zijn toegepast,
maar een systeem-brede instelling onder EMET\ System Status, die ASLR kan afdwingen voor alle applicaties op het systeem, ook voor de applicaties die niet zijn toegevoegd onder EMET\ Apps.

Anders dan voor de systeem-instelling voor DEP met "Application Opt Out" en anders dan voor de de systeem-instelling voor SEHOP met "Application Opt Out" onder Windows 7 en 8, ken ik voor de systeem-instelling voor ASLR geen optie om opt-outs in te stellen.
De enige opties voor de systeem-instelling voor ASLR zijn de standaard-instelling ASLR "Application Opt In" en een (na een registeraanpassing) afgedwongen ASLR "Always On".
Er is geen ASLR "Application Opt Out" optie.
08-08-2014, 22:52 door vanegmond - Bijgewerkt: 08-08-2014, 23:21
van W.Spu, http://www.microsoft.com/en-us/download/details.aspx?id=43714

Ik ging er van uit , dat ik hier de download krijg van Emet 5.0.
Hele verhalen en onderwerpen op deze site van Microsoft, maar waar ik ook klik
ik kom geen download van Emet 5.0 tegen ?

Lag aan Firefox, met Chrome kwam ik gelijk de Download in Rood tegen.
Dus dat gedoe met Firefox en NoScript ben ik zat, want waar moet je op klikken
om bv deze Downlload tevoorschijn te klikken, in No Script ?
09-08-2014, 00:17 door Spiff has left the building
@ vanegmond, vr.08-08, 22:52+ uur,
Ik kan je niet vertellen hoe NoScript je precies dwars zat/zit.
Mogelijk kan iemand anders je daarmee helpen.
Maar als je kunt downloaden door middel van Google Chrome, dan is er geen probleem meer, denk ik?
09-08-2014, 00:32 door vanegmond - Bijgewerkt: 09-08-2014, 00:34
Maar als je kunt downloaden door middel van Google Chrome, dan is er geen probleem meer, denk ik?

Nee, alles gelukt @ Spiff ! Pffff, niet bijster slim dat gedoe met Firefox, maar ja.....tis gelukt.
En Emet 5.0 met jullie advies {Spiff/W.Spu/Anoniem} Populair Software erin gezet.
Ik heb net trouwens ook Recommended Software erin gezet, was ik vergeten.
Nu geen problemen met Snelkoppeling, wel iets met Chrome, wat na opstarten van de PC
weg zou zijn, of ik verder wilde gaan, Continue dus en niks aan de hand, ook niet op te hoeven
starten, weet niet zo gauw wat dat met Chrome was.
Ook toch maar weer mijn Schaakinterface, en ik denk dat ik Freemake er toch ook weer in ga
zetten, zonder problemen gegaan met Emet 4.1 , dus nu ook niet denk ik.

Weet niet hoe makkleijk dat Dowload naar Mp3 is , maar ik doe zelf Mp3 in een mapje.
Dan start ik Freemake Converter en dan kun je kiezen waarnaar, Mp3 dus in jouw geval.
Gaat snel en doet diverse tegelijk.
09-08-2014, 00:53 door Anoniem
Door Spiff:
Door Anoniem [Eric-Jan H te A], 17:04 uur:
Je kunt natuurlijk ook "Always On" aan laten staan en alleen voor het betreffende programma uit zetten...

Ik ken niet een dergelijke optie
en voor zover ik weet bestaat die niet...

Uit de Users Guide:
Enabling Unsafe Configurations
By default, EMET hides configuration options considered to be unsafe. These are options that have shown
to cause system instability in common use scenarios. It is still possible to configure these options by
overriding a registry key. After the override is applied, EMET will display the unsafe options, but will also
warn the user whenever one of them is selected.
The override can be found in registry at HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET. If this key is
not present, run the EMET GUI and refresh the view of the registry. Inside the key, there is a DWORD value
called EnableUnsafeSettings. By default it has a value of 0. By setting it to 1 and restarting the EMET GUI,
unsafe options can be selected.
With EMET, there is currently one unsafe option: the “Always On” setting for the system ASLR setting.
Depending on the operating system configuration, setting the system ASLR setting to “Always On” could
make the operating system to crash at boot time. Recovering from this will require booting the system in
safe mode and setting the system ASLR setting to either “Opt In” (recommended) or “Disabled”


Na het aanbrengen van de registerwijziging en het opnieuw opstarten van de UI kan bij ASLR "always on" gekozen worden. "Wie immer ohne Gewähr"
09-08-2014, 00:59 door Spiff has left the building
Door vanegmond, 00:32 uur:
En Emet 5.0 met jullie advies {Spiff/W.Spu/Anoniem} Populair Software erin gezet.
Ik heb net trouwens ook Recommended Software erin gezet, was ik vergeten.
Um...
Bij de standaard-installatie met "Use Recommended Settings", wordt automatisch het EMET protection profile Recommended Software toegepast.
Pas je vervolgens het (uitgebreide) protection profile Popular Software toe, dan overschrijft dat het (beperkte) protection profile Recommended Software. Dat is wat je daarmee wilt bereiken.
Ik weet niet zeker wat er gebeurt wanneer je vervolgens weer het (beperkte) protection profile Recommended Software toepast, zoals je aangeeft dat je gedaan hebt. Waarschijnlijk overschrijft dat dan weer het (uitgebreide) protection profile Popular Software met het (beperkte) protection profile Recommended Software. En dat was niet je bedoeling, denk ik.
Het lijkt me dan verstandig om vervolgens nogmaals opnieuw het (uitgebreide) protection profile Popular Software toe te passen.

Door vanegmond, 00:32 uur:
Weet niet hoe makkelijk dat Dowload naar Mp3 is , maar ik doe zelf Mp3 in een mapje.
Dan start ik Freemake Converter en dan kun je kiezen waarnaar, Mp3 dus in jouw geval.
De verschillende Freemake software biedt mogelijkheden die elkaar met de verschillende applicaties wat overlappen.
Freemake YouTube to MP3 biedt een optie die ook in Freemake Video Downloader zit, maar met een wat hogere download/conversie-kwaliteit. Maar wat jij aangaf is ook een mogelijkheid.
Ik zal niet verder op Freemake YouTube to MP3 ingaan.
Ik noemde het enkel om aan te geven wat ASLR "Always On" deed op mijn systeem, omdat ik eerder nog een enthousiaste vermelding had gemaakt van het toepassen van ASLR "Always On", en tevens als illustratie van de onverwachte dingen die sommige EMET-instellingen kunnen doen.
09-08-2014, 01:14 door Spiff has left the building
P.S.
Het is wat overbodig wanneer we hetzelfde in twee EMET-threads blijven neerzetten.
Mijn melding over ASLR "Always On" plaatste ik in beide EMET-threads, omdat ik in allebei eerder had geschreven over het toepassen van ASLR "Always On".
Maar buiten dat denk ik dat het goed is dat we niet alles over EMET, Freemake software, etc. etc. steeds in beide threads tegelijk blijven neerzetten.
We moeten een keuze zien te maken wélke nieuwe bijdragen in wélke thread horen.
Ik stop hierna in ieder geval met het in twee threads tegelijk plaatsen van reacties op twee maal dezelfde vragen of reacties.
09-08-2014, 01:40 door vanegmond
Um...
Bij de standaard-installatie met "Use Recommended Settings", wordt automatisch het EMET protection profile Recommended Software toegepast.
Pas je vervolgens het (uitgebreide) protection profile Popular Software toe, dan overschrijft dat het (beperkte) protection profile Recommended Software. Dat is wat je daarmee wilt bereiken.
Ik weet niet zeker wat er gebeurt wanneer je vervolgens weer het (beperkte) protection profile Recommended Software toepast, zoals je aangeeft dat je gedaan hebt. Waarschijnlijk overschrijft dat dan weer het (uitgebreide) protection profile Popular Software met het (beperkte) protection profile Recommended Software. En dat was niet je bedoeling, denk ik.
Het lijkt me dan verstandig om vervolgens nogmaals opnieuw het (uitgebreide) protection profile Popular Software toe te passen.

Dat wist ik dus weer niet, kan ik die Reocmmended niet verwijderen ?
Ik zal in ieder geval zo, die Populair nog eens toevoegen en dan op PC 1 dus alleen Populair
toepassen.
09-08-2014, 01:42 door vanegmond - Bijgewerkt: 09-08-2014, 01:43
We moeten een keuze zien te maken wélke nieuwe bijdragen in wélke thread horen.
Ik stop hierna in ieder geval met het in twee threads tegelijk plaatsen van reacties op twee maal dezelfde vragen of reacties.

Prima @ Spiff, ik heb het nu gedaan, omdat ik wat snel was, met dat die download niet ging
en vooral niet te vinden was.
Héél handig die Firefox met No Script aan, er is elke keer wel wat en je weet geeneens wat
aan te geven, welke niet mag, no script toe passen.
Radio 1-2 luisteren, eerst toestemming en dan staat er nog een lijst.
09-08-2014, 12:56 door Spiff has left the building
Door vanegmond, 01:40 uur:
Dat wist ik dus weer niet, kan ik die Recommended niet verwijderen?
Waarom wil je dat?
Je kunt evengoed simpelweg het protection profile Popular Software toepassen, dat overschrijft dan het protection profile Recommended Software.
Dat is wat ik 00:59 uur aangaf en wat je 01:40 uur citeerde.

Wil je om een of andere reden toch onder EMET\ Apps\ Application Configuration\ Mitigations het toegepaste protection profile verwijderen, dan kun je dat doen zoals ik dat 04-08-2014, 21:23 uur, beschreven heb:
Ga naar EMET\ Apps\ Application Configuration,
markeer de hele kolom applicaties door middel van Shift-knop vasthouden plus met de muis de eerste en vervolgens de laatste applicatie aan te klikken,
rechtsklik de gemarkeerde applicaties en kies "Disable All Mitigations",
en verwijder vervolgens alle applicaties door middel van "Remove selected" (rood kruis),
en ten slotte OK.
(https://www.security.nl/posting/397440#posting397664)
Maar nogmaals -
Wil je het EMET protection profile Recommended Software vervangen door het protection profile Popular Software, dan kun je simpelweg het protection profile Popular Software toepassen, dat overschrijft dan het protection profile Recommended Software. Het is niet nodig eerst het protection profile Recommended Software te verwijderen.
09-08-2014, 13:30 door Spiff has left the building - Bijgewerkt: 09-08-2014, 13:33
Door vanegmond, 01:42 uur:
Héél handig die Firefox met NoScript aan, er is elke keer wel wat en je weet geeneens wat aan te geven, welke niet mag, no script toe passen.

Dat is uiteraard wat off-topic in deze EMET thread,
enne.. het is natuurlijk jouw keus om NoScript toe te passen, niemand dwingt je daartoe.
Maar NoScript is nu eenmaal niet eenvoudig in gebruik.

Zie ter illustratie ook de vragen en antwoorden in deze thread van tur88:
https://www.security.nl/posting/387970/
Ook de NoScript informatiebronnen laten zien dat het gebruik van NoScript niet iets is om te makkelijk over te denken:
http://noscript.net/features
http://noscript.net/faq
http://www.ghacks.net/2014/02/10/firefox-noscript-guide-waiting/

Misschien is de eerdere tip van Erwtensoep wat voor je:
https://www.security.nl/posting/29488#posting253193
Als het gebruik van NoScript als te hinderlijk wordt ervaren,
dan kan eventueel gekozen worden voor "Allow Scripts Globally".
Enkel wat expliciet als 'untrusted' is gemarkeerd wordt dan nog geblokkeerd,
maar andere belangrijke beveiligingsvoorzieningen zijn nog steeds werkzaam:
Anti-XSS protection, HTTPS enforcement, Clickjacking protection, en ABE.
Daarmee smijt je dus beslist een flink deel van de beveiling door NoScript overboord, maar het biedt desondanks toch nog steeds een aantal belangrijke beveiligingsvoorzieningen.

Kom je er niet goed uit met NoScript en de daarvoor beschikbare informatiebronnen, dan zou je eventueel een thread met vragen over NoScript kunnen starten, net zoals eerder tur88.
Succes.
09-08-2014, 15:49 door Spiff has left the building
@ Anoniem 00:53 uur,

Wat je weergaf dat was hoe ASLR "Always On" toegepast kan worden.
Ik had daar 03-08-2014, 23:55 uur, ook naar verwezen: EMET 5.0 User Guide, onder Advanced Options, Enabling Unsafe Configurations, pagina 28 van de tekst, pagina 31 van de pdf.

Echter, een feit blijft dat enkel de standaard ASLR "Application Opt In" en een afgedwongen ASLR "Always On" beschikbaar zijn als opties.
Er is geen ASLR "Application Opt Out" optie.
De systeem-instelling voor ASLR is een systeem-brede instelling, zonder opt-outs.

En dat was waarmee ik gisteren, 08-08, 20:03 uur, reageerde op de suggestie van Eric-Jan H te A van 17:04 uur.
Lees eventueel nog na: https://www.security.nl/posting/397440#posting398126
10-08-2014, 15:26 door Anoniem
Door Eric-Jan H te A.

Chrome x64 en inlogpagina zijn nog steeds geen vriendjes. Kan iemand dat bevestigen?

Door Spiff: @ Anoniem 00:53 uur,De systeem-instelling voor ASLR is een systeem-brede instelling, zonder opt-outs.

Maar Spiff als je voor de programma's die dat nodig hebben een regel toevoegt met ASLR uitgevinkd is dat toch hetzelfde als "opt out". "Opt out" bij DEP is ook niet anders dan "je mag uitzonderingen toevoegen". Die moet je dan vervolgens ook nog wel toevoegen.

Chrome x64 werkt trouwens alleen met EAF en EAF+ niet ingeschakeld. Of dat door extensions of plugins komt zoek ik nog uit.
10-08-2014, 17:13 door Spiff has left the building
Door Anoniem [Eric-Jan H te A.], 15:26 uur:

Maar Spiff als je voor de programma's die dat nodig hebben een regel toevoegt met ASLR uitgevinkt is dat toch hetzelfde als "opt out". "Opt out" bij DEP is ook niet anders dan "je mag uitzonderingen toevoegen". Die moet je dan vervolgens ook nog wel toevoegen.

Umm... nee, denk ik toch.

Voor de instelling voor DEP onder EMET\ System Status bestaat inderdaad de optie "Application Opt Out".
Maar voor de instelling voor ASLR onder EMET\ System Status bestaat niet zo'n optie "Application Opt Out", maar enkel "Application Opt In" en na een registeraanpassing tevens "Always On".
Met "Always On" bestaat er geen optie om een opt-out in te stellen voor specifieke applicaties. "Always On" is een systeem-brede instelling zonder mogelijkheid voor opt-outs.
Dat is nou juist het probleem met zo'n "Always On" instelling, het is "Always On", en niet "Application Opt Out".

Wil iemand het tegendeel aantonen van wat ik hierboven aangeef, en de veronderstelling van Eric-Jan H te A. bevestigen, heel graag, ik ben erg benieuwd en wil me dan graag laten overtuigen.
Maar voor dit moment kan ik niet anders dan er vanuit gaan dat "Always On" werkelijk "Always On" betekent, en geen opt-outs toestaat, want dan heette de instelling immers wel "Application Opt Out".
Of ben ik nou zot? ;-)
11-08-2014, 01:55 door vanegmond - Bijgewerkt: 11-08-2014, 03:09
van Spiff, Maar nogmaals -
Wil je het EMET protection profile Recommended Software vervangen door het protection profile Popular Software, dan kun je simpelweg het protection profile Popular Software toepassen, dat overschrijft dan het protection profile Recommended Software. Het is niet nodig eerst het protection profile Recommended Software te verwijderen.

Prima antwoord weer Spiff ! Dat heb ik gedaan op beide computers, wel met deze, die Populair er twee keer ingezet , geloof ik. Was nogal druk, zie enkele dubbele dingen staan. Maar kan geen kwaad toch ?

Die Freemake moet ik nog doen, en die WinPcap, dat laat ik je nog weten. Het duurt mij wat langer allemaal.
Vanavond voor mijn broer op zijn oude PC, Linux Mint erop gezet, ipv van XP, ging prima, alleen het configuren
was meer werk. Dankzij een site, heb ik heel wat verbeterd. Zal de site hier wel neer zetten. Als er een Topic is
van Linux{Mint}

Net deed mijn Windows Mediaplayer het niet meer, er werd gezocht naar een oplossing, stond er.
Heb die uit EMET gehaald, daarna Computer opnieuw opgestart.
Mediaspeler deed het weer gelukkig, daarna Emet geopend, en daar wmmediaplayer gezocht en
met r muis, configureer, en Mediaplayer zit weer in EMET en werkt tot nu toe { afkloppen maar...}
Dacht meld het maar even, voor wat het waard is. Misschien toch door die twee keer Populair Software
in Emet te zetten ? Wilde eerst Mediaplayer eruit laten maar MS zal het wel nodig vinden.
11-08-2014, 12:01 door [Account Verwijderd] - Bijgewerkt: 11-08-2014, 12:14
Door vanegmond 11-08-2014 01:55 uur:

Dat heb ik gedaan op beide computers, wel met deze, die Populair er twee keer ingezet , geloof ik. Was nogal druk, zie enkele dubbele dingen staan. Maar kan geen kwaad toch ?

Die Freemake moet ik nog doen.

Je zou Alle applicaties kunnen selecteren en verwijderen en vervolgen het Popular Software protection profile opnieuw kunnen importeren, als het goed is heb je dan namelijk geen applicaties dubbel staan. Ik begrijp uit je reactie dat je Freemake toch nog niet onder EMET hebt ingezet, dus daarvoor zou het niet veel uit moeten maken.

aanvulling

Door vanegmond 11-08-2014 01:55 uur:

Net deed mijn Windows Mediaplayer het niet meer, er werd gezocht naar een oplossing, stond er.
Heb die uit EMET gehaald, daarna Computer opnieuw opgestart.
Mediaspeler deed het weer gelukkig, daarna Emet geopend, en daar wmmediaplayer gezocht en
met r muis, configureer, en Mediaplayer zit weer in EMET en werkt tot nu toe { afkloppen maar...}
Dacht meld het maar even, voor wat het waard is. Misschien toch door die twee keer Populair Software
in Emet te zetten ? Wilde eerst Mediaplayer eruit laten maar MS zal het wel nodig vinden.

Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Bij Windows Vista en eerder moet ook het vinkje bij SEHOP worden weggehaald
11-08-2014, 12:36 door Spiff has left the building - Bijgewerkt: 11-08-2014, 12:41
Door vanegmond, 01:55 uur:
Populair er twee keer ingezet , geloof ik. Was nogal druk, zie enkele dubbele dingen staan. Maar kan geen kwaad toch?
Kwaad kan dat niet, neem ik aan.
Maar het verbaast me wel dat er applicaties dubbel vermeld staan onder EMET\ Apps\ Application Configuration\ Mitigations.

Ik weet niet of dat komt door het meermaals achter elkaar toepassen van protection profiles Popular Software en Recommended Software. In mijn ervaring overschrijft het toepassen van protection profile Popular Software het al toegepaste protection profile Recommended Software. Maar ik weet niet zeker of dat ook nog wel volkomen netjes zo gebeurt wanneer je meermaals achter elkaar protection profiles Popular Software en Recommended Software toepast, of dat er in dat geval dan mogelijk doublures (kunnen) optreden. Maar kwaad kan het niet, neem ik aan.

Overigens, kan het niet zijn dat een deel van de doublures die je ziet onder EMET\ Apps\ Application Configuration\ Mitigations mogelijk niet werkelijk doublures zijn maar aparte regels voor de x86 (32 bit) en x64 (64 bit) bestands-versies van applicaties? Kan het zijn dat dat je niet is opgevallen, gezien het feit dat je aangeeft "Was nogal druk"?

Door vanegmond, 01:55 uur:
Net deed mijn Windows Mediaplayer het niet meer, er werd gezocht naar een oplossing, stond er.
Heb die uit EMET gehaald, daarna Computer opnieuw opgestart.
Mediaspeler deed het weer gelukkig, daarna Emet geopend, en daar wmmediaplayer gezocht en met r muis, configureer, en Mediaplayer zit weer in EMET en werkt tot nu toe { afkloppen maar...}
Dacht meld het maar even, voor wat het waard is. Misschien toch door die twee keer Populair Software in Emet te zetten? Wilde eerst Mediaplayer eruit laten maar MS zal het wel nodig vinden.
In de EMET thread van W. Spu meldde W. Spu ook al een probleem met WMP, zie:
https://www.security.nl/posting/397253#posting398211
Mogelijk ondervonden jullie hetzelfde probleem.
Op de melding door W. Spu antwoordde ik overigens:
Heb je voor WMP niet de MandatoryASLR, EAF (en SEHOP onder Vista en eerder) mitigations toegepast? WMP is niet compatible met die EMET mitigations.
https://www.security.nl/posting/397253#posting398216
Vooral wanneer je WMP uit de lijst van door EMET bewaakte applicaties hebt gehaald en WMP er zelf weer in hebt gezet, is het van belang er op te letten dat je tenminste die MandatoryASLR, EAF (en SEHOP onder Vista en eerder) mitigations niet toepast, anders zal de kans op een WMP-crash nog groter zijn, zo neem ik aan.

P.S.
Na het posten van mijn reactie zie ik dat terwijl ik mijn reactie opstelde _kraai__ al geantwoord had.
Onze antwoorden overlappen elkaar voor een deel.
Ik neem aan dat het dubbel beantwoorden geen probleem is.
11-08-2014, 23:08 door W. Spu
Om alle apps te verwijderen kan ook "EMET_Conf.exe --delete_apps" gebruikt worden vanuit een commando prompt met verhoogde rechten. Met de commandline tool kan ook een protection profile geïmporteerd worden. De EMET commandline tool is denk ik meer voor beheerders bedoeld.

Als ik snel wat ongedaan wil maken druk ik op de Wizard knop en kies voor recommended settings en importeer daarna de popular protection profile.

@vanegmond: Voor wat betref dubbele applicaties.... kan het zijn dat deze met de hand toegevoegd zijn en/of de full path afwijkend is?

Ik heb trouwens met WinMerge de popular software en de recommended software protection profiles vergeleken. De popular protection profile bevat meer applicaties maar komt verder overeen met de recommended protection profile. Bij het (meermaals) importeren van een protection profile worden de bestaande gewoon overschreven. Het zijn tenslotte dezelfde registry keys/values die overschreven worden.
12-08-2014, 21:28 door vanegmond
van _kraai_Je zou Alle applicaties kunnen selecteren en verwijderen en vervolgen het Popular Software protection profile opnieuw kunnen importeren, als het goed is heb je dan namelijk geen applicaties dubbel staan.

Ja dat had Spiff ook al vermeld, maar _kraai_omdat alles nu goed werkt laat ik het maar even zo.

Maar ik weet niet zeker of dat ook nog wel volkomen netjes zo gebeurt wanneer je meermaals achter elkaar protection profiles Popular Software en Recommended Software toepast, of dat er in dat geval dan mogelijk doublures (kunnen) optreden. Maar kwaad kan het niet, neem ik aan.

Ik heb Spiff, twee keer die Populair misschien erin gezet, omdat ik soms niet weet, of ik daarop
moet klikken of openen. En ik was druk geweest en wilde dit even....voor mezelf doen.
Meestal wacht ik tot ik tijd en zin heb, want met Computers is tijd....ervoor......niet te plannen.


van Spiff, Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Ik had nog niks weggehaald, misschien daarom de vastloper met wmplayer.exe zoals Emet die noemt.
Ik had die dus weggehaald en daarna, eerst Mediaplayer aan, dan in Emet, Refresh, dan laat die het
net gestarte onderdeel zien, toen Mediaplayer, met muis erop en R muis, config. Dan staat die in Emet.

Die ASLR zie ik niet Spiff, wel ASR, die staat uit. EAF staan er twee, die met + erbij staat uit.
Dat heeft Emet zelf gedaan.

Maar het verbaast me wel dat er applicaties dubbel vermeld staan onder EMET\ Apps\ Application Configuration\ Mitigations.

Nog goed gekeken of het inderdaad niet een 32 én een 64 is .

Sommige staan er twee keer in. bv Runtimeprocess voor clienteserver.
Svhost -Host process voor Windows Servers staat er 14 keer in ?
csrss-runtime process voor clientserver, staat er twee keer in.
wispis-onderdeel voor pen en aanraak invoer, staat er twee keer in.
chrome-Google chrome staat er 8 keer in, maar dat was in vorige Emet ook al.
Waarom Chrome er 8 nodig heeft en Firefox 1, vind ik wat vreemd ?

van W.Spu, @vanegmond: Voor wat betref dubbele applicaties.... kan het zijn dat deze met de hand toegevoegd zijn en/of de full path afwijkend is?

Ik heb trouwens met WinMerge de popular software en de recommended software protection profiles vergeleken. De popular protection profile bevat meer applicaties maar komt verder overeen met de recommended protection profile. Bij het (meermaals) importeren van een protection profile worden de bestaande gewoon overschreven. Het zijn tenslotte dezelfde registry keys/values die overschreven worden.

Ik heb alleen die W Mediaplayer eruit gedaan, omdat die crashte, daarna heb ik die handmatig
in Emet gezet, ik heb niks uit hoeven vinken, met die opties die Spiff aangaf.

Dus het misschien twee keer in Emet zetten van Populair Software moet geen probleem zijn,
misschien dat de paar doublures toch van Recommended en daarna Populair zijn ?

Volgens Spiff kan het geen kwaad, dus ik laat het maar zo. Maar jullie adviezen om het toch
te verwijderen, zijn al in kladblok opgeslagen.

Off Topic, maar ik kreeg met die Crash van Mediaplayer, van Windows naar oplossing zoeken,
daarna kwam die nog met een melding of ik dit alsnog wilde doen.
Is het beter om dit uit te zetten, naar Oplossingen zoeken ?
12-08-2014, 21:40 door vanegmond
Als het gebruik van NoScript als te hinderlijk wordt ervaren,
dan kan eventueel gekozen worden voor "Allow Scripts Globally".
Enkel wat expliciet als 'untrusted' is gemarkeerd wordt dan nog geblokkeerd,
maar andere belangrijke beveiligingsvoorzieningen zijn nog steeds werkzaam:
Anti-XSS protection, HTTPS enforcement, Clickjacking protection, en ABE.
Daarmee smijt je dus beslist een flink deel van de beveiling door NoScript overboord, maar het biedt desondanks toch nog steeds een aantal belangrijke beveiligingsvoorzieningen.

Goeie Tip weer Spiff en allereerst Erwtensoep.....zelfs lekker in de Zomer :-)
Ik had het helemaal gehad met die Firefox, toen ik die download van Emet niet te zien kreeg
door dat No Script. Moet even kijken, nu denk ik, ik onthoud het wel dat met downloads even
Chrome nemen, maar miss doe ik toch dat Allow Scripts Globally.
Vind vaak Firefox veel sneller dan Chrome, bv met Virustotal een Url checken, dat scheelt wel even.
13-08-2014, 11:55 door [Account Verwijderd] - Bijgewerkt: 13-08-2014, 21:49
Door vanegmond 12-08-2014 21:28 uur:

van Spiff, Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Ik had nog niks weggehaald, misschien daarom de vastloper met wmplayer.exe zoals Emet die noemt.
Ik had die dus weggehaald en daarna, eerst Mediaplayer aan, dan in Emet, Refresh, dan laat die het
net gestarte onderdeel zien, toen Mediaplayer, met muis erop en R muis, config. Dan staat die in Emet.

Die ASLR zie ik niet Spiff, wel ASR, die staat uit. EAF staan er twee, die met + erbij staat uit.
Dat heeft Emet zelf gedaan.

Bij application configuration staat ook MandatoryASLR en niet ASLR. Als je het venster Application Configuration maximaliseert vind je MandatoryASLR denk ik wat gemakkelijker. Verder moet bij EAF (zonder de +) het vinkje uit staan.

Of het vinkje bij EAF+ weg moet, weet ik niet zeker.

Door _kraai__ 11-08-2014 12:01 bijgewerkt 11-08-2014 12:14:

Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Bij Windows Vista en eerder moet ook het vinkje bij SEHOP worden weggehaald
Ik wil niet zeuren maar ik zet het hier toch even neer. De reactie van Spiff (11-08-2014 12:36 uur) en die van mij (11-08-2014 12:08) geven voor een deel dubbel antwoord. Echter is een stuk tekst dat jij een je reactie hebt overgenomen als 'van Spiff' door mij geschreven.

Door Spiff 11-08-2014 12:36 uur:
Kwaad kan dat niet, neem ik aan.
Maar het verbaast me wel dat er applicaties dubbel vermeld staan onder EMET\ Apps\ Application Configuration\ Mitigations.

Ik weet niet of dat komt door het meermaals achter elkaar toepassen van protection profiles Popular Software en Recommended Software. In mijn ervaring overschrijft het toepassen van protection profile Popular Software het al toegepaste protection profile Recommended Software. Maar ik weet niet zeker of dat ook nog wel volkomen netjes zo gebeurt wanneer je meermaals achter elkaar protection profiles Popular Software en Recommended Software toepast, of dat er in dat geval dan mogelijk doublures (kunnen) optreden. Maar kwaad kan het niet, neem ik aan.
Door vanegmond 12-08-2014 21:28:

Nog goed gekeken of het inderdaad niet een 32 én een 64 is .

Sommige staan er twee keer in. bv Runtimeprocess voor clienteserver.
Svhost -Host process voor Windows Servers staat er 14 keer in ?
csrss-runtime process voor clientserver, staat er twee keer in.
wispis-onderdeel voor pen en aanraak invoer, staat er twee keer in.
chrome-Google chrome staat er 8 keer in, maar dat was in vorige Emet ook al.
Waarom Chrome er 8 nodig heeft en Firefox 1, vind ik wat vreemd ?

Heb jij toevallig hier bij EMET bij Running Processes Gekeken in plaats van Application Configuration?

aanvulling 13-08-2014 12:03 uur

Ik ben namelijk nog nooit Runtimeprocess voor clienteserver of Svhost -Host process voor Windows Servers tegengekomen bij Application configuration wanneer alleen het Popular Software protection profile is ingesteld.
13-08-2014, 22:51 door vanegmond - Bijgewerkt: 13-08-2014, 22:52
van _kraai_Bij application configuration staat ook MandatoryASLR en niet ASLR. Als je het venster Application Configuration maximaliseert vind je MandatoryASLR denk ik wat gemakkelijker. Verder moet bij EAF (zonder de +) het vinkje uit staan.
Of het vinkje bij EAF+ weg moet, weet ik niet zeker.

Ik zie alleen maar Mandatory staan en dan helemaal rechts ASR. Beide staan uit. {gevinkt}
Die EAF staat uit en ook de EAF + dat heeft Emet zelf gedaan. Voor WMPlayer.


van_kraai_Ik wil niet zeuren maar ik zet het hier toch even neer. De reactie van Spiff (11-08-2014 12:36 uur) en die van mij (11-08-2014 12:08) geven voor een deel dubbel antwoord. Echter is een stuk tekst dat jij een je reactie hebt overgenomen als 'van Spiff' door mij geschreven.

Misschien wil je het stukje nog aangeven, soms raak ik de draad kwijt kraai.
Hopelijk neem je mij dat niet kwalijk ?

van_kraai_Heb jij toevallig hier bij EMET bij Running Processes Gekeken in plaats van Application Configuration?

Dat is een hele goede, want ik kijk inderdaad niet onder Apps. Goeie Tip !
ik laat je nog weten of ik dan geen dubbele heb, die wel bij Running Processes staan.
14-08-2014, 00:14 door [Account Verwijderd] - Bijgewerkt: 14-08-2014, 20:06
Door vanegmond 13-08-2014 22:51 uur:
Ik zie alleen maar Mandatory staan en dan helemaal rechts ASR. Beide staan uit. {gevinkt}
Die EAF staat uit en ook de EAF + dat heeft Emet zelf gedaan. Voor WMPlayer.

Het kan dat misschien een gedeelte van de tekst buiten beeld valt. Vandaar dat ik de tip gaf om het venster Application Configuration te maximaliseren zodat eventuele buiten beeld staande tekst, misschien dan wel zichtbaar is. Maar goed bij de Mitigation MandatoryASLR staat geen vinkje begrijp ik.

Door vanegmond 13-08-2014 22:51 uur:
Misschien wil je het stukje nog aangeven, soms raak ik de draad kwijt kraai.
Hopelijk neem je mij dat niet kwalijk ?

Nee ik neem je dit absoluut niet kwalijk. Ik maak ook weleens fouten bij het plaatsen van reacties. Dus mijn excuses als mijn reactie onvriendelijk overkwam. Het kan alleen een beetje verwarrend zijn. Het gaat op het volgende stukje
Door vanegmond 13-08-2014 22:51 uur:
van Spiff, Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Door _kraai__ 11-08-2014 12:01 bijgewerkt 11-08-2014 12:14:

Heb je bij Windows Mediaplayer MandatoryASLR en EAF het vinkje wel weggehaald? (Dit werd overigens ook in de 'Microsoft Enhanced Mitigation Experience Toolkit (EMET) 5.0 (final version)' tread door Spiff al een aangehaald)

Bij Windows Vista en eerder moet ook het vinkje bij SEHOP worden weggehaald
14-08-2014, 19:28 door vanegmond
van_kraai_Het kan dat misschien een gedeelte van de tekst buiten beeld valt. Vandaar dat ik de tip gaf om het venster Application Configuration te maximaliseren zodat eventuele buiten beeld staande tekst, misschien dan wel zichtbaar is. Maar goed bij de Mitigation MandatoryASLR staat geen vinkje begrijp ik.

Nee, ook dan Kraai, zie ik uiterst rechts alleen de ASR, misschien is de verwarring dat ik in EMET Mitigation Mandatory
zie staan, zonder die ASLR erachter.
Er staat geen vinkje bij !

Nee ik neem je dit absoluut niet kwalijk. Ik maak ook weleens fouten bij het plaatsen van reacties. Dus mijn excuses als mijn reactie onvriendelijk overkwam. Het kan alleen een beetje verwarrend zijn. Het gaat op het volgende stukje

Dat is mooi Kraai, ik vond het niet onvriendelijk maar eerlijk. Als het jouw stukje was, dan komt jouw de aandacht toe !
Ik heb het niet zo gauw gezien dat het van jou kwam, maar wel gelijk die vinkjes gecontroleerd :-) Alsnog Bedankt !
14-08-2014, 20:05 door [Account Verwijderd] - Bijgewerkt: 14-08-2014, 20:07
Door vanegmond:
Nee, ook dan Kraai, zie ik uiterst rechts alleen de ASR, misschien is de verwarring dat ik in EMET Mitigation Mandatory
zie staan, zonder die ASLR erachter.
Er staat geen vinkje bij !

Waarom jij bij de Mitigation Mandatory ASLR er niet achter zie staat zou ik dan niet weten. Maar goed dit lijkt me niet echt een hele interessante discussie om hier op door te gaan ;-). Aangezien je aangeeft dat er geen vinkje bij staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.