Wat is EMET?

Ik heb het geinstalleerd op aanraden van een artikel hier ooit. Maar ik heb geen idee wat het nu daadwerkelijk doet.
Het is gewoon een icoontje wat draait in de systemtray maar verder doet het niets. Nog nooit een melding gehad en ook niet het idee dat het niets gaat doen.

Misschien mis ik iets maar ik heb geen flauw idee waarom ik het nog niet verwijderd heb.

In het Nederlands: verbeterde verzachtingservaringsuitrusting.

In het Engels: Enhanced Mitigation Experience Toolkit

Enhanced: kennelijk heeft het iets minders opgevolgd, geen idee wat, en ik weet niet of het op mitigation, experience of toolkit slaat.
Mitigation: jargon, letterlijk verzachting, in dit geval het verzachten van de gevolgen van beveiligingsproblemen.
Experience: betekenisloos modewoord dat tegenwoordig overal aan wordt toegevoegd om het beter te laten klinken.
Toolkit: suggereert dat heteen bundeltje van een verzameling hulmiddelen is.

Dit moest toch tegen exploits/driveby's beschermen?

@WhizzMan: Wat EMET is wordt uitgelegd op de download pagina. Het is een extra beschermlaag tussen een applicatie en het OS.
@S.lenders: geen nieuws goed nieuws
@iedereen: Chrome 25 heeft de FlashPlayer implementatie anders gedaan dan Microsoft voor verantwoord houdt. Ik heb Chrome dan ook uit de controle moeten halen ( gebruik zelf 3.5 beta ).

Een video met een demo en uitleg over EMET: http://youtu.be/rDkdgT9hR5w

Enhanced Mitigation Experience Toolkit

Ik ben enthousiast over de achterliggende techniek en methodiek, dank voor het wijzen op het bestaan hiervan. De info in dit artikeltje is echter erg karig en de conclusies zijn discutabel. Roept meer vragen op. Dat is op zich niet slecht, maar een paar basiszaken zouden wel aangeroerd mogen worden, in ieder geval voor Enterprise omgevingen (hoewel, gezien de recties hiervoor kennelijk ook voor prive gebruik):

- Hoe vormt dit aanvullende bescherming?
- Welke grote ondernemingen?
- Waar staan die rapporten?
- 'Er is geen enkele reden dat de eindgebruiker hier niet van kan profiteren': Ik heb voor mijzelf een reden: Ik gebruik Windows8. Windows 8 en 2012 zijn not supported. Lijkt me meer dan een uitdaging.. Houdt MS dit spul wel bij de tijd? Of is het niet nodig op nieuwe platforms (ingebouwd)?

- 'omdat het gratis is' : There's no such thing as free lunch. Beheerlast? Deployment: 3.5, beta zit alweer in de pijplijn; er worden compatibiliteitsproblemen genoemd? Het is toch wel bekend dat de grootste kostenpost in IT beheer meestal niet de licenties zijn..
- 'uitdaging compatibiliteitsproblemen legacy apps': maar dat is toch juist DE doelgroep van EMET! Geen hercompilatie nodig, per process basis..

- 'het strengste beleid voor al je apps'.. Zo'n beleid zal geen legacy en non-compliant apps. tolereren. Wel toestaan met mitigerende maatregelen lijkt mij aanzienlijk minder streng beleid.

Dat snap ik maar daarmee wilt het nog niet zeggen dat ik het nut er van zie. Kijk ik weet hoe virusscanners te werk gaan en hoe hun bescherming bieden tegen mijn dom downloaden van geinfecteerde bestanden. Maar wat doet EMET nu? Hoe werkt het? Kan ik het testen, ik wil het zien werken.
Ik kan ook roepen dat ik een programma maak wat beschermt en zolang je niets hoort is het allemaal top in orde. Ik had wel verwacht dat de tip van de week meer informatie zou verstrekken over waarom, wat, hoe en misschien onderbouwt met wat voorbeelden

@S.lenders: EMET werkt als een soort crash handler, als achtervanger van de virusscanner. Veel virussen veroorzaken een precies afgemeten crash met een voorspeld resulaat ( het uitvoeren van extra code ). Tja, wil je dat wel testen ? Ik ga je niet adviseren naar een site te gaan waar je geheid een virus op je afgevuurd krijgt.
Zelf ben ik altijd enorm voorzichtig: software altijd up-to-date, geen java browser plugin, downloaden alleen van gerenomeerde sites als SourceForge en MajorGeek.

Off topic: Wil je echt gevaarlijke wegen bewandelen maak dan gebruik van een Linux boot cd. Knappe virus die zichzelf op cd wegschrijft :-).

Malware maakt vaak gebruik "geheugenmanipulatie" om zichzelf te kunnen draaien, om uit de eventuele sandbox te breken, of om hogere rechten te krijgen, etc. Je moet daarbij denken aan knoeien met de stack of het data-gebied van een applicatie.

Windows bevat (al lang...) diverse beveiligingstechnieken om dat soort activiteit te ontdekken en voorkomen (Data Execution Prevention (DEP), Structured Exception Handler Overwrite Protection (SEHOP), Heap Spray Allocation, etc.).

Helaas zijn er nogal wat legitieme applicaties die dit soort manipulaties nou juist zelf gebruiken. Daarom staan dingen als DEP niet standaard aan voor alle applicaties. Een applicatie moet zelf bij het opstarten aangeven of een bepaalde techniek (bv DEP) wordt ondersteund. Je hebt dan dus een nieuwe versie van de applicatie nodig en daar is de ontwikkelaar van die applicatie voor nodig.

EMET is een tool waarmee niet-ontwikkelaars dingen als DEP aan kunnen zetten voor applicaties die nog niet "DEP-aware" zijn en kan op die manier extra beveiliging bieden tegen malware.

Het risico van EMET is dat een bepaalde applicatie na het aanzetten van een of meer technieken niet, of niet goed, meer functioneert. In zo'n geval is alsnog de ontwikkelaar van de applicatie nodig om uit te vinden waarom bijvoorbeeld DEP een probleem veroorzaakt.

(Moderne applicaties (Office 2010, Acrobat Reader 9, etc) ondersteunen zelf al DEP, dus daar is EMET niet voor nodig.)

Meer details oa te vinden op: http://blogs.technet.com/b/security/archive/2012/08/07/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx

Ik heb toch ESET is toch ook Ok ? Hoewel de laatste test wel wat anders beweerden over deze AV .

Omdat MS blijkbaar een goede OS heeft moet er een extra schil omheen die deze mooie OS nog veiliger maakt. Als deze OS van zich zelf veilig is waarom is deze schil dan nodig. En als deze extra schil zo goed is waarom zit deze dan niet in deze OS? Het klinkt een beetje als een veilige auto waarbij je zelf nog de gordel in moet zetten.
Rare jongens die Romeinen eh Redmonders.

Dit is wel heel erg zwart/wit he.
Jij en ik willen graag een veilig OS. Mijn vader wil graag een OS wat hij begrijpt en waar hij mee overweg kan.
Als de jongens hier al niet eens weten wat EMET is, laat staan mijn ouwe heer.

MS heeft een OS gemaakt dat nog steeds door de meeste thuisgebruikers word gedraaid, omdat het gebruiksvriendelijk is en omdat de mensen ermee zijn opgegroeid.
Dat moet je niet gaan verstoren door al te lastige dingen te implementeren.

Verder stellen ze EMET (en andere aanvullende pakketten) wel beschikbaar voor de mensen die er WEL behoefte aan hebben.

P.S. Ik draai zelf niets van MS (bovenstaand bericht lijkt haast wel of ik een medewerker ben...)

Duck-man: vandaar dat de meeste mitigations dan nu ook standaard in Windows 8 zitten; en zo kan de rest er ook gebruik van maken (afhankelijk van de windows versie is er meer mogelijk)

Vind je zelf je antwoord ook niet een beetje gek?
Mensen die niet genoeg kennis hebben om zelf veiligheidsmaatregelen te treffen worden aan hun lot over gelaten. Terwijl mensen die wel op de hoogte zijn van de gevaren zich hier tegen kunnen beschermen.

Blijkbaar merk je niet dat EMET op je PC draait daar heb je dus geen kennis voor nodig als deze gelijk in de OS zit. Het komt op mij over als of ze bewust een niet optimaal product op de markt zetten.

Mijn schoon vader is ook blij dat het werkt. Helaas mag ik de troep eens in de zoveel tijd opruimen.

Gelukkig gebruik ik ook niet de MS OS.

Als ik jouw reacties lees dan komt het op mij over alsof je enorm geniet van het mopperen op werkelijk elk systeem en elk initiatief. Feit is dat we leven in een wereld vol gebreken en daar zullen we mee moeten leren leven. EMET is een mooie tool die kan helpen om je systeem minder kwetsbaar te maken voor een aantal (let wel: niet alle) technieken die kunnen ingezet worden door kwaadwillenden en minder goed programmeer werk.

Microsoft en een groot aantal derden hebben enorm veel applicaties getest met EMET en het blijkt dat niet alle applicaties naar behoren functioneren wanneer ze door EMET worden gecontroleerd. Bijvoorbeeld Chrome, Dropbox en CCleaner. Als men er voor zou kiezen om EMET te forceren zou dit een enorme impact hebben op bestaande configuraties en daarom is het op dit moment weggelegd voor mensen die hier bewust mee gaan werken.

Er wordt niemand aan zijn of haar lot over gelaten. Als jouw schoonvader zich aan de basis principes houdt van het bewust omgaan met de computer, dan zal hij weinig problemen ondervinden. Helaas zijn de meeste mensen hardnekkig in hun slechte gewoontes en nemen dus zelf bewust of minder bewust een risico.

De dagen dat PC's optimaal gebruikt konden worden door digibeten liggen wellicht achter ons.

Nee hoor ik verbaas me alleen wat mensen normaal vinden als het over computers gaat. Je doelt op mijn reactie op het apple nieuwtje. Als je goed leest maak ik mij vrolijk over over de citaat van een expert. Natuurlijk is het goed dat apple blijft updaten en heb totaal geen moeite met Linux al was het maar omdat je daar meer in de hand hebt mocht je dat willen.
En dat vinden we dus normaal maar is het niet.

allemaal een leuk verhaal maar.
bots het niet met je bestaan de internetbeveiligin dat emet ?

De enige auto die je beschermt tegen alle gevaren van het verkeer is een die stil staat, in een garage, minimaal 100 kilometer bij je vandaan... Maar daar kan je uiteraard niet mee rijden en genieten van alle opties die de car te bieden heeft of wel?

Wat jij (Duck-man) stelt komt een beetje neer op een utopia. Alles werkt optimaal en is super veilig.
Dit is gewoon niet te realiseren. Veiligheid verhindert ten alle tijde de gebruikerservaring.
Dan moet je als ontwikkelaar keuzes maken, zeker als je product door zoveel mensen gebruikt word.

Ik ben met je eens dat de leverancier van een product tot op zekere hoogte verantwoordelijk is voor een goede beveiliging.
Ik vind niet dat een leverancier je kan verplichten ook de extra veiligheidsopties te gebruiken, zeker niet als dat ten koste zou (kunnen) gaan van functies waar je product in eerste instantie voor bedoeld is.

Houd EMET ook installaties van software in userprofile tegen?

Een Engelstalige how to: Protecting your Windows PC with Microsoft EMET 3.0:
http://www.rationallyparanoid.com/articles/microsoft-emet-3.html

Twee links voor jou
http://www.opensuse.org/nl/
En dan naar
http://www.youtube.com/watch?v=rz_8HWHBElM

En vraag je dan het volgende af. Is het normaal dat ik veel geld neer tel voor een matig werkend systeem waarbij de veiligheid "out of the box" ver te zoeken is? En alleen met veel kennis "enig zins" veilig te krijgen is?
Zo lang je Linux niet echt geprobeerd hebt zal je blijven denken dat het normaal is.

Voor ik weer iedereen over mij heen krijg lees eerst even goed.

Het is spijtig genoeg niet het OS maar de applicaties. Buffer overflows heb je zowel op linux als op windows als op mac. Wat ik begrijp is dat EMET de opvolger van DEP is. En DEP staat out of the box op je windows.

Als je echt een veilig os wil , kan je Qubes os eens proberen . Hiermee heb je geen last van buffer overflows. Het is nog maar in zijn kinderschoenen maar de reacties zijn zeer positief.

De beste manier om je computer te beveiligen is Windows niet gebruiken. Beter een op Unix (of een variant daarvan) of OSX.

Cantalibre,

Het 'risico' dat Anoniem vermeld is niet groot.
Risico = kans x gevolg,
en de kans op een probleem door het toepassen van EMET is beperkt (dit is afhankelijk van de applicaties waarop EMET wordt toegepast), en ook het gevolg van zo'n eventueel probleem is niet groot.
Mits je voor EMET maar niet geforceerd de verborgen 'onveilige' optie ASLR "Always On" inschakelt (daarvoor is een registeraanpassing nodig), zijn eventuele door EMET optredende problemen (een applicatie die door EMET wordt weerhouden van starten, of die gestopt wordt door EMET) simpel te verhelpen door die applicatie of dat applicatie-onderdeel uit te sluiten van de controle door EMET.
Thread met beschreven Application Compatibility Issues:
http://social.technet.microsoft.com/Forums/en-US/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875

EMET is niet alleen nuttig voor gebruik op Windows XP, maar ook voor gebruik op Vista en Windows 7.
Voor XP is de noodzaak echter veel groter, wegens het feit dat beveiligingen die in Vista en Win7 al standaard aanwezig zijn nog ontbreken in XP.

Hoe je ESET configureert, dat wordt op meerdere plekken uitgelegd.
Voor EMET 3.0 uitgebreid hier:
http://rationallyparanoid.com/articles/microsoft-emet-3.html
Het inschakelen van DEP en SEHOP via Configure System is één iets dat je kunt doen,
het via Configure Apps toepassen van de EMET mitigations op specifieke applicaties, dat is het tweede.

Toepassen van de EMET mitigations gericht op de bescherming van de browser(s):
https://www.security.nl/artikel/43129/1/Stappenplan_voor_nieuw_IE-lek.html
http://www.waarschuwingsdienst.nl/Computer+beveiligen/Besturingssysteem/Beveiligen+van+programmas+met+EMET.html
Dezelfde procedure is ook toepasbaar op ándere individuele applicaties.
Applicaties kunnen worden geselecteerd via Configure Apps, om daarop alle mitigations (of een selectie ervan) te kunnen toepassen.

EMET v3.5 Tech Preview bevat een nieuw extraatje, waarmee de EMET mitigations kunnen worden toegepast op een voorgeselecteerde selectie programma's.
Dit via Configure Apps\ File\ Import\
C:\Program Files\EMET\Deployment\Protection Profiles\
Kies Protection Profiles\ All.xml
(Verwijder vervolgens eventueel de niet geïnstalleerde programma's.)
Dat toepassen van de EMET mitigations op een voorgeselecteerde selectie programma's dat wordt hier gedemonstreerd:
Microsoft Showcase - Installing and Configuring EMET,
met o.m. het instellen van Protection Profiles\ All:
http://www.microsoft.com/EN-US/showcase/details.aspx?uuid=7683a9cb-28c9-428f-ada6-8adafd2efbee


P.S.
ESET, dat je ook schreef, dat is uiteraard wat heel anders dan EMET.

Beslist niet alles, maar wel een aardig lijstje:

Windows Media Player,
Microsoft Works,
Skype,
Internet Explorer,
Microsoft Lync communicator,
de Windows Live Essentials onderdelen (behalve Mail, opvallend genoeg),
de Microsoft Office onderdelen,
Google Chrome,
Google Talk,
Firefox,
Thunderbird,
Adobe Photoshop,
Adobe Reader,
Adobe Acrobat,
Winamp,
Opera,
WinRAR,
WinZip,
VideoLAN VLC,
RealPlayer, Converter,
mIRC,
7-Zip,
Safari,
Pidgin,
Java JRE6.

Dit met de EMET 3.5 Tech Preview.
Met de definitieve EMET 3.5 of 4.0 zal wellicht een geactualiseerde en mogelijk uitgebreidere lijst worden aangeboden.

Wil je met de EMET 3.5 Tech Preview aan de slag, houd er dan rekening mee dat dat een bèta-versie is.
Bij het installeren van de definitieve versie zal waarschijnlijk worden aanbevolen de 3.5 Tech Preview eerst te verwijderen.
En een bèta-versie is, zoals bekend, nog niet uitontwikkeld dus je kunt nog gekke complicaties tegenkomen.
Ik ben zelf één zo'n gekke complicatie tegengekomen met EMET 3.5 Tech Prieview.
De ROP mitigations in EMET 3.5 Tech Preview (niet beschikbaar in EMET 3.0) die hebben bij toepassing op IE9 (en wellicht IE10) het vreemde gevolg dat EMET ingrijpt en IE9 vastloopt wanneer het Windows Knipprogramma (Snipping Tool) wordt gebruikt om een knipsel/schermopname (screen capture) te maken van IE9 (en wellicht ook met IE10).
Dit gaat opgelost worden in de final release van EMET 3.5.
http://krebsonsecurity.com/2012/09/internet-explorer-users-please-read-this/comment-page-1/#comment-111240
http://social.technet.microsoft.com/Forums/ar-SA/emet/thread/2aee15fb-d339-4d5e-b403-9d221c6b8ffb
Overigens worden die ROP mitigations in EMET 3.5 Tech Preview niet standaard toegepast, maar alleen de mitigations die al ingeschakeld worden met EMET 3.0.
Als je niet zelf handmatig die ROP mitigations voor IE in EMET 3.5 Tech Preview aanvinkt, dan zal dat genoemde probleem niet optreden.

Daarnaast waren er meldingen van gevallen waarbij een raar hoog cpu-gebruik optrad met Firefox en Google Chrome, eveneens door de ROP mitigations:
http://www.wilderssecurity.com/showthread.php?p=2122311#post2122311
http://social.technet.microsoft.com/Forums/en-US/emet/thread/790be646-e4b5-4d77-bb1d-4c58a599c2d0
Ook daarbij geldt dat die ROP mitigations in EMET 3.5 Tech Preview niet standaard worden toegepast, dus als je niet zelf handmatig die ROP mitigations in EMET 3.5 Tech Preview aanvinkt, dan zullen die genoemde problemen niet optreden.


"Opt In", bedoel je, neem ik aan. (Opt van 'option', 'optional'. Beperkt, met de optie om meer toe te voegen. Niet 'optical'.)
En daarmee bedoel je de weergave voor DEP, SEHOP en ASLR onder System Status en onder Configure System\ System Configuration, overeenkomend met de voorzichtige "Recommended Security Settings".
Voor ASLR is "Opt In" de enige optie zonder de verborgen 'onveilige' optie ASLR "Always On" in te schakelen (waarvoor een registeraanpassing nodig is).
DEP en SEHOP die kunnen echter gerust veiliger ingesteld worden.
Kies je onder Configure System\ System Configuration voor "Maximum Security Settings", dan worden DEP en SEHOP toegepast op alle applicaties.
Ontdek je vervolgens dat bepaalde applicaties of applicatie-onderdelen niet meer starten, of crashen, dan kun je DEP en/of SEHOP voor die applicaties weer uitschakelen.

DEP kun je ook beheren via
Windows Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
En daar selecteren "DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde".
Kom je een applicatie of applicatie-onderdeel tegen dat crasht door DEP, dan kun je dat daaronder toevoegen.
Onder EMET Configure System\ System Configuration zie je dan vervolgens dat ingesteld is "Custom Settings", met "DEP Application Opt Out".

Het maken van SEHOP uitzonderingen (Opt Out) per applicatie onder Windows 7 is waarschijnlijk mogelijk door die applicatie via EMET toe te voegen via "Configure Apps" (als die applicatie daar nog niet is toegevoegd), en dan vervolgens voor die applicatie het vinkje weg te halen onder SEHOP.
Ik heb zelf nog nooit een probleem ondervonden door SEHOP, dus nog nooit een SEHOP Opt Out hoeven toepassen, ik heb dat dus nog niet kunnen uitproberen.
Een andere methode voor het maken van SEHOP uitzonderingen (Opt Out) per applicatie onder Windows 7, dat verloopt via het Windows register.
Zie daarover:
http://blogs.technet.com/b/srd/archive/2009/11/20/sehop-per-process-opt-in-support-in-windows-7.aspx
maar vooral ook:
http://www.ghacks.net/2012/07/16/advanced-windows-security-activating-sehop/

Wie geen EMET gebruikt kan SEHOP overigens ook inschakelen door middel van een Windows registeraanpassing:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl

Het kiezen voor EMET Configure System\ System Configuration "Maximum Security Settings", is gemakkelijk, en kun je als je dat wenst gewoon toepassen.
Kom je vervolgens een applicatie of applicatie-onderdeel tegen dat niet start of dat crasht door DEP, dan kun je dat uitsluiten via de mogelijkheid daartoe onder Windows Geavanceerde systeeminstellingen, zoals eerder hierboven aangegeven.
Kom je een applicatie of applicatie-onderdeel tegen dat niet start of dat crasht door SEHOP, dan kun je dat uitsluiten via de mogelijkheid daartoe via EMET zoals hierboven beschreven, of eventueel via het Windows register, zoals waar hierboven ook naar verwezen is, óf je kunt er desnoods voor kiezen om EMET Configure System\ System Configuration terug te schakelen naar de voorzichtige "Recommended Security Settings".


Daar hebben we het eerder over gehad.
Het is uiteraard altijd aan jezelf om te bepalen of je een link vertrouwt of die eerst wilt checken.
Ik vertrouw in principe alleen mezelf, en daarnaast nog bijna blindelings een klein aantal andere Security.nl bijdragers (onder wie Bitwiper bijvoorbeeld). Bij de geringste twijfel check ik een link eerst.

Aanvulling op mijn post van 13:51 uur,
betreffend EMET en Google Chrome:

Google Chrome staat nog in de met EMET 3.5 Tech Preview meegeleverde Protection Profiles\ All.xml
Maar zoals eerder in deze thread al is aangegeven door Anoniem, ma.18-3, 13:47 uur,
door AnonymousSecurity, di.19-3, 10:58 uur,
door Mysterio, di.19-3, 16:55 uur,
en door Cantalibre, zo.24-3, 06:20 uur,
moet Google Chrome momenteel uitgesloten worden van de toepassing van de EMET mitigations.

Gebruik je de met EMET 3.5 Tech Preview meegeleverde Protection Profiles\ All.xml
en gebruik je Google Chrome,
dan moet Google Chrome worden verwijderd onder Configure Apps\ Application Configuration.
Gebruik je EMET 3.0, dan moet je Google Chrome niet toevoegen onder Application Configuration.

Wellicht is het uitvinken van één van de diverse mitigations voor Google Chrome al voldoende, maar ik weet niet welke dat dan moet zijn. Je kunt dat eventueel zelf uitproberen, door middel van trial and error.
Haal de vinkjes voor alle EMET mitigations betreffend Google Chrome weg, en voeg er vervolgens steeds eentje toe, en kijk wanneer dat Chrome laat crashen. Dat is dan de, of een van de EMET mitigations die uitgeschakeld moet blijven voor Chrome. De andere EMET mitigations voor Chrome die kunnen mogelijk wél toegepast worden.
Gebruikte ik zelf Google Chrome dan zou ik dat zelf uitzoeken, maar dat is niet het geval.

Wat bedoel je daarmee?
De weergave voor DEP onder System Status en onder Configure System\ System Configuration, overeenkomend met de voorzichtige "Recommended Security Settings"?
Ik had eerder al aangegeven dat andere instellingen leiden tot DEP Always On, of DEP Application Opt Out.

Dat kan ik je niet vertellen.
Met EMET 3.5 Tech Preview kun je de meegeleverde Protection Profiles\ All.xml gebruiken (en vervolgens Google Chrome verwijderen onder Configure Apps\ Application Configuration).
Voor alle andere programma's dan in de met EMET 3.5 Tech Preview meegeleverde Protection Profiles\ All.xml, en ook met EMET 3.0, moet je zelf bepalen welke programma's je wel of niet onder bewaking van EMET wilt brengen.


Nee, die is nog steeds pas "Tech Preview".

Wat bedoel je?
Dit liet juist zien hoe je onder EMET 3.5 Tech Preview kan doen wat ik kort beschreef, het toepassen van de EMET mitigations op een voorgeselecteerde selectie programma's.
Dat betreft beslist niet alleen DEP,
en onder EMET 3.5 Tech Preview kun je op de aangeboden voorgeselecteerde selectie programma's simpel de EMET mitigations toepassen zonder die programma's een voor een te hoeven selecteren.

Je bericht had ik wel degelijk heel goed gelezen, maar ik vond dat slecht te begrijpen.
En dat ik je bericht slecht te begrijpen vond, dat rekende ik niet mezelf toe.
Er is je door mij en door anderen al vaker gezegd dat je berichten niet altijd goed te volgen zijn. Dat vind je niet leuk, dat begrijp ik, en je doet je best, dat weet ik, maar niettemin zijn je berichten nog steeds niet altijd even goed te volgen.

Maar het het door jou aangereikte YouTube-filmpje dat had ik inderdaad niet bekeken. Daar heb je me ;-)
Ik had het door jou aangereikte YouTube-filmpje "Microsoft EMET setup explained for the Home User" door CERT niet bekeken doordat ik de rest van je bericht zeer slecht te begrijpen vond, en ik niet direct kon toetsen of het filmpje werkelijk wel door Cert.org werd aangeboden, of door iemand die slechts verwees naar Cert.org en/of zich profileert als CERT. Dat is altijd het ellendige met YouTube-profielen.

Pas nu ik verder zocht was het hier dat ik een directe verwijzing van CERT naar dat YouTube-filmpje vond:
http://www.kb.cert.org/vuls/id/370868
onder "Use the Microsoft Enhanced Mitigation Experience Toolkit", "CERT/CC has created a video tutorial for setting up EMET 3.0 on Windows 7", waar met "video tutorial for setting up EMET 3.0" gelinkt wordt naar dat betreffende YouTube-filmpje http://www.youtube.com/watch?v=28_LUs_g0u4

In dat filmpje "Microsoft EMET setup explained for the Home User" zie ik nu inderdaad dat ook met EMET 3.0 via
Configure Apps\ File\ Import\
Protection Profiles\ All.xml
de EMET mitigations op een voorgeselecteerde selectie programma's zijn toe te passen, net zoals met EMET 3.5 Tech Preview.
Ik wist niet dat dit ook met EMET 3.0 mogelijk was.
Dat is beslist nuttige informatie.
Jammer, en raar, dat die informatie elders nauwelijks beschikbaar lijkt, ik ben die informatie althans eerder nog nooit tegengekomen over EMET 3.0.

Daar kan ik je weer niet volgen.
Het YouTube-filmpje "Microsoft EMET setup explained for the Home User" waarnaar je verwijst laat een methode zien hoe je via Configure System\ System Configuration\ Custom Settings
DEP Application Opt Out kunt instellen,
maar het laat vervolgens tevens zien hoe je via
Configure Apps\ File\ Import\
Protection Profiles\ All.xml
de EMET mitigations op een voorgeselecteerde selectie programma's kunt toepassen,
net zoals het Microsoft-filmpje over EMET 3.5 Tech Preview waarnaar ik linkte dat laat zien voor EMET 3.5 Tech Preview.
Dus nogmaals, ik weet niet wat je bedoelt wanneer je zegt dat alleen DEP wordt ingesteld.
UPDATE:
Inmiddels begrijp ik nu wat je bedoelde.
Zie mijn vervolgbericht van di.16-4, 01:18 uur.


Dat is inderdaad wat je doet via Configure Apps\ File\ Import\

Uitstekend.
Wat is je bron dat Chrome uitsluiten voor SEHOP voldoende is om EMET op Chrome te kunnen toepassen?
Heb je dat zelf ontdekt, of vond je een bron die dat vermeldde?
Voor wie EMET ook op Google Chrome wil toepassen is het nuttige informatie.


[wijziging: update toegevoegd, verwijzing naar het vervolgbericht van di.16-4, 01:18 uur]

Daarop heb ik in mijn vorige bericht al gereageerd, ik schreef toen "Daar kan ik je weer niet volgen."
Maar inmiddels zie ik nu wat je bedoelde.

Je had het niet meer over de EMET Application Configuration pagina, waar de EMET mitigations op programma's toegepast kunnen worden, maar over de EMET basis-pagina onder "Running Processes", zo begrijp ik nu.
Had je wat duidelijker geformuleerd wat je bedoelde, onder meer door nauwkeuriger de terminologie te gebruiken die in EMET wordt gebruikt, dan had ik dat eerder begrepen.

Onder EMET "Running Processes" zie je wanneer voor DEP is ingesteld DEP Always On, of DEP Application Opt Out, inderdaad dat DEP is toegepast op de getoonde processen,
en onder "Running EMET" is voor de meeste processen inderdaad veelal nog géén aanduiding van activiteit.
Maar dat laatste betekent echter niet dat EMET niet zou zijn toegepast op die processen,
nee, het betekent dat die processen op dat moment simpelweg niet actief zijn, dus dat EMET ze op dat moment niet hoeft te bewaken.
Open EMET maar eens, en vervolgens een of meerdere programma's die je eerder via de EMET Application Configuration pagina onder controle van EMET hebt gebracht, en klik dan het "Refresh"-symbooltje achter "Running Processes". Je ziet dan dat de nieuw geopende processen nu ook door EMET in de gaten gehouden worden. Sluit je de betreffende programma's, dan verdwijnen die weer uit het "Running EMET" lijstje, omdat EMET die processen op dat moment dan niet meer hoeft te bewaken.
Onder "Running EMET" wordt dus een 'live' weergave getoond van de processen die EMET op dat moment bewaakt.

Ik hoop dat mijn uitleg duidelijk genoeg is en dat het meer inzicht geeft in de werking van EMET.


[wijziging: correctie van typo]

Wel gedeeltelijk wanneer jouw berichten onzorgvuldig opgesteld zijn en daardoor slecht te volgen zijn.
Lees je je eigen berichten wel eens na? Zie je zelf dan niet alle onzorgvuldigheden daarin?
Het is niet mijn bedoeling daarover steeds te zeuren, maar wanneer jouw onzorgvuldige stijl van opstellen van je tekst de communicatie bemoeilijkt, dan komt dat op een zeker moment aan de orde.

Op GratisSofware.nl post ik ook af en toe een reactie. Hebben we daar ook al aanvaringen gehad? Of heb je er mijn reacties gelezen?
Uiteraard is het niet mijn bedoeling 'mensen te slim af te zijn', maar wel corrigeer ik incorrectheden wanneer ik denk dat dat nodig is om anderen te behoeden voor fouten of problemen.

Ik lees prima, maar dat wil niet zeggen dat ik je kan volgen.
Nee, ik weet niet waar in EMET "de RUN" te vinden zou moeten zijn.
Wel "Running Processes" en daaronder "Running EMET", dat is wat ik 01:18 uur ook vermeldde. Lees eventueel mijn reactie van 01:18 uur nog een keer na.
En wat bedoel je met "dan is die pas met een 0-sero day beschermd"?

Je hebt wellicht niet begrepen wat ik 01:18 uur heb aangegeven.
Ik weet niet hoe ik het je zo kan uitleggen dat je het wel kunt begrijpen.

Nogmaals, je bedoelt wellicht "Running EMET", en daar heb ik het 01:18 uur over gehad.
"RUN EMET" ken ik niet en dat zie ik ook nergens in weergaven op diverse sites met EMET screenshots, zoals bijvoorbeeld hier: http://rationallyparanoid.com/articles/microsoft-emet-3.html
Wel "Running EMET", waar ik het 01:18 uur over had.
En bij de rest van je opmerkingen, Jeetje, Cantalibre, gaat het wel goed met je?

Cantalibre, ik probeer niemand en ook jou niet 'te slim af te zijn'.
Maar het lijkt er voor mij op dat je mijn uitleg niet begrijpt en dat je daardoor een probleem ziet dat er niet is.
Misschien is mijn uitleg te onvolledig geweest om te kunnen volgen. Maar het was dan ook niet mijn intentie om een volledig 'How to configure EMET' neer te zetten. De diverse bronnen, tekst en filmpjes, dat zou voldoende moeten zijn, ik ga hier niet volledig herhalen wat in die bronnen al is neergezet.
En verder - Cantalibre, ik kan niet uitsluiten dat jij iets probeert aan te geven dat afwijkt van wat ik eerder heb aangegeven en dat ik niet doorzie. Als dat zo is, dan begrijp ik jouw uitleg niet.

We komen zo niet verder.
En gezien het feit dat ik jou boos maak, Cantalibre, en jij mij met je stijl en nu ook met je insinuaties zo zachtjes aan aardig begint te ergeren, moeten we elkaar nu maar met rust laten, vind ik.
Enkel wanneer ik in het vervolg een reactie van je tegenkom waarop mijn reactie nodig is in algemeen belang, dus ter aanvulling of correctie in belang van anderen die meelezen, dan zal ik nog reageren.

Dat weet ik maar al te goed?
Cantalibre, ik weet werkelijk niet waar je het over hebt.
Verwijs je naar mijn bijdragen hier op Security.nl, of elders? Of GratisSoftware.nl, dat je eerder ook noemde?
Als je het de moeite waard vindt, dan mag je dat gerust nog toelichten, maar vooralsnog weet ik absoluut niet waarop je doelt.

Het klopt dat ik eerder niet wist dat ook al in EMET 3.0 die optie bestaat om via Configure Apps\ File\ Import\ de EMET mitigations op een voorgeselecteerde selectie programma's toe te passen, net zoals met EMET 3.5 Tech Preview.
Maar daarvan gaf ik uiteraard niet jou de schuld. Wat ik aangaf was dat ik je bericht slecht te begrijpen vond. Dat ik mede om de reden dat ik je bericht zo slecht te begrijpen vond je link naar het filmpje genegeerd had, dat was uiteraard wél mijn tekortkoming.
En dat ik je niet bedankte voor het aanreiken van het filmpje, daar heb je gelijk in, maar niet voor alles dat hier door bijdragers op Security.nl wordt aangereikt wordt elke keer steeds formeel bedankt. Hoort dat bij elke nuttige bijdrage zo dan, volgens jou? Dat ik nadat ik het door jou aangereikte YouTube-filmpje kon plaatsen en bekeken had in vette letters neerzette "Dat is beslist nuttige informatie", dat liet mijns inziens zien dat ik de door jou aangereikte informatie wel degelijk waardeerde.

Ha, nu begrijp ik eindelijk wat je bedoelt.
Je bedoelt dat door middel van het toepassen van Configure Apps\ File\ Import\ en het kiezen van Protection Profiles\ All.xml niet alle op de computer geïnstalleerde programma's door EMET beschermd worden.
Dat klopt. Vanzelfsprekend alleen die applicaties die dat Protection Profiles\ All.xml bestand bevat (zie mijn reactie van 24-03, 13:51 uur, voor een overzicht).
Fijn dat ik je nu op dat punt op de valreep toch nog begrijp, ik ben daar oprecht blij om.


Met gemengde gevoelens over hoe het tussen ons is verlopen,
maar toch met vriendelijke groet,
Spiff

Het volgende dat ik schrijf heeft niets van doen met het gebruik van EMET,
dus het is volledig off-topic in deze thread,
maar niettemin denk ik dat het een waardevol inzicht kan geven.

Ik denk dat het belangrijk is het volgende onderscheid te maken:
Het onderscheid tussen enerzijds normale sociale omgang en de bijbehorende informele communicatie, en anderzijds de communicatie betreffend computerbeheer en andere exacte vakgebieden.

Op dat eerste gebied, in de normale sociale omgang, is communicatie en taalgebruik over het algemeen informeel en gedrag is zo persoonlijk als de verschillen van persoon tot persoon, zo verschillend als kat en hond, of Venus en Mars, zo je wenst. Je houdt daarbij rekening met alle variaties in stijl en persoonlijkheid.

Echter, op het gebied betreffend computerbeheer en andere exacte vakgebieden is exact zijn in beschrijving en communicatie de norm. Kat en hond, Venus en Mars, horen daarbij geen rol te spelen. Er wordt exact geformuleerd, zodat iedereen een beschrijving kan volgen en kan reproduceren. Nonchalance en slordigheid verwart en stoort daarbij.

De verschillende vormen van communicatie zijn niet uitwisselbaar tussen informele sociale omgang en de formulering die toegepast wordt in de beschrijving in exacte vakgebieden.

Wanneer op Security.nl (of elders) gecommuniceerd wordt betreffend details van computerbeheer, een exact vakgebied, dan verlangt dat veelal de bijbehorende exacte vorm van communicatie.
Het uit het oog verliezen daarvan frustreert de communicatie.

Dit betekent beslist niet dat op Security.nl álle communicatie en al het taalgebruik exact zou moeten zijn, er kan uiteraard prima ruimte zijn voor luchtigheid. Maar de communicatie betreffend details van computerbeheer die zal mijns inziens exact moeten zijn, duidelijk te volgen en zonder slordigheid, zodat iedereen een beschrijving kan volgen en kan reproduceren en verwarring wordt voorkomen.