Teamspeak

Suche

Unterstützung

Unterstütze SN-LAN durch deinen Einkauf über diesen Link:
Unterstützung über Amazon
Vielen Dank !

Anmeldung

Besucherzähler

Heute45
Diese Woche169
Diesen Monat1215
Insgesamt139328

Aktuell sind 52 Gäste und ein Mitglied online

  • Mousepadd

Wer ist im Forum online

Derzeit 5 Gäste und 1 Benutzer online

Enhanced Mitigation Experience Toolkit (EMET) - Schutz vor Exploits (Tutorial)

1 1 1 1 1 1 1 1 1 1 (0 Bewertungen)

EMET 3.0 für Windows

Ich bin vor kurzem auf ein Sicherheits-Tool von Microsoft gestoßen, welches zumindest im privaten Sektor  wohl eher weniger bekannt sein dürfte, obwohl es dieses Tool schon einige Jahre gibt. Es handelt sich hierbei um das Enhanced Mitigation Experience Toolkit (kurz EMET), welches aktuell in der Version 3 vorliegt (für die Version 3.5 gibt es bereits einen Tech-Preview).

EMET ist ein kleines Programm, welches mittels zahlreicher Sicherheitsmechanismen zu verhindern versucht, dass Sicherheitslücken in Programmen ausgenutzt werden können (Exploit), um einen unberechtigten Zugriff auf das Betriebssystem zu erlangen. Hierbei verändert es nicht die einzelnen zu schützenden Programme, sondern erschwert den Zugriff auf diese Sicherheitslücken - auch wenn es dabei natürlich keinen 100%-igen Schutz bieten kann. Dazu werden teilweise auch einfach nur bereits durch das Betriebssystem vorhandene Sicherheitsfunktionen für Programme aktiviert, welche im Normalzustand nicht aktiv sind.

Zu den unterschiedlichen durch EMET genutzten Sicherheitstechniken zählen:Enhanced Mitigation Experience Toolkit - EMET

Eine genauere Erklärung der einzelnen Techniken findet man in diesem HeiseSecurity-Artikel.

EMET 3.5 (Tech Preview) bietet folgende zusätzliche Sicherheitstechniken:

  • Caller
  • SimExecFlow
  • StackPivot
  • LoadLib & MemProt

Eine kurze (englische) Erläuterung dazu findet ihr hier und ein paar Details auf deutsch gibt es hier.

Ok, diese ganzen Abkürzungen muss man nicht kennen oder gar verstehen - darüber sollen sich die Experten einen Kopf machen. Wichtig ist nur, dass dadurch so mancher Angriff auf das System erschwert wird und evtl. somit sogar ins Leere läuft. Allerdings sollte man EMET behutsam einsetzen, da durch die Aktivierung der Sicherheitsmechanismen evtl. die Funktionsfähigkeit eines Programms beeinflußt werden kann. Dies muss im Einzelfall getestet werden. Zum Glück kann man jedoch für jedes Programm separat einstellen, ob und welche Funktionen aktiviert werden sollen. Für die gängigsten Programme stellt Microsoft bereits eine Konfigurationsdatei zur Verfügung (dazu später mehr). Normalerweise sollte man mit EMET auch nur Programme schützen, welche direkt mit dem Internet in Kontakt kommen (z.B. Browser, Mailprogramme, Chatprogramme usw.).

Wer sich ein klein wenig mit der Materie rund um EMET beschäftigen möchte, der kann sich z.B. hier belesen: Schutzmassnahmen gegen Drive-by-Attacken – Teil I, Teil II und Teil III. Auch TecChannel hat einen kleinen Artikel über EMET veröffentlicht.

 


 

Tutorial

Kommen wir nun aber zum eigentlichen Tutorial für die Installation und Einrichtung des Enhanced Mitigation Experience Toolkits (hier für Windows 7).

Zuerst müsst ihr euch das Programm herunterladen. Es handelt sich hierbei um eine MSI-Datei (Microsoft Installer) mit Namen EMET Setup.msi:

EMET Download

Diese könnt ihr dann einfach mit einem Doppelklick installieren - es sind keine besonderen Einstellungen zu beachten:

EMET Installation 1 EMET Installation 2 EMET Installation 3 EMET Installation 4

Falls ihr den Installationspfad nicht geändert habt, befindet sich das Tool nun im Programme-Ordner auf dem Betriebssystem-Laufwerk (bei 64-Bit im Ordner "Programme (x86)"). Damit die Sicherheitsfunktionen nun auch greifen können, müssen wir EMET natürlich sagen, für welche gefährdeten Programme welche Techniken aktiviert werden sollen.

Dazu bietet uns Microsoft bereits 3 voreingestellte Konfigurationen an. Diese befinden sich als XML-Datei im Unterordner \Deployment\Protection Profiles des EMET-Ordners und heissen: Internet Explorer.xml, Office Software.xml und All.xml.
Die erste schützt nur den Browser Internet Explorer.
Die zweite Datei schützt zusätzlich neben dem Internet Explorer noch sämtliche MS-Office-Produkte sowie Adobe Reader und Adobe Acrobat.
Mit der letzten Datei All.xml werden zusätzlich zu den vorher genannten Programmen u.a. auch noch Skype, Windows Media Player, Winamp, VLC, iTunes, Google Chrome und Talk, Mozilla Firefox und Thunderbird, Opera sowie Adobe Photoshop, WinRar, WinZip, 7-Zip und Java Version 6 geschützt.

Um diese Vorkonfigurationen in EMET einbinden zu können, müsst ihr folgende Schritte durchführen.

Kopiert die gewünschte XML-Datei (ich empfehle All.xml) aus dem Unterordner in den EMET-Programmordner, wo sich auch die Datei emet_conf.exe befindet:

EMET Profil kopieren EMET Profil einfügen

Jetzt kommt der minimal schwierigere Teil. Öffnet eine Kommandozeile als Administrator. Dazu tippt ihr im Startmenü ganz unten im Such-Feld "Programme/Dateien durchsuchen" einfach cmd.exe ein ohne danach die Eingabetaste zu betätigen. Darauf hin sollte im oberen Bereich das Symbol der Datei cmd.exe erscheinen. Hier klickt ihr mit der rechten Maustaste drauf und wählt dann "Als Administrator ausführen" aus. Es öffnet sich nun ein Kommandozeilenfenster. Hier wechselt ihr nun in das EMET-Programmverzeichnis (siehe Bild) und tippt dann folgenden Befehl ein: emet_conf.exe --import All.xml (wichtig sind die 2 Striche vor import).

EMET Profil importieren

Die Erfolgsmeldung sollte ähnlich dem oberen Bild aussehen. Nun habt ihr zumindest einen Grundschutz eingerichtet. Am besten startet ihr jetzt euren Computer einmal neu, denn die Einstellungen für die einzelnen Programme werden erst übernommen, wenn diese nach der Einrichtung einmal neu gestartet werden.

Natürlich könnt ihr auch weitere Programme hinzufügen. Diesmal könnt ihr jedoch die grafische Oberfläche von EMET nutzen. Dazu müsst ihr das Programm starten - es befindet sich im Startmenü im Unterordner Enhanced Mitigation Experience Toolkit.

EMET Benutzeroberfläche

In dem Fenster könnt ihr sehen, welche Prozesse derzeit aktiv sind und ob sie mittels EMET geschützt werden. Um weitere Programme zu schützen klickt ihr einfach unten rechts auf Configure Apps:

EMET Anwendungsübersicht

Hier seht ihr alle Anwendungen und welche einzelnen Schutzmechanismen für diese aktiviert sind. Mit einem Klick auf Add öffnet sich ein Dateiauswahlfenster, über das ihr die entsprechende Datei hinzufügen könnt (im Beispiel hier das FTP-Programm filezilla):

EMET Programm hinzufügen

Nach einem Klick auf Öffnen befindet sich das Programm ebenfalls in der Liste und alle Schutzmechanismen sind automatisch aktiviert worden:

EMET Programm hinzugefügt

Ihr müsst nun einfach testen, ob das hinzugefügte Programm weiterhin fehlerfrei funktioniert. Evtl. hilft auch eine kurze Google-Suche, um bösen Überraschungen vorzubeugen. Allerdings sollte dies eher die Ausnahme sein, sonst hätte ich sicher schon mehrere Meldungen darüber im Internet gefunden.
Nach dem Hinzufügen (oder auch Entfernen) eines Programms muss dieses einmal neu gestartet werden, damit die Änderungen wirksam werden. Das EMET-Fenster sollte nun auch geschlossen werden.

EMET überwacht nun permanent die entsprechenden Prozesse. Sollte es zu einem unerlaubten Zugriff kommen, wird eine entsprechende Meldung durch den EMET-Notifier generiert, welcher sich unten rechts in der Taskleiste im Tray befindet:

EMET Notifier  EMET Meldungsfenster

Bei einem unerlaubten Zugriff wird zudem die entsprechende Anwendung geschlossen.

Ich hoffe, ich konnte euch das Enhanced Mitigation Experience Toolkit etwas näher bringen, obwohl ich selbst natürlich kein IT-Sicherheitsexperte bin. Probiert es einfach mal aus, denn schaden kann es ja nicht, ein klein wenig sicherer im Internet unterwegs zu sein...

Quelle: Microsoft, Microsoft Technet, Wikipedia,
Heise, TecChannel, Switch Security Blog 


Kommentare (2)

Cancel or

    Ich hab EMET installiert und werde hier berichten, falls ich auf irgendwelche Inkompatibilitäten stoße...
    Ich hatte jetzt ein Problem mit den neueren Versionen vom Google Chrome Browser. Die zum jetzigen Zeitpunkt neuste Version 28 funktionierte gar nicht mehr. EMET war das Problem. Inzwischen gibt es aber eine Version 4.0 von EMET, mit der das Problem nicht mehr auftritt. Ein Artikel-Update folgt bald.

Rennkalender

AssettoCorsa_Logo

2. Saison - GT3 Championship

12 Rennen (beendet)

aktueller Tabellenstand

Rennen: jeden Mi, 20:00 Uhr
Saisonbeginn: 08. Juni 2016


Tabellen Race07:
1. Saison, 2. Saison3. Saison,
4. Saison5. Saison

Tabellen ProjectCARS:
1. Saison

Tabellen Assetto Corsa:
E30-DTM, GT3


Diskussionsthema im Forum

Wir zocken ...

* über Steam

Schließ dich uns an...

Wallpaper des Tages

Kalender

<< Oktober 2017 >> 
 Mo  Di  Mi  Do  Fr  Sa  So 
        1
  2  3  4  5  6  7  8
  9101112131415
16171819202122
23242526272829
3031     

Empfehle SN-LAN weiter

SN-LAN RSS-Feed
Finde SN-LAN auf Facebook
Folge SN-LAN auf Twitter