Door Spiff, za.23-2, 15:00 uur:
EMET v3.5 Tech Preview bevat een nieuw extraatje, waarmee de EMET mitigations kunnen worden toegepast op een voorgeselecteerde selectie programma's.
Dit via Configure Apps\ File\ Import\
C:\Program Files\EMET\Deployment\Protection Profiles\
Kies Protection Profiles\ All.xml
Door Cantalibre, zo.24-2, 06:20 uur:
Als dat betekent dat ALLES dan gelijk in EMET komt dan zou dit héél handig zijn. Het valt nm niet mee om de programma's erin te krijgen.
Beslist niet alles, maar wel een aardig lijstje:
Windows Media Player,
Microsoft Works,
Skype,
Internet Explorer,
Microsoft Lync communicator,
de Windows Live Essentials onderdelen (behalve Mail, opvallend genoeg),
de Microsoft Office onderdelen,
Google Chrome,
Google Talk,
Firefox,
Thunderbird,
Adobe Photoshop,
Adobe Reader,
Adobe Acrobat,
Winamp,
Opera,
WinRAR,
WinZip,
VideoLAN VLC,
RealPlayer, Converter,
mIRC,
7-Zip,
Safari,
Pidgin,
Java JRE6.
Dit met de EMET
3.5 Tech Preview.
Met de definitieve EMET 3.5 of 4.0 zal wellicht een geactualiseerde en mogelijk uitgebreidere lijst worden aangeboden.
Wil je met de EMET 3.5 Tech Preview aan de slag, houd er dan rekening mee dat dat een bèta-versie is.
Bij het installeren van de definitieve versie zal waarschijnlijk worden aanbevolen de 3.5 Tech Preview eerst te verwijderen.
En een bèta-versie is, zoals bekend, nog niet uitontwikkeld dus je kunt nog gekke complicaties tegenkomen.
Ik ben zelf één zo'n gekke complicatie tegengekomen met EMET 3.5 Tech Prieview.
De ROP mitigations in EMET 3.5 Tech Preview (niet beschikbaar in EMET 3.0) die hebben bij toepassing op IE9 (en wellicht IE10) het vreemde gevolg dat EMET ingrijpt en IE9 vastloopt wanneer het Windows Knipprogramma (Snipping Tool) wordt gebruikt om een knipsel/schermopname (screen capture) te maken van IE9 (en wellicht ook met IE10).
Dit gaat opgelost worden in de final release van EMET 3.5.
http://krebsonsecurity.com/2012/09/internet-explorer-users-please-read-this/comment-page-1/#comment-111240http://social.technet.microsoft.com/Forums/ar-SA/emet/thread/2aee15fb-d339-4d5e-b403-9d221c6b8ffbOverigens worden die ROP mitigations in EMET 3.5 Tech Preview niet standaard toegepast, maar alleen de mitigations die al ingeschakeld worden met EMET 3.0.
Als je niet zelf handmatig die ROP mitigations voor IE in EMET 3.5 Tech Preview aanvinkt, dan zal dat genoemde probleem niet optreden.
Daarnaast waren er meldingen van gevallen waarbij een raar hoog cpu-gebruik optrad met Firefox en Google Chrome, eveneens door de ROP mitigations:
http://www.wilderssecurity.com/showthread.php?p=2122311#post2122311http://social.technet.microsoft.com/Forums/en-US/emet/thread/790be646-e4b5-4d77-bb1d-4c58a599c2d0Ook daarbij geldt dat die ROP mitigations in EMET 3.5 Tech Preview niet standaard worden toegepast, dus als je niet zelf handmatig die ROP mitigations in EMET 3.5 Tech Preview aanvinkt, dan zullen die genoemde problemen niet optreden.
Door Cantalibre, zo.24-2, 06:20 uur:
Nu staat alles bij mij op Optical In. Maar ik geloof dat Maximum Security beter is?
"Opt In", bedoel je, neem ik aan. (Opt van 'option', 'optional'. Beperkt, met de optie om meer toe te voegen. Niet 'optical'.)
En daarmee bedoel je de weergave voor DEP, SEHOP en ASLR onder System Status en onder Configure System\ System Configuration, overeenkomend met de voorzichtige "Recommended Security Settings".
Voor ASLR is "Opt In" de enige optie zonder de verborgen 'onveilige' optie ASLR "Always On" in te schakelen (waarvoor een registeraanpassing nodig is).
DEP en SEHOP die kunnen echter gerust veiliger ingesteld worden.
Kies je onder Configure System\ System Configuration voor "Maximum Security Settings", dan worden DEP en SEHOP toegepast op alle applicaties.
Ontdek je vervolgens dat bepaalde applicaties of applicatie-onderdelen niet meer starten, of crashen, dan kun je DEP en/of SEHOP voor die applicaties weer uitschakelen.
DEP kun je ook beheren via
Windows Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
En daar selecteren "DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde".
Kom je een applicatie of applicatie-onderdeel tegen dat crasht door DEP, dan kun je dat daaronder toevoegen.
Onder EMET Configure System\ System Configuration zie je dan vervolgens dat ingesteld is "Custom Settings", met "DEP Application Opt Out".
Het maken van SEHOP uitzonderingen (Opt Out) per applicatie onder Windows 7 is waarschijnlijk mogelijk door die applicatie via EMET toe te voegen via "Configure Apps" (als die applicatie daar nog niet is toegevoegd), en dan vervolgens voor die applicatie het vinkje weg te halen onder SEHOP.
Ik heb zelf nog nooit een probleem ondervonden door SEHOP, dus nog nooit een SEHOP Opt Out hoeven toepassen, ik heb dat dus nog niet kunnen uitproberen.
Een andere methode voor het maken van SEHOP uitzonderingen (Opt Out) per applicatie onder Windows 7, dat verloopt via het Windows register.
Zie daarover:
http://blogs.technet.com/b/srd/archive/2009/11/20/sehop-per-process-opt-in-support-in-windows-7.aspxmaar vooral ook:
http://www.ghacks.net/2012/07/16/advanced-windows-security-activating-sehop/Wie geen EMET gebruikt kan SEHOP overigens ook inschakelen door middel van een Windows registeraanpassing:
http://support.microsoft.com/kb/956607/enhttp://support.microsoft.com/kb/956607/nlHet kiezen voor EMET Configure System\ System Configuration "Maximum Security Settings", is gemakkelijk, en kun je als je dat wenst gewoon toepassen.
Kom je vervolgens een applicatie of applicatie-onderdeel tegen dat niet start of dat crasht door DEP, dan kun je dat uitsluiten via de mogelijkheid daartoe onder Windows Geavanceerde systeeminstellingen, zoals eerder hierboven aangegeven.
Kom je een applicatie of applicatie-onderdeel tegen dat niet start of dat crasht door SEHOP, dan kun je dat uitsluiten via de mogelijkheid daartoe via EMET zoals hierboven beschreven, of eventueel via het Windows register, zoals waar hierboven ook naar verwezen is, óf je kunt er desnoods voor kiezen om EMET Configure System\ System Configuration terug te schakelen naar de voorzichtige "Recommended Security Settings".
Door Cantalibre, zo.24-2, 06:20 uur:
In ieder geval, mijn dank weer voor alle antwoorden en links, die ik trouwens geeneens eerst gecheckt had, dacht komt van deze site, maar .....kan ook fout gaan of niet?
Daar hebben we het eerder over gehad.
Het is uiteraard altijd aan jezelf om te bepalen of je een link vertrouwt of die eerst wilt checken.
Ik vertrouw in principe alleen mezelf, en daarnaast nog
bijna blindelings een klein aantal andere Security.nl bijdragers (onder wie Bitwiper bijvoorbeeld). Bij de geringste twijfel check ik een link eerst.