Ich bin vor kurzem auf ein Sicherheits-Tool von Microsoft gestoßen, welches zumindest im privaten Sektor  wohl eher weniger bekannt sein dürfte, obwohl es dieses Tool schon einige Jahre gibt. Es handelt sich hierbei um das Enhanced Mitigation Experience Toolkit (kurz EMET), welches aktuell in der Version 3 vorliegt (für die Version 3.5 gibt es bereits einen Tech-Preview).

EMET ist ein kleines Programm, welches mittels zahlreicher Sicherheitsmechanismen zu verhindern versucht, dass Sicherheitslücken in Programmen ausgenutzt werden können (Exploit), um einen unberechtigten Zugriff auf das Betriebssystem zu erlangen. Hierbei verändert es nicht die einzelnen zu schützenden Programme, sondern erschwert den Zugriff auf diese Sicherheitslücken - auch wenn es dabei natürlich keinen 100%-igen Schutz bieten kann. Dazu werden teilweise auch einfach nur bereits durch das Betriebssystem vorhandene Sicherheitsfunktionen für Programme aktiviert, welche im Normalzustand nicht aktiv sind.

Zu den unterschiedlichen durch EMET genutzten Sicherheitstechniken zählen:

• DEP (Data Execution Prevention)
• ASLR (Adress Space Layout Randomization)
• SEHOP (Structured Exception Handler Overwrite Protection)
• Null Page Mitigation
• Anti-Heap-Spraying
• EAF (Export Address Table Access Filtering)

Eine genauere Erklärung der einzelnen Techniken findet man in diesem HeiseSecurity-Artikel.

EMET 3.5 (Tech Preview) bietet folgende zusätzliche Sicherheitstechniken:

• Caller
• SimExecFlow
• StackPivot
• LoadLib & MemProt

Eine kurze (englische) Erläuterung dazu findet ihr hier und ein paar Details auf deutsch gibt es hier.

Ok, diese ganzen Abkürzungen muss man nicht kennen oder gar verstehen - darüber sollen sich die Experten einen Kopf machen. Wichtig ist nur, dass dadurch so mancher Angriff auf das System erschwert wird und evtl. somit sogar ins Leere läuft. Allerdings sollte man EMET behutsam einsetzen, da durch die Aktivierung der Sicherheitsmechanismen evtl. die Funktionsfähigkeit eines Programms beeinflußt werden kann. Dies muss im Einzelfall getestet werden. Zum Glück kann man jedoch für jedes Programm separat einstellen, ob und welche Funktionen aktiviert werden sollen. Für die gängigsten Programme stellt Microsoft bereits eine Konfigurationsdatei zur Verfügung (dazu später mehr). Normalerweise sollte man mit EMET auch nur Programme schützen, welche direkt mit dem Internet in Kontakt kommen (z.B. Browser, Mailprogramme, Chatprogramme usw.).

Wer sich ein klein wenig mit der Materie rund um EMET beschäftigen möchte, der kann sich z.B. hier belesen: Schutzmassnahmen gegen Drive-by-Attacken – Teil I, Teil II und Teil III. Auch TecChannel hat einen kleinen Artikel über EMET veröffentlicht.

Tutorial

Kommen wir nun aber zum eigentlichen Tutorial für die Installation und Einrichtung des Enhanced Mitigation Experience Toolkits (hier für Windows 7).

Zuerst müsst ihr euch das Programm herunterladen. Es handelt sich hierbei um eine MSI-Datei (Microsoft Installer) mit Namen EMET Setup.msi:

Diese könnt ihr dann einfach mit einem Doppelklick installieren - es sind keine besonderen Einstellungen zu beachten:

Falls ihr den Installationspfad nicht geändert habt, befindet sich das Tool nun im Programme-Ordner auf dem Betriebssystem-Laufwerk (bei 64-Bit im Ordner "Programme (x86)"). Damit die Sicherheitsfunktionen nun auch greifen können, müssen wir EMET natürlich sagen, für welche gefährdeten Programme welche Techniken aktiviert werden sollen.

Dazu bietet uns Microsoft bereits 3 voreingestellte Konfigurationen an. Diese befinden sich als XML-Datei im Unterordner \Deployment\Protection Profiles des EMET-Ordners und heissen: Internet Explorer.xml, Office Software.xml und All.xml.
Die erste schützt nur den Browser Internet Explorer.
Die zweite Datei schützt zusätzlich neben dem Internet Explorer noch sämtliche MS-Office-Produkte sowie Adobe Reader und Adobe Acrobat.
Mit der letzten Datei All.xml werden zusätzlich zu den vorher genannten Programmen u.a. auch noch Skype, Windows Media Player, Winamp, VLC, iTunes, Google Chrome und Talk, Mozilla Firefox und Thunderbird, Opera sowie Adobe Photoshop, WinRar, WinZip, 7-Zip und Java Version 6 geschützt.

Um diese Vorkonfigurationen in EMET einbinden zu können, müsst ihr folgende Schritte durchführen.

Kopiert die gewünschte XML-Datei (ich empfehle All.xml) aus dem Unterordner in den EMET-Programmordner, wo sich auch die Datei emet_conf.exe befindet:

Jetzt kommt der minimal schwierigere Teil. Öffnet eine Kommandozeile als Administrator. Dazu tippt ihr im Startmenü ganz unten im Such-Feld "Programme/Dateien durchsuchen" einfach cmd.exe ein ohne danach die Eingabetaste zu betätigen. Darauf hin sollte im oberen Bereich das Symbol der Datei cmd.exe erscheinen. Hier klickt ihr mit der rechten Maustaste drauf und wählt dann "Als Administrator ausführen" aus. Es öffnet sich nun ein Kommandozeilenfenster. Hier wechselt ihr nun in das EMET-Programmverzeichnis (siehe Bild) und tippt dann folgenden Befehl ein: emet_conf.exe --import All.xml (wichtig sind die 2 Striche vor import).

Die Erfolgsmeldung sollte ähnlich dem oberen Bild aussehen. Nun habt ihr zumindest einen Grundschutz eingerichtet. Am besten startet ihr jetzt euren Computer einmal neu, denn die Einstellungen für die einzelnen Programme werden erst übernommen, wenn diese nach der Einrichtung einmal neu gestartet werden.

Natürlich könnt ihr auch weitere Programme hinzufügen. Diesmal könnt ihr jedoch die grafische Oberfläche von EMET nutzen. Dazu müsst ihr das Programm starten - es befindet sich im Startmenü im Unterordner Enhanced Mitigation Experience Toolkit.

In dem Fenster könnt ihr sehen, welche Prozesse derzeit aktiv sind und ob sie mittels EMET geschützt werden. Um weitere Programme zu schützen klickt ihr einfach unten rechts auf Configure Apps:

Hier seht ihr alle Anwendungen und welche einzelnen Schutzmechanismen für diese aktiviert sind. Mit einem Klick auf Add öffnet sich ein Dateiauswahlfenster, über das ihr die entsprechende Datei hinzufügen könnt (im Beispiel hier das FTP-Programm filezilla):

Nach einem Klick auf Öffnen befindet sich das Programm ebenfalls in der Liste und alle Schutzmechanismen sind automatisch aktiviert worden:

Ihr müsst nun einfach testen, ob das hinzugefügte Programm weiterhin fehlerfrei funktioniert. Evtl. hilft auch eine kurze Google-Suche, um bösen Überraschungen vorzubeugen. Allerdings sollte dies eher die Ausnahme sein, sonst hätte ich sicher schon mehrere Meldungen darüber im Internet gefunden.
Nach dem Hinzufügen (oder auch Entfernen) eines Programms muss dieses einmal neu gestartet werden, damit die Änderungen wirksam werden. Das EMET-Fenster sollte nun auch geschlossen werden.

EMET überwacht nun permanent die entsprechenden Prozesse. Sollte es zu einem unerlaubten Zugriff kommen, wird eine entsprechende Meldung durch den EMET-Notifier generiert, welcher sich unten rechts in der Taskleiste im Tray befindet:

Bei einem unerlaubten Zugriff wird zudem die entsprechende Anwendung geschlossen.

Ich hoffe, ich konnte euch das Enhanced Mitigation Experience Toolkit etwas näher bringen, obwohl ich selbst natürlich kein IT-Sicherheitsexperte bin. Probiert es einfach mal aus, denn schaden kann es ja nicht, ein klein wenig sicherer im Internet unterwegs zu sein...

Quelle: Microsoft, Microsoft Technet, Wikipedia,
Heise, TecChannel, Switch Security Blog