суббота, 4 сентября 2010 г.

EMET от Микрософт

Странный заголовок, не так ли? На самом деле ничего странного. Это, скажем так, обновленная утилита от Microsoft. Она призвана помочь пользователям, а в первую очередь администраторам, бороться за безопасность своих компьютеров. Полное ее название Enhanced Mitigation Experience Toolkit. По большому счету утилита помогает настроить некоторые технологии защиты от различного рода уязвимостей для каждого процесса в отдельности. Проще говоря, с ее помощью можно включить или отключить для каждого конкретного процесса такие защитные технологии как SEHOP, DEP (ч1,ч2), Heapspray Allocations, Null page allocation, Mandatory Address Space Layout Randomization (ASLR), Export Address Table Access Filtering (EAF). Тут, правда, стоит отметить, что бороться с Heapspray Allocations предлагается довольно оригинальным методом. Я бы сказал что это не столько борьба, сколько игра в дартс :), но все же лучше чем ничего. Основным назначением этих технологий и утилиты в целом – уберечь нас от 0day эксплоитов, для которых еще не вышли патчи. В случае, если к приложение, защищенное EMET и работающее на вашем компьютере подвергнется воздействию такого эксплоита, приложение просто завершит свою работу, не дав отработать вредному коду. По этому не забывайте аккуратно и корректно пользоваться автоматическими обновлениями продуктов Microsoft :).

Кроме всего прочего работу утилиты можно конфигурировать из командной строки:

C:\Program Files\EMET>EMET_Conf.exe
Usage: EMET_Conf.exe [--list | --add path\program.exe | --delete path\program.exe | --delete_all]

таким образом во избежание всяких неприятностей есть смысл установить эту утилиту на всех клиентских компьютерах домена и включить все возможные защитные механизмы как минимум для процессов браузеров, установленых в системе. Благо и то и другое можно делать удаленно, напимер так

set user=domain\admin
set password=P@aasword1
psexec -u %user% -p %password% –i \\host msiexec /i \\server\folder\EMET Setup.msi /quiet
psexec -u %user% -p %password% –i \\host “c:\program files\emet\EMET_Conf.exe” –add “c:\program files\internet explorer\iexplore.exe”

скрипт не проверял, но общий принцип, думаю, ясен. Загвоздка может быть в формате команд и кавычках.

Отправить комментарий