Computerbeveiliging - Hoe je bad guys buiten de deur houdt

EMET 4.0 beschikbaar

18-06-2013, 00:14 door Spiff has left the building, 48 reacties
Laatst bijgewerkt: 13-09-2014, 14:16
Het heeft even geduurd,
maar EMET 4.0 is nu beschikbaar.
Zie:
http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx

Latere aanvulling:
Dit topic heet nog "EMET 4.0 beschikbaar",
maar sindsdien is EMET 4.1 beschikbaar gekomen,
zoals gemeld door de redactie:
https://www.security.nl/posting/369632/Microsoft+lanceert+gratis+Windowsbeveiliging+EMET+4_1
en op Microsoft TechNet Blogs:
http://blogs.technet.com/b/srd/archive/2013/11/11/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx

Latere aanvulling:
Sinds 29-04-2014 is EMET 4.1 Update 1 beschikbaar,
zoals gemeld door de redactie:
https://www.security.nl/posting/386398/Microsoft+patcht+gratis+EMET-beveiligingstool+voor+Windows
en op Microsoft TechNet Blogs:
http://blogs.technet.com/b/srd/archive/2014/04/30/continuing-with-our-community-driven-customer-focused-approach-for-emet.aspx
EMET 4.1 Update 1 download:
https://www.microsoft.com/en-us/download/details.aspx?id=41138

En ook nog ter aanvulling,
voor wie daar eventueel wat aan kan hebben,
een verwijzing naar mijn beschrijving van de EMET 4.1 instellingen zoals ik die toepas:
https://www.security.nl/posting/41491#posting370538
(Een ander kan andere voorkeuren hebben.)
Reacties (48)
18-06-2013, 00:30 door Spiff has left the building
Voor wie zich afvraagt of een eerdere EMET-versie gedeïnstalleerd moet worden voorafgaand aan het installeren van EMET 4.0, het antwoord is: EMET 3.0 niet, maar EMET 3.5 Tech Preview en EMET 4.0 Beta wel.

Zie:

If you have EMET 4.0 Beta or EMET 3.5 Technical Preview installed on the system, you will need to uninstall them before installing EMET 4.0, and you will need to remove EMET’s configuration from the registry, by deleting the registry hives HKLM\Software\Microsoft\EMET and, if existing, HKLM\Software\Policies\Microsoft\EMET. If you have EMET 3.0 installed on the system, you don’t need to uninstall it before installing EMET 4.0. The previous version will be uninstalled and at the end of the installation you’ll have the opportunity to migrate the existing settings or to reset EMET configuration with the new default settings.

http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx
18-06-2013, 08:58 door Spiff has left the building
Een aandachtspunt:

Let op dat in EMET 4.0\ Apps\ Application Configuration\ Deep Hooks is aangevinkt.
Op mijn systeem bleek dat na de standaardconfiguratie niet het geval.
Deep Hooks is simpel genoeg alsnog aan te vinken, maar het zou zonde zijn wanneer dat niet uitgevoerd werd.

EMET 4.0 User Guide over Deep Hooks (pagina 13):

1.2.9 Advanced Mitigations

EMET 4.0 introduces additional mitigation options that apply to all configured software. The additional mitigations introduced for this version are only for the ROP mitigations, and when enabled or disabled they will affect all the programs that have at least one ROP mitigation configured in EMET.
[...]
Deep hooks: EMET will protect critical APIs and the subsequent lower level APIs used by the top level critical API. For example, EMET will not only hook and protect kernel32!VirtualAlloc but also the related lower level functions, such as kernelbase!VirtualAlloc and ntdll!NtAllocateVirtualMemory.

18-06-2013, 10:02 door Anoniem
Weet iemand hoeveel performance dit tool eigenlijk kost?
Als er overal hooks tussen zitten en wellicht allerlei acties tot exceptions leiden die dan gevalideerd worden en
eventueel de actie wordt toegelaten, dan zou er een performance penalty kunnen zijn.
Hoe zit het zowizo met de prestaties op oude processoren? We hebben DEP al jaren standaard aan staan in
Windows met hooguit een uitzondering voor 1 brak programma ofzo, maar daardoor weet ik dat DEP alleen werkt
vanaf een bepaalde generatie processor (die ook 64-bit kan enzo). We hebben veel oude computers.
18-06-2013, 18:04 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 18:13 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 18:17 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 19:02 door Spiff has left the building
Door AnonymousSecurity:
Hebben ze dat probleem met de google browser nu opgelost?
Door Cantalibre:
In Emet bij alle vinkjes van Chrome, Sehop uitvinken, dan crasht Chrome niet meer.
Inderdaad, voor XP en Vista is dat nodig, voor Windows 7 en 8 echter niet.
Dit althans volgens de EMET 4.0 User Guide.

De EMET 4.0 User Guide geeft Google Chrome aan als compatible, met een uitzondering voor de EMET 4.0 SEHOP mitigation voor Chrome onder Windows XP/Server 2003 en Windows Vista/Server 2008.
De EMET 4.0 SEHOP mitigation implementatie betreffende Google Chrome is enkel geschikt voor Windows 7/Server 2008R2 en latere versies.
Alle ándere EMET mitigations voor Chrome buiten SEHOP zijn volgens de EMET 4.0 User Guide geschikt voor álle Windows versies vanaf XP.

Hetzelfde is ook hier gevraagd en beantwoord:
https://www.security.nl/artikel/46673/1/Microsoft_beveiligt_Windows_met_gratis_EMET_4.0.html
18-06-2013, 19:13 door Spiff has left the building
Door Cantalibre:
is het voor IT ontwikkelaars en bedrijven, dus niet voor de gewone thuis-computeraar? Wanneer weet je, of je genoeg kennis voor EMET hebt? Als je de instellingen laat zoals ze zijn en de tips voor instellingen volgt, dan moet ook de thuis-computeraar ermee overweg kunnen toch?
EMET is vooral geschikt voor de enigszins gevorderde gebruiker, denk ik.
Dat EMET 4.0 final geïnstalleerd kan worden met een automatische configuratie, dat helpt, en maakt het beter geschikt voor minder gevorderde gebruikers.

Is het nog nodig om zelf de progamma's in 4.0 te zetten, via All Profiles?
Dat profiel heet nu "Popular Software".
Het omvat meer software dan het bij de standaard-configuratie geïnstalleerde profiel "Recommended Software".
Het importeren van "Popular Software" kan wel degelijk nuttig zijn. Het neemt je de taak uit handen zelf die in dat profiel opgenomen software een voor een te moeten toevoegen via Apps\ Application Configuration.

Ook hier gevraagd en beantwoord:
https://www.security.nl/artikel/46673/1/Microsoft_beveiligt_Windows_met_gratis_EMET_4.0.html
18-06-2013, 22:46 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 23:54 door Spiff has left the building
Door Spiff:
EMET is vooral geschikt voor de enigszins gevorderde gebruiker, denk ik.
Dat EMET 4.0 final geïnstalleerd kan worden met een automatische configuratie, dat helpt, en maakt het beter geschikt voor minder gevorderde gebruikers.
Door Cantalibre:
De vraag is alleen Spiff, wie zijn dat? Welke kunde/kennis moet je hebben voor EMET? Ik zelf kan EMET instellen, maar wat het allemaal precies is? Is het dus wel een goed idee, om EMET te installeren als je jezelf eigenlijk niet rekend onder een gevorderde gebruiker..wat dat ook is?
Het is moeilijk aan te geven hoe 'gevorderd' een gebruiker precies moet zijn om EMET met enig nut en zonder al te veel moeite te kunnen gebruiken. Potentiële gebruikers kunnen dat wellicht zelf inschatten wanneer ze wat EMET documentatie lezen (zoals de EMET 4.0 User Guide, die los te downloaden is via de EMET download-pagina, en/of de EMET 4.0 TechNet Blog pagina, en/of informatie over EMET op andere websites).
En laat ik het 'gevorderd' eens omkeren: EMET lijkt me moeilijk gereedschap voor die gebruikers die ook met het standaardgebruik van Windows en applicaties al moeite hebben en daarbij hulp nodig hebben van derden. Wil je het systeem van een dergelijke 'ongevorderde' gebruiker extra beveiliging bieden door middel van EMET, dan denk ik dat het verstandig is dat een meer gevorderde gebruiker helpt bij de configuratie en beheer.
Verder kan ik er weinig zinvols over zeggen.

Ik zie trouwens weinig berichten, hoe EMET 4.0 het beste is in te stellen?
Misschien volgen daarover nog wat informatieve stukjes, wellicht door derden, net zoals eerder voor recent EMET 3.0, 3.5 Tech Preview en 4.0 Beta.
Verder, EMET 4.0 final is weinig afwijkend van 4.0 Beta en zelfs niet zeer afwijkend van 3.5 Tech Preview. En daar zijn eerder al enkele informatieve pagina's over gepubliceerd, dus misschien is dat ook een reden dat we nu nog weinig dergelijke artikelen over EMET 4.0 final zien.
Geef het wellicht nog even de tijd. EMET 4.0 final is nog maar goed een dag uit.
18-06-2013, 23:57 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 00:34 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 00:49 door Spiff has left the building
Door Cantalibre:
Ik heb net EMET 4.0 erop gezet. Eerst moest ik .Net Framework 4.0 erop installeren! Daarover heeft niemand het nog gehad? Dat duurde 15 minuten, met de één na snelste breedbandverbinding.
Het staat uiteraard wel vermeld in de details op de EMET 4.0 download-pagina.
In de eerdere EMET 4.0 Beta thread hier op de site kwam .NET Framework 4.5 even terloops ter sprake.
Dat het verder niet ter sprake is gekomen dat is wellicht doordat sommigen zich niet verbaasden over de benodigdheid van .NET Framework 4/ 4.5, en wellicht ook doordat op vele systemen .NET Framework 4 (of 4.5) al bij een eerdere gelegenheid is geïnstalleerd.
Dat downloaden en installeren van .NET Framework 4 lang duurde, dat werd niet bepaald door jouw bandbreedte, maar door hoe vlot het pakket geleverd wordt vanaf de Microsoft server én door de installatieprocedure. Ik vermoed dat vooral dat laatste bepaalde dat het zo lang duurde.

Bij Config. Emet in Emet, klikte ik populair programs, maar volgens mij werkte dat niet.
Ik begrijp niet precies wat je bedoelt.
De normale werkwijze is dat je kiest "Import", en vervolgens "Popular Software.xml"

Dus toch maar via Programfiles, naar Emet 4.0 en daar via Deployment naar populair programs, zie alleen nu in EMET wel 3 staan van Explorer 10. Draai ik Chrome dan komen er vier in Emet. Heb ik er dus 2 of 3 keer hetzelfde erin gezet, of kan dat niet?
Bedoel je onder Apps\ Application Configuration,
of onder Running Processes\ Running EMET?

Onder Apps\ Application Configuration horen de diverse apps slechts één keer te staan.
Staan ze er meedere malen dan is dat mogelijk veroorzaakt door het importeren van "Popular Software.xml" terwijl de bij de standaard-installatie neergezette "Recommended Software.xml" er al stond, of door het per ongeluk meermaals importeren. Dat geeft wellicht doublures.
Dat is echter wellicht geen probleem, vermoed ik.
Wil je de rij apps opschonen, verwijder ze dan allemaal, en importeer nogmaals de gewenste "Popular Software.xml".

Bedoelde je echter onder Running Processes\ Running EMET -
Onder Running Processes\ Running EMET zie je van Internet Explorer of Google Chrome net zo veel aanduidingen als er beschermde lopende processen zijn. Dat is normaal.
Met bijvoorbeeld drie open Internet Explorer tabbladen zie je drie "iexplore - Internet Explorer" weergaven onder Running Processes\ Running EMET.

Ik hoop dat we elkaar begrepen hebben.
In een eerdere thread, enige tijd geleden, bouwden we door steeds misverstanden over en weer steeds meer ergernis op, en kregen we bijna ruzie. Ik hoop dat we het nu niet zo ver laten komen ;-)
19-06-2013, 01:05 door Spiff has left the building
Door Cantalibre:
Die PDF files heb je Adobe voor nodig toch? Die heb ik er liever niet op, maar dan kan ik dit niet lezen, en klikte net in Emet op Help en dan krijg ik wederom een PDF file? Wanneer brengt MS een PDF reader die wel veilig is?
pdf-files kun je uiteraard ook met andere pdf-readers/viewers dan die van Adobe bekijken.
Er zijn er vele, vrijwel naar ieders smaak wel wat.
Zie bijvoorbeeld het rijtje met links naar pdf-reader/viewer overzichten in mijn reactie van 28-01-2013, 12:01 uur, in deze forum-thread:
https://www.security.nl/artikel/44906/1/PDF_readers%3F.html

En inderdaad, de EMET User Guide via EMET Help is een pdf,
dezelfde als via Windows Menu Start\ Programma's\ Emet\ EMET Users Guide,
en dezelfde als te downloaden is via de EMET downloadpagina.
Er wordt vanuit gegaan dat je de beschikking hebt over een pdf-reader/viewer.
19-06-2013, 01:10 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 09:33 door Anoniem
Door Cantalibre: Ik heb net EMET 4.0 erop gezet. Eerst moest ik .Net Framework 4.0 erop installeren ! Daarover heeft niemand het nog gehad ? Dat duurde 15 minuten, met de één na snelste breedbandverbinding
HA! Dan heb je waarschijnlijk nog niet gekeken bij Windows Update :-)
De eerst volgende keer dat je Windows Update doet heb je een stuk of 15 updates en is hij een half uur (of veel langer als je geen modern systeem hebt) bezig om ze te installeren.

.NET installaties zijn traag, en .NET updates zijn EXTREEM traag.
Ik heb al vanalles gepriobeerd, zoals het installeren van de nieuwste MS Installer die beschikbaar is, maar het maakt
allemaal niks uit.
En dan doe ik ook maar een vrijwillige compilatie aan het eind met:
"%windir%\Microsoft.NET\Framework\v4.0.30319\ngen.exe" executequeueditems

anders gaat ie dat fijntjes op de achtergrond zitten doen en zit je ook nog een tijd met een sloom systeem...
ik heb er wel eens op gezocht in de Microsoft forums maar daar zie je alleen klagende gebruikers en geen oplossingen
van Microsoft. Men schijnt het niet als een probleem te zien.
19-06-2013, 10:26 door Spiff has left the building
Door Cantalibre:
Net even gekeken onder Apps en daar staan ze één keer in.
Hoe schoon ik het eventueel op, al gekeken maar kon het niet vinden én ik wil ook niet teveel kl**en met Emet.
Wanneer je op een gegeven moment een of meer of alle applicaties wilt verwijderen uit de rij onder Application Configuration (bijvoorbeeld wanneer je een configuratiefout hebt gemaakt en/of je wilt bijvoorbeeld het profiel "Popular Software.xml" opnieuw schoon importeren), dan kun je dat doen op een manier die enigszins vergelijkbaar is met het verwijderen van een item uit Windows Verkenner:
- Wil je één applicatie verwijderen, klik die dan aan, en vervolgens "Remove Selected",
- wil je meerdere applicaties verwijderen, dan kun je dat één voor één doen,
- of meerdere tegelijk selecteren door Ctrl plus achtereenvolgens de diverse selecteren, en vervolgens "Remove Selected",
- of alle tegelijk selecteren door Shift plus onderste en bovenste selecteren, waardoor alles geselecteerd wordt, en vervolgens "Remove Selected".

ben je eigenlijk een Moderator van Security.nl?
Nee hoor, ik ben nergens moderator.
25-06-2013, 16:31 door [Account Verwijderd]
[Verwijderd]
25-06-2013, 16:54 door Spiff has left the building
Door Spiff, di.18-6, 00:30 uur:
Voor wie zich afvraagt of een eerdere EMET-versie gedeïnstalleerd moet worden voorafgaand aan het installeren van EMET 4.0, het antwoord is: EMET 3.0 niet, maar EMET 3.5 Tech Preview en EMET 4.0 Beta wel.

Zie:

If you have EMET 4.0 Beta or EMET 3.5 Technical Preview installed on the system, you will need to uninstall them before installing EMET 4.0, and you will need to remove EMET’s configuration from the registry, by deleting the registry hives HKLM\Software\Microsoft\EMET and, if existing, HKLM\Software\Policies\Microsoft\EMET. If you have EMET 3.0 installed on the system, you don’t need to uninstall it before installing EMET 4.0. The previous version will be uninstalled and at the end of the installation you’ll have the opportunity to migrate the existing settings or to reset EMET configuration with the new default settings.

http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx

Door Cantalibre, di.25-7, 16:31 uur:
Dit klopt niet, Emet 3.0 moet eerst verwijderd worden, deze laat 4.0 dus gewoon staan!

Cantalibre,

Ik verwees dinsdag 18-6, 00:30 uur, naar en citeerde uit de informatie zoals die geboden wordt op de TechNet Blog pagina "EMET 4.0 now available for download'
http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx

Dat jouw ervaring anders was, dat bleek pas woensdag 19-6, in de thread waarin je dat meldde:
https://www.security.nl/artikel/46690/1/Na_Emet_4.0_en_.Net_Framework_geeft_MBam_dit_%3B.html
Dinsdag 18-6, 00:30 uur, was mij alleen de informatie bekend zoals vermeld op de TechNet Blog pagina.

Maar het is goed dat je je ervaring vermeldde,
zodat anderen zekerheidshalve eerst EMET 3.0 kunnen deïnstalleren alvorens EMET 4.0 te installeren, in plaats van uit te gaan van wat de TechNet Blog pagina vermeldt.
25-06-2013, 17:17 door [Account Verwijderd]
[Verwijderd]
25-06-2013, 17:28 door [Account Verwijderd]
[Verwijderd]
25-06-2013, 18:23 door Spiff has left the building
Door Cantalibre, 17:17 uur:
[...] Babachess, die er wel instaat maar niet onder Run Emet.
[...] waarom staat bv Babachess niet in/onder Run Emet?
Oorspronkelijke reactie, waarbij ik Cantalibre verkeerd begrepen had:
Omdat die applicatie niet wordt toegevoegd via de standaard-configuraratie, en ook niet via het importeren van het Popular Software of Recommended Software protection profile.
Wil je de EMET mitigations toepassen op een andere applicatie, zoals bijvoorbeeld BabasChess, dan moet die applicatie handmatig worden toegevoegd, via Apps\ Add Application.

Aanvulling/ Correctie:
Ik had je in eerste instantie verkeerd begrepen, Cantalibre - dat was mijn fout.
Ik dacht dat je erop doelde dat BabasChess niet werd toegevoegd door middel van het importeren van een protection profile, maar je bedoelde dat het ondanks het handmatig toevoegen via Apps\ Add Application nog steeds niet wordt weergegeven onder "Running EMET".
We hebben het daar in een eerdere thread ook al eens over gehad.
Onder "Running EMET" worden alleen die door EMET beschermde processen weergegeven die op dat moment ook daadwerkelijk actief zijn. Is een bepaald proces (zoals dat van BabasChess) niet actief (omdat BabasChess niet geopend is) dan wordt het niet weergegeven onder "Running EMET".
Anders gezegd: Na toevoeging via Apps\ Add Application wordt een applicatie enkel weergegeven onder "Running EMET" wanneer die bepaalde applicatie actief/geopend is. Dat is volkomen normaal.
Is dat wellicht een verklaring voor je waarneming?

Nóg een aanvulling:
Nog een andere mogelijkheid zou kunnen zijn dat je via Apps\ Add Application voor een bepaalde applicatie (zoals voor BabasChess dat je noemt) niet de juiste of niet alle nodige files hebt toegevoegd. (Welke file of files dat moet of moeten zijn voor BabasChess, dat weet ik echter niet.)

Door Cantalibre, 17:17 uur:
Is het ook goed om ook Recommended Software erin te zetten?
Als ik me niet vergis zit alles dat in het Recommended Software protection profile zit ook in het Popular Software protection profile.
Recommended Software is dus het beperkte protection profile, Popular Software is het uitgebreide protection profile dat tevens Recommended Software omvat.
Kortom, heb je het Popular Software protection profile al geïmporteerd in EMET, dan heeft het geen nut nog het Recommended Software protection profile te importeren.

Je kunt de inhoud van beide profielen zelf nakijken door ze beide te openen vanuit
C:\Program Files\EMET 4.0\Deployment\Protection Profiles
en ze dan naast elkaar te bekijken en ze te vergelijken.

Door Cantalibre, 17:17 uur:
En dat Dak is een grap hoor
Maar dat heeft niks met deze thread te maken.
Je maakte die opmerking in deze ándere thread:
https://www.security.nl/artikel/46690/1/Na_Emet_4.0_en_.Net_Framework_geeft_MBam_dit_%3B.html
Dat is ook waar ik erop gereageerd heb.


[wijziging: aanvulling/correctie aangebracht]
25-06-2013, 21:11 door Spiff has left the building
(Aanvulling/correctie geplaatst in mijn reactie van 18:23 uur.)
(Dit bericht om de e-mail notificatie te triggeren.)
26-06-2013, 01:11 door [Account Verwijderd]
[Verwijderd]
26-06-2013, 11:40 door Spiff has left the building
Door Cantalibre, 01:11 uur:
Vreemd genoeg Spiff staan er wat progamma's in, die ik er niet ingezet heb.
Dat klopt, met het importeren van een protection profile via EMET\ Import, met name met het Recommended Software protection profile, wordt een hele rij applicaties toegevoegd onder Application Configuration, ongeacht of je die applicaties wel of niet op je systeem hebt staan. Dat is normaal en kan geen kwaad.
Op mijn eigen systeem is het overgrote deel van die applicaties niet aanwezig.

Door Cantalibre, 01:11 uur:
Is het trouwens aan te raden om elke progamma erin te zetten?
Dat vind ik moeilijk te beoordelen.
Het zal in ieder geval een flinke klus zijn, en daarnaast moet je voor elke applicatie gaan testen welke mitigations toegepast kunnen worden, of bepaalde mitigations op bepaalde applicaties niet toegepast kunnen worden omdat die ze doen crashen of anderszins negatief beïnvloeden.
Ik kan je daar niet in adviseren.

Door Cantalibre, 01:11 uur:
Ook vraag ik me nog steeds af, of die hook in Emet nu wel of niet beter is om aan te vinken?
http://threatpost.com/microsoft-emet-4-0-enables-certificate-pinning-to-defeat-mitm-attacks/
Zie de laatste, aanvinken is dan niet genoeg maar ook nog configuren die hook, dus of dit wel nodig is, voor de thuisgebruiker?
Die informatie komt uit de eerdere techNet Blog betreffend EMET 4.0 Beta,
de tekst onder "Strengthened mitigations, blocking bypasses":
http://blogs.technet.com/b/srd/archive/2013/04/18/introducing-emet-v4-beta.aspx
Ik vermoed dat voor EMET 4.0 final "These Deep Hooks can be configured in EMET’s Advanced Configuration" slechts betekent toepassen (aanvinken) of niet toepassen (niet aanvinken). Ik heb in EMET 4.0 final geen andere configuratie-mogelijkheden voor Deep Hooks gevonden.
En of het toepassen van Deep Hooks wel of niet aan te raden is, dat is aan de eigen beoordeling van de gebruiker.
Standaard staat het niet aangevinkt in EMET 4.0 final, zo hebben we gezien, dit anders dan in de EMET 4.0 Beta.
Gebruikers die problemen ondervinden na het toepassen van Deep Hooks, die zullen dat weer moeten uitschakelen.
Ikzelf ondervind geen problemen door het toepassen van Deep Hooks, maar het is wellicht nog te vroeg om te kunnen beoordelen welke gebruikers met welke systeemconfiguraties en applicaties EMET's Deep Hooks wel of niet kunnen toepassen.
Wellicht vinden we de komende tijd publicaties die meer informatie bieden over EMET 4.0 final en Deep Hooks.
26-06-2013, 12:52 door AdHd
Door Cantalibre:
Doe ik met R-muis, op Babachess en dan Configure, dan staat die er wel in. Dus hoe configureer je de progamma's in Emet ? Import en dan Populair progams
Ga nu mezelf maar quoten, maar mijn advies om met R-muis te doen is helemaal fout ! Dan loopt je progamma vast !
Omdat die applicatie niet wordt toegevoegd via de standaard-configuraratie, en ook niet via het importeren van het Popular Software of Recommended Software protection profile.
Vreemd genoeg Spiff staan er wat progamma's in, die ik er niet ingezet heb. B.v. Freemake downloader. Is het trouwens aan te raden om elke progamma erin te zetten ? Ook vraag ik me nog steeds af, of die hook in Emet nu wel of niet beter is om aan te vinken ?
http://threatpost.com/microsoft-emet-4-0-enables-certificate-pinning-to-defeat-mitm-attacks/
Zie de laatste, aanvinken is dan niet genoeg maar ook nog configuren die hook, dus of dit wel nodig is , voor de thuisgebruiker ?
Als aanvulling op wat Spiff al meldt:

1] EMET-instellingen kun je alléén wijzigen via EMET zelf. De instellingen die je kunt veranderen d.m.v. de rechter-muisknop zijn iets heel anders en niet direct van toepassing hier.

2] De (via "profiles") geïmporteerde programma's in EMET zijn standaard-instellingen die zouden moeten werken met ieder systeem. Dat er programma's tussen staan die je niet hebt geïnstalleerd maakt verder helemaal niets uit. Ik weet niet of je een technische achtergrond hebt, maar je moet de Deep-Hooks-functie in EMET meer zien als een sensor die enkel reageert als er iets specifieks gebeurd, zoals een programma starten. Als je een bepaalde applicatie niet hebt, kun je deze ook niet starten, en zal EMET hier ook niets mee kunnen doen.

3] De "Deep-Hooks-" en de "Certificate-Pinning" -functie zijn 2 totaal verschillende dingen en moet je vooral niet door elkaar halen.
De Deep-Hooks-functie kijkt mee of er geen andere applicaties (malware bijvoorbeeld) worden gestart als je een bepaald programma start, de Certificate-Pinning-functie zorgt ervoor dat MITM-aanvallen (mogelijk) worden voorkomen in Internet-Explorer. Deze laatste functie beschermt dus niet iedere browser, maar enkel Internet-Explorer!

Zoals al gemeld, kun je verder niets configureren aan de Deep-Hooks-functie. Voor de gemiddelde gebruiker zal deze functie enkel voordelen opleveren, met uitzondering van de detectie van "verdachte register-sleutels" door (sommige) AV's e.d..
Let op, een register-sleutel is geen uitvoerbaar bestand, enkel een verwijzing / instructie. Een register-sleutel is dus ook nooit de malware zelf! (Zie het register maar als de index van een encyclopedie, in plaats van de uitleg bij het onderwerp.)

Het configureren van de Certificate-Pinning-functie heeft te maken met welke certificaten je door EMET laat controleren als je Internet Explorer gebruikt. Standaard staan alleen de MS-services in de lijst, dus misschien is het handig om deze aan te vullen met certificaten van sites waar je inlogt, zoals van een bank en webmail-client bijvoorbeeld. Nogmaals, deze laatste functie heeft alleen nut als je IE gebruikt.


Door Cantalibre: Is het trouwens aan te raden om elke programma erin te zetten ?
Nee, enkel de applicaties die verbindingen maken met internet en/of data / bestanden / scripts kunnen uitvoeren zijn kwetsbaar. Ik denk niet dat jij (veel) van dat soort applicaties hebt geïnstalleerd, dus het is verder niet nodig om deze functie uit te breiden.

Ik hoop dat het zo weer wat duidelijker is allemaal!

EDIT: kleine verduidelijkingen + typo.
26-06-2013, 22:09 door [Account Verwijderd]
[Verwijderd]
26-06-2013, 22:18 door [Account Verwijderd]
[Verwijderd]
26-06-2013, 22:36 door [Account Verwijderd]
[Verwijderd]
26-06-2013, 23:39 door Spiff has left the building
Aan Cantalibre,
naar aanleiding van je berichten van 22:09, 22:18 en 22:36 uur,

Je schrijft,
Door Cantalibre, 22:09 uur:
Je ziet een programma van jezelf staan in Emet. Kijk je dan onder Apps dan staat die daar niet. Dan doe je op dat programma, met R-muis, configureer process en dan staat het wel in Apps.
Ah, ik begrijp wat je bedoelt.

Je doelt op de de Running Processes die worden weergegeven in de EMET gebruikersinterface.
Dat zijn álle actieve processen, niet alleen die processen die beschermd worden door EMET.
Ze worden wel allemaal weergegeven in EMET, maar ze zijn niet per se allemaal beschermd door EMET.
Dezelfde actieve processen zie je in Windows Taakbeheer, tabblad Processen.
De processen die beschermd worden door toegepaste EMET mitigations die worden in de EMET gebruikersinterface weergegeven met een groen bolletje met vinkje onder Running EMET.

En wat jij beschrijft dat is het onder Running Processes rechtsklikken op een nog niet door EMET beschermd proces, en vervolgens kiezen Configure Process.
Die mogelijkheid kende ik nog niet.
Bedankt voor de tip.
26-06-2013, 23:50 door Spiff has left the building
Door Cantalibre, 22:18 uur:
weet alleen niet, hoe ik het uit Emet krijg, want alle vinkjes worden wel verwijderd maar het programma blijft staan, wel in grijze toon.
Door onder EMET\ Apps\ Application Configuration te rechtsklikken op een applicatie krijg je onder meer de optie "Disable All Mitigations". Daarmee schakel je alle mitigations uit voor die applicatie, alle vinkjes verdwijnen dan bij die applicatie.

Het verwijderen van een bepaalde applicatie onder EMET\ Apps\ Application Configuration, dat doe je echter door middel van markeren door aanklikken en vervolgens klikken op de optie "Remove Selected" (het rode kruis).
27-06-2013, 13:02 door AdHd
Door Cantalibre: Het is alleen , is het raadzaam die hook aan te zetten, als je AV of .... er last van zouden kunnen krijgen ? ... Dit is natuurlijk wel een reden om die hook aan te zetten, een progamma zal maar opeens iets mee gaan sturen !
Ik heb op de flags van MBAM na, geen enkel probleem kunnen ontdekken met de Deep-Hooks-functie van EMET. Mijn advies is dan ook om het aan te zetten.


Door Cantalibre: En waarvoor word dit C-pinning ingezet ? Dus altijd Exploxer gebruiken of alleen misschien met secure-sites ?
Nee, ik zou een alternatieve browser met plug-ins aanraden voor het surfen / web-mailen, en nog een andere, aparte browser enkel voor internet-bankieren (mocht je dit via de pc doen).
IE is de meest aangevallen browser, deze zou ik dus (ondanks de extra beveiliging van EMET) links laten liggen.
Voor meer informatie omtrent internet-bankieren verwijs ik je liever door naar Google en naar de "Algemene Voorwaarden" van je bank, ik betaal niets terug als het fout gaat namelijk. ;]


Door Cantalibre:
Door AdHd: ... dus misschien is het handig om deze aan te vullen met certificaten van sites waar je inlogt, zoals van een bank en webmail-client
En wellicht AdHd kun/wil je hier neerzetten, hoe je dat doet ? Of word dat een lange les ?
Heel simpel, in de UI van EMET is een knop "Trust" te vinden (bovenaan-midden). In dit onderdeel zijn 2 tabs, de eerste heeft betrekking op welke sites, en de tweede geeft aan welke regels voor deze sites gebruikt worden. Dit moet je allemaal handmatig invoeren voor zover ik weet.


Door Cantalibre: Is het trouwens aan te raden om elke programma erin te zetten ?
Door AdHd:
Nee, enkel de applicaties die verbindingen maken met internet en/of data / bestanden / scripts kunnen uitvoeren zijn kwetsbaar. Ik denk niet dat jij (veel) van dat soort applicaties hebt geïnstalleerd, dus het is verder niet nodig om deze functie uit te breiden.
Het lijkt mij juist wel goed om mijn software, zoals Babachess-Freemake-diversen in Emet te zetten, dat is toch de bedoeling van Emet ?
Je kunt Babaschess best door EMET laten beschermen, ik vraag me alleen af wat het nut is. Volgens de Babaschess-website zijn er zo'n 10.000 gebruikers, wat dus een kleine doelgroep is in vergelijking met al de moeite die het kost om een fout te vinden en te ontwikkelen tot een bruikbare exploit. Ik zeg nooit nooit, maar de kans is erg klein...
Daarnaast weet ik niet hoe goed Babaschess is ontwikkeld en hoe goed het wordt bijgehouden, kleine foutjes in de software hoeven bij regulier gebruik geen problemen op te leveren, maar kunnen na het inschakelen van bepaalde modules van EMET juist wel onverwachte gevolgen hebben... (Zelf weten dus.)
Hetzelfde geldt eigenlijk voor Freemake.
EDIT: Het gebruik van een goede Firewall is in dit opzicht veel belangrijker!


Door Cantalibre: Dit is volkomen OffTopic maar kan ik MBam zo instellen dat die alles eerst in Quarantine doet ?
Je krijgt deze optie vanzelf te zien als er verdachte bestanden worden aangetroffen. Ik weet het niet 100% zeker, maar volgens mij kun je register-sleutels niet in MBAM-quarantaine plaatsen. Wellicht weet Spiff dit wel uit z'n hoofd???


Door Cantalibre: En pas op met die daken hé, Sinterklaas is er ook al vanaf gedonderd met al zijn pieten over hem heen, en hij vond het heerlijk.......lol
Ah joh, dakloos zijn is ook weer een nieuwe ervaring, maar eigenlijk ging ik er van uit dat jij me wel op zou vangen!
27-06-2013, 13:51 door Spiff has left the building
Door Cantalibre, wo.26-6, 22:36 uur:
Dit is volkomen OffTopic maar kan ik MBam zo instellen dat die alles eerst in Quarantine doet?
Door AdHd, 13:02 uur:
Je krijgt deze optie vanzelf te zien als er verdachte bestanden worden aangetroffen. Ik weet het niet 100% zeker, maar volgens mij kun je register-sleutels niet in MBAM-quarantaine plaatsen. Wellicht weet Spiff dit wel uit z'n hoofd?
Nee, dat weet ik niet.
Dat het niet mogelijk zou zijn register-sleutels in MBAM-quarantaine plaatsen, daarvan was ik nog niet op de hoogte.
En ik heb er bij de recente MBAM-detecties in de thread waar het on-topic was toen niet op gelet, dus ik kan er geen uitsluitsel over geven.
(On-topic in thread https://www.security.nl/artikel/46690/1/Na_Emet_4.0_en_.Net_Framework_geeft_MBam_dit_%3B.html)
07-08-2013, 18:16 door Anoniem
Uit meerdere forums kan leid ik af, dat het gebruik van EMET 4.0 voor veel onduidelijkheid en onzekerheid zorgt.
Ook ik wordt niet gespaard door het vreemde gedrag van EMET 4.0.
Misschien zou Security.nl eens een onderzoek naar het functioneren van dit stukje Microsoft gereedschap moeten doen.
27-08-2013, 17:19 door Spiff has left the building
Door Anoniem, 07-08-2013, 18:16 uur:
Ook ik wordt niet gespaard door het vreemde gedrag van EMET 4.0.
Kun je dan ook aangeven wélk vreemd gedrag?
En dat dan aangeven in een nieuwe forum-thread?
Door de huidige opzet van de site valt een reactie in deze thread van een paar maanden geleden niemand meer op.
04-10-2013, 15:03 door Anoniem
Wat betekent Application Opt In en Application Opt out?
En welke instelling is het meest beveiligd?
04-10-2013, 23:12 door Spiff has left the building
Door Anoniem, 15:03 uur:
Wat betekent Application Opt In en Application Opt out?
Application Opt In: Niets geselecteerd behalve die applicaties die specifiek toegevoegd zijn.
Application Opt Out: Alle applicaties geselecteerd behalve dat wat specifiek uitgesloten is.

Door Anoniem, 15:03 uur:
En welke instelling is het meest beveiligd?
Wat bedoel je precies?
EMET kent veel verschillende instel-mogelijkheden.

Bedoel je de meest beveiligde instelling betreffend Application Opt In/ Application Opt Out, dan zou je kunnen zeggen dat van die twee Application Opt Out de instelling met de meeste beveiliging is, want immers met standaard alles geselecteerd, wanneer niets wordt uitgesloten komt het overeen met Always On.
ASLR is daarbij echter een uitzondering, daarbij is Application Opt In de veilige instelling, omdat ASLR Always On problemen kan veroorzaken.

Voor DEP bieden Always On, of zo nodig Application Opt Out de meeste beveiliging,
voor SEHOP geldt hetzelfde,
en voor ASLR is Application Opt In de veilige instelling.

Bedoelde je je vraag "welke instelling is het meest beveiligd?" algemener, voor alle instellingen van EMET 4.0,
dan kun je
1. eenvoudigweg de EMET 4.0 standaard-configuratie uitvoeren, dat geeft al een aardige beveiliging;
2. via EMET 4.0\ Quick Profile "Recommended security settings" veranderen naar "Maximum security settings";
3. eventueel het met de standaard-configuratie geïnstalleerde profiel "Recommended Software" verwijderen via EMET 4.0\ Apps, en dan vervolgens via EMET 4.0\ Import het profiel "Popular Software" toevoegen, dat een breder pakket software applicaties omvat;
4. en ook kun je onder EMET 4.0\ Apps nog Deep Hooks aanvinken.

Bedoelde je wat anders met je vraag "welke instelling is het meest beveiligd?"
dan nogmaals mijn vraag: Wat bedoel je precies?
04-10-2013, 23:18 door Spiff has left the building
Door Anoniem, 07-08-2013, 18:16 uur:
Ook ik wordt niet gespaard door het vreemde gedrag van EMET 4.0.
Anoniem van 07-08-2013,
Onder de vorige opzet van de site, tussen begin en eind augustus, was je reactie niet meer zichtbaar en viel die niemand meer op.
Maar inmiddels heeft deze thread weer even aandacht.
Mocht je dit nog lezen, kun je dan nog even aangeven wélk vreemd gedrag je eerder bedoelde?
Bedankt alvast.
08-10-2013, 10:33 door Spiff has left the building
Aan Anoniem van 04-10-2013, 15:03 uur,
Beantwoordde mijn reactie van 04-10-2013, 23:12 uur, je vraag, of bedoelde je wat anders met je vraag?
08-10-2013, 13:15 door Anoniem
Door Spiff: Aan Anoniem van 04-10-2013, 15:03 uur,
Beantwoordde mijn reactie van 04-10-2013, 23:12 uur, je vraag, of bedoelde je wat anders met je vraag?

Van Anoniem van 04-10-2013, 15:03 uur voor 4-10-2013, 23:12 door Spiff.
Uw uitleg is erg duidelijk en bedankt voor uw tijd.
Ik zal deze informatie in mijn kennis toevoegen en ik ga nog veder met Emet testen.

Met vriendelijke groet van,
Anoniem.
17-10-2013, 14:48 door Spiff has left the building - Bijgewerkt: 17-10-2013, 15:08
Door Spiff, 04-10-2013, 23:12 uur:
[...]
2. via EMET 4.0\ Quick Profile "Recommended security settings" veranderen naar "Maximum security settings"
[...]

Met onder EMET\ Quick Profile de instelling "Maximum security settings",
is onder EMET\ System Status de instelling voor DEP "Always On".
Dit forceert het toepassen van DEP op alle programma's en services.

Ik verwachtte dat dit zou overeenkomen met de instelling voor DEP "Application Opt Out" zonder uitgesloten applicaties
(en dit overeenkomend met de instelling voor DEP onder
Configuratiescherm\ Systeem en onderhoud\ Systeem\ Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde" zonder geselecteerde applicaties).

Gisteren ontdekte ik echter dat EMET\ Quick Profile "Maximum security settings", dus met DEP "Always On", toch anders kan uitpakken dan DEP "Application Opt Out" zonder uitgesloten applicaties (overeenkomend met "DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde" zonder geselecteerde applicaties).

Met met DEP "Always On" bleek DEP de applicatie DesktopOK te stoppen.
(http://www.softwareok.com/?Freeware/DesktopOK)
Met DEP "Application Opt Out" zonder uitgesloten applicaties treedt dit niet op.
Merkwaardig.
Ik zie vooralsnog niet wat het verschil kan zijn tussen DEP "Always On" en DEP "Application Opt Out" zonder uitgesloten applicaties.
Ik heb het fenomeen doorgegeven aan de ontwikkelaar van DesktopOK, zodat die er eens naar kan kijken.

Ik heb op mijn systeem nu de instelling EMET\ System Status DEP "Application Opt Out" zonder uitgesloten applicaties (overeenkomend met "DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde" zonder geselecteerde applicaties).
Onder EMET\ Quick Profile is de instelling dan "Custom security settings".

Hieruit blijkt dat in sommige gevallen voor EMET de instelling Quick Profile "Maximum security settings" een probleem kan geven en een "Custom security setting" nodig kan zijn.
In mijn geval dus DEP System Status DEP "Application Opt Out" (zonder uitgesloten applicaties).

Tot zover mijn beschrijving van wat ik gisteren ontdekte.
Mocht ik een reactie ontvangen van de ontwikkelaar van DesktopOK die een verklaring biedt van het beschreven fenomeen, dan zal ik dat nog melden.
24-11-2013, 23:32 door Spiff has left the building - Bijgewerkt: 13-09-2014, 14:17
Zonet heb ik in een andere thread
https://www.security.nl/posting/369778/Gratis+Windowsbeveiliging+EMET+blokkeert+alle+exploits+in+test
in een verlate reactie nog een tip uitgeschreven over
hoe EMET 4 in te stellen,
althans, een beschrijving van hoe ik dat doe.
Zie: https://www.security.nl/posting/369778#posting370536

Volledigheidshalve zal ik die beschrijving van hoe ik EMET 4 instel ook hier nog neerzetten,
voor wie er eventueel wat aan kan hebben.

Hieronder een beschrijving van de EMET 4.1 instellingen zoals ik die toepas.
(Een ander kan andere voorkeuren hebben.)


Bij het installeren van EMET, kies "Use Recommended settings".
Na installeren,
open de EMET gebruikersinterface, en maak instellingen naar wens:

EMET\ Skin:
Kies een skin naar eigen voorkeur.
Ik kies Seven Classic.

EMET\ Quick Profile:
Probeer de instelling "Maximum security settings".
Dat levert de volgende instellingen:
DEP: "Always On"
SEHOP: "Always On" (Vista) of "Application Opt Out" (Windows 7 en 8)
ASLR: "Application Opt In"
Pinning: "Enabled"

Levert DEP "Always On" op een gegeven moment onverhoopt een probleem met een of meerdere applicaties, gebruik voor DEP dan de instelling "Application Opt Out".
Onder EMET Quick Profile wordt dan vervolgens weergegeven "Custom security settings".
(Er bestaat in dat geval de kans dat elders in Windows dan een uitzondering voor DEP ingesteld moet worden voor die betreffende applicatie(s).
Dat doe je dan zo nodig onder
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde"
waar je dan zo nodig de applicatie(s) kunt toevoegen die uitgesloten moet(en) worden van controle door DEP.)

Verder,
verwijder het relatief beperkte standaard-profiel "Recommended Software":
EMET\ Apps:
Selecteer onder Appication Configuration\ Mitigations alle apps waarop mitigations zijn toegepast (dat is na de standaard-configuratie het profiel "Recommended Software"),
alle apps selecteren dat doe je door middel van het indrukken en vasthouden van de Shift-toets en vervolgens de eerste en de laatste app aanklikken en dan de Shift-toets loslaten.
Rechtsklik en kies "Disable All Mitigations",
klik nu het rode kruis, "Remove Selected",
Bevestig met OK.

Nu installeer je vervolgens het uitgebreidere profiel "Popular Software".
EMET\ Import:
kies:
C:\Program Files\EMET 4.1\Deployment\Protection Profiles\Popular Software.xml
Dit past de EMET mitigations toe op een relatief uitgebreide voorgeselecteerde reeks programma's.
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder Apps\ Appication Configuration\ Mitigations.

EMET\ Apps\ Appication Configuration:
Vink daar ook aan "Deep Hooks".
N.B.1
aanvulling 6-12-2013, betreffend Deep Hooks:

Onder Windows 8 en Windows 8.1 is het mogelijk beter om Deep Hooks niet aan te vinken.
Zie: https://www.security.nl/posting/41491#posting371821
N.B.2
aanvulling 15-06-2014, betreffend Deep Hooks:

Vanaf EMET 4.1 Update 1, uitgegeven 29-04-2014, wordt de mitigation setting Deep Hooks standaard toegepast.

Ten slotte,
loop zekerheidshalve EMET User's Guide "Table 7: Common Software Compatibility Matrix", pagina 40-42 na, en vergelijk de geadviseerde op de diverse applicaties toe te passen mitigations met de daadwerkelijk toegepaste mitigations zoals je die ziet onder EMET\ Apps\ Appication Configuration\ Mitigations.
Mochten bepaalde mitigations niet correct zijn toegepast zoals die worden aangegeven in tabel 7, dan kun je die zo nodig handmatig aanpassen.
(Bij mij ontbraken onder EMET 4.1 de SEHOP mitigations voor 7-Zip.)
(N.B. Let wel op de uitzonderingen die in tabel 7 zijn aangegeven met "(1)". De met "(1)" aangeduide SEHOP-mitigations voor Windows Media Player, Google Chrome en Google Talk zijn enkel van toepassing op Windows 7/Server 2008R2 en latere Windows versies, en niet op Windows XP/Server 2003 en Windows Vista/Server 2008.)

Veel succes.
24-11-2013, 23:42 door Spiff has left the building - Bijgewerkt: 13-09-2014, 14:17
05-12-2013, 23:58 door Spiff has left the building
Een toevoeging, gekopieerd uit deze nieuwsartikel-thread
https://www.security.nl/posting/369778/Gratis+Windowsbeveiliging+EMET+blokkeert+alle+exploits+in+test
als reactie op deze bijdrage in die thread, van Anoniem, 25-11-2013, 01:27 uur
https://www.security.nl/posting/369778#posting370542
mijn reactie:
https://www.security.nl/posting/369778#posting371820:

Door Anoniem, 25-11-2013, 01:27 uur:
Als ik in Win8 of Win8.1 Deep Hooks aan vink, wil Internet Explorer niet meer opstarten.
Ook andere opstart programma's/services van Win8/8.1 lijken dan problemen te krijgen.
Deep Hooks weer uitzetten lijkt bij Win8/8.1 beter te zijn??
Daar lijkt het dan wel op, ja.
Wellicht staat om die reden Deep Hooks niet standaard aangevinkt.
Verder heb ik hier geen kennis over en kan ik er niets zinnigs over zeggen.

Door Anoniem, 25-11-2013, 01:27 uur:
Als je EMET opent zie je een lijst met running processes. Als je die lijst blauw blokt en dan de rechter muistoets inklikt, worden deze processen ook opgenomen in de bescherming. Bij deze opname wordt van sommige processen vermeld dat de opname niet kan (een error dus), de rest wordt toegevoegd aan de Apps-lijst.
Ik vraag mij wel af of deze handelswijze OK is??
Het is een mogelijkheid.
Ik heb die mogelijkheid niet genoemd, omdat ik voor de processen die niet zijn opgenomen in het Popular Software Protection Profile en in "Table 7: Common Software Compatibility Matrix" op pagina 40-42 van de EMET User's Guide niet weet welke mitigations er wel en niet zonder problemen op toegepast kunnen worden.
Je kunt dat voor 'niet opgenomen' processen/apps eventueel zelf uitproberen, maar ik kan je er niets zinnigs over zeggen. Nogmaals, dat is waarom ik niets over die mogelijkheid heb vermeld.
21-01-2015, 14:42 door Anoniem
I know this web site provides quality depending articles and additional information, is there
any other website which presents these kinds of stuff in quality
21-01-2015, 18:48 door Eric-Jan H te D
Door Spiff:Wellicht staat om die reden Deep Hooks niet standaard aangevinkt.
Verder heb ik hier geen kennis over en kan ik er niets zinnigs over zeggen.

Misschien kun je je de discussies van jaren geleden herinneren. Er was toe sprake van het feit dat MS in zijn eigen toepassingssoftware gebruikmaakte van verborgen en niet openbare mogelijkheden van het OS.

Het zou mij niets verbazen dat MS weer van deze mogelijkheden gebruik maakt om de software nog een beetje performance te geven. Een touchscreen stelt zo zijn eisen om niet het gevoel te hebben dat je met je vingers door de dikke shit aan het slepen bent met je "multi finger gestures"
21-01-2015, 19:38 door Spiff has left the building - Bijgewerkt: 21-01-2015, 19:40
Door Spiff, 05-12-2013, 23:58 uur:
Wellicht staat om die reden Deep Hooks niet standaard aangevinkt.
Verder heb ik hier geen kennis over en kan ik er niets zinnigs over zeggen.
Door Eric-Jan H te A, 21-01-2015, 18:48 uur:
Misschien kun je je de discussies van jaren geleden herinneren. Er was toe sprake van het feit dat MS in zijn eigen toepassingssoftware gebruikmaakte van verborgen en niet openbare mogelijkheden van het OS.
Het zou mij niets verbazen dat MS weer van deze mogelijkheden gebruik maakt om de software nog een beetje performance te geven. Een touchscreen stelt zo zijn eisen om niet het gevoel te hebben dat je met je vingers door de dikke shit aan het slepen bent met je "multi finger gestures"

Um, Eric-Jan, realiseerde je je dat je op een bijdrage van december 2013 reageerde?
Sinds EMET 4.1 Update 1, van 30 april 2014, staat Deep Hooks standaard aangevinkt in EMET.
Deze thread kwam slechts weer naar boven door de totaal ongerelateerde vraag van Anoniem 14:42 uur vandaag.
P.S.
De performance is er met EMET 5.x wel vanaf, met name door de EAF+ mitigation voor de browsers.
Dat is onder meer in de EMET 5.1 thread besproken (https://www.security.nl/posting/408206/).

And @ Anoniem (Anonymous) 14:42 today,
This thread is not at all related to your question.
Perhaps you could ask in a new post, that you can start through https://www.security.nl/community/submit/1
Good luck.
22-01-2015, 00:33 door Eric-Jan H te D
Je hebt gelijk Spiff, was me helemaal ontgaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.