Zonet heb ik in een andere thread
https://www.security.nl/posting/369778/Gratis+Windowsbeveiliging+EMET+blokkeert+alle+exploits+in+testin een verlate reactie nog een tip uitgeschreven over
hoe EMET 4 in te stellen,
althans, een beschrijving van hoe
ik dat doe.
Zie:
https://www.security.nl/posting/369778#posting370536Volledigheidshalve zal ik die beschrijving van hoe ik EMET 4 instel ook hier nog neerzetten,
voor wie er eventueel wat aan kan hebben.
Hieronder een beschrijving van de EMET 4.1 instellingen zoals ik die toepas.(Een ander kan andere voorkeuren hebben.)
Bij het installeren van EMET, kies "
Use Recommended settings".
Na installeren,
open de EMET gebruikersinterface, en maak instellingen naar wens:
EMET\
Skin:
Kies een skin naar eigen voorkeur.
Ik kies Seven Classic.
EMET\
Quick Profile:
Probeer de instelling "
Maximum security settings".
Dat levert de volgende instellingen:
DEP: "Always On"
SEHOP: "Always On" (Vista) of "Application Opt Out" (Windows 7 en 8)
ASLR: "Application Opt In"
Pinning: "Enabled"
Levert DEP "Always On" op een gegeven moment onverhoopt een probleem met een of meerdere applicaties, gebruik voor DEP dan de instelling "
Application Opt Out".
Onder EMET Quick Profile wordt dan vervolgens weergegeven "Custom security settings".
(Er bestaat in dat geval de kans dat elders in Windows dan een uitzondering voor DEP ingesteld moet worden voor die betreffende applicatie(s).
Dat doe je dan zo nodig onder
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde"
waar je dan zo nodig de applicatie(s) kunt toevoegen die uitgesloten moet(en) worden van controle door DEP.)
Verder,
verwijder het relatief beperkte standaard-profiel "Recommended Software":
EMET\
Apps:
Selecteer onder Appication Configuration\ Mitigations alle apps waarop mitigations zijn toegepast (dat is na de standaard-configuratie het profiel "Recommended Software"),
alle apps selecteren dat doe je door middel van het indrukken en vasthouden van de Shift-toets en vervolgens de eerste en de laatste app aanklikken en dan de Shift-toets loslaten.
Rechtsklik en kies "Disable All Mitigations",
klik nu het rode kruis, "Remove Selected",
Bevestig met OK.
Nu installeer je vervolgens het uitgebreidere profiel "Popular Software".
EMET\
Import:
kies:
C:\Program Files\EMET 4.1\Deployment\Protection Profiles\
Popular Software.xmlDit past de EMET mitigations toe op een relatief uitgebreide voorgeselecteerde reeks programma's.
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder Apps\ Appication Configuration\ Mitigations.
EMET\
Apps\ Appication Configuration:
Vink daar ook aan "
Deep Hooks".
N.B.1
aanvulling 6-12-2013, betreffend Deep Hooks:Onder Windows 8 en Windows 8.1 is het mogelijk beter om Deep Hooks
niet aan te vinken.
Zie:
https://www.security.nl/posting/41491#posting371821N.B.2
aanvulling 15-06-2014, betreffend Deep Hooks:Vanaf EMET 4.1 Update 1, uitgegeven 29-04-2014, wordt de mitigation setting Deep Hooks
standaard toegepast.
Ten slotte,
loop zekerheidshalve
EMET User's Guide "Table 7: Common Software Compatibility Matrix", pagina 40-42 na, en vergelijk de geadviseerde op de diverse applicaties toe te passen mitigations met de daadwerkelijk toegepaste mitigations zoals je die ziet onder EMET\
Apps\ Appication Configuration\ Mitigations.
Mochten bepaalde mitigations niet correct zijn toegepast zoals die worden aangegeven in tabel 7, dan kun je die zo nodig handmatig aanpassen.
(Bij mij ontbraken onder EMET 4.1 de SEHOP mitigations voor 7-Zip.)
(N.B. Let wel op de uitzonderingen die in tabel 7 zijn aangegeven met "(
1)". De met "(
1)" aangeduide SEHOP-mitigations voor Windows Media Player, Google Chrome en Google Talk zijn enkel van toepassing op Windows 7/Server 2008R2 en latere Windows versies, en
niet op Windows XP/Server 2003 en Windows Vista/Server 2008.)
Veel succes.