6 mẹo nâng cao để bảo mật ứng dụng trên PC của bạn với EMET
Bộ công cụ trải nghiệm giảm thiểu nâng cao là bí mật bảo mật được lưu giữ tốt nhất của Microsoft. Thật dễ dàng để cài đặt EMET và nhanh chóng bảo mật nhiều ứng dụng phổ biến, nhưng bạn có thể làm được nhiều hơn với EMET.
EMET sẽ không bật lên và đặt câu hỏi cho bạn, vì vậy đây là giải pháp thiết lập và quên nó sau khi bạn thiết lập. Đây là cách bảo mật nhiều ứng dụng hơn với EMET và sửa chúng nếu chúng bị hỏng.
Biết nếu EMET phá vỡ một ứng dụng
Nếu một ứng dụng làm điều gì đó mà quy tắc EMET của bạn không cho phép, EMET sẽ tắt ứng dụng - dù sao đó cũng là cài đặt mặc định. EMET đóng các ứng dụng hoạt động theo cách có khả năng không an toàn để không xảy ra khai thác. Windows không làm điều này cho tất cả các ứng dụng theo mặc định vì nó sẽ phá vỡ tính tương thích với nhiều ứng dụng Windows cũ đang sử dụng hiện nay.
Nếu một ứng dụng bị hỏng, ứng dụng sẽ tắt ngay lập tức và bạn sẽ thấy một cửa sổ bật lên từ biểu tượng EMET trong khay hệ thống của bạn. Nó cũng sẽ được ghi vào nhật ký sự kiện Windows - các tùy chọn này có thể được tùy chỉnh từ hộp Báo cáo trên ruy-băng ở đầu cửa sổ EMET.
Sử dụng phiên bản Windows 64 bit
Các phiên bản Windows 64 bit an toàn hơn vì chúng có quyền truy cập vào các tính năng như ngẫu nhiên bố cục không gian địa chỉ (ASLR). Không phải tất cả các tính năng này sẽ khả dụng nếu bạn đang sử dụng phiên bản Windows 32 bit. Giống như Windows, các tính năng bảo mật của EMET toàn diện và hữu ích hơn trên PC 64 bit.
Khóa các quy trình cụ thể
Bạn có thể muốn khóa các ứng dụng cụ thể thay vì toàn bộ hệ thống của bạn. Tập trung vào các ứng dụng rất có thể bị xâm phạm. Điều này có nghĩa là trình duyệt web, trình cắm trình duyệt, chương trình trò chuyện và bất kỳ phần mềm nào khác giao tiếp với Internet hoặc mở các tệp đã tải xuống. Các dịch vụ và ứng dụng hệ thống cấp thấp chạy ngoại tuyến mà không mở bất kỳ tệp nào đã tải xuống sẽ ít gặp rủi ro hơn. Nếu bạn có một số ứng dụng kinh doanh quan trọng - có lẽ là một ứng dụng truy cập Internet - đó có thể là ứng dụng bạn muốn bảo mật nhất.
Để bảo mật ứng dụng đang chạy, hãy xác định vị trí của nó trong danh sách EMET, nhấp chuột phải vào ứng dụng đó và chọn Cấu hình quy trình.
(Nếu bạn muốn bảo mật một quy trình không chạy, hãy mở cửa sổ Ứng dụng và sử dụng các nút Thêm ứng dụng hoặc Thêm ký tự đại diện.)
Cửa sổ Cấu hình ứng dụng sẽ xuất hiện cùng với ứng dụng của bạn được tô sáng. Theo mặc định, tất cả các quy tắc sẽ tự động được kích hoạt. Chỉ cần nhấp vào nút OK ở đây để áp dụng tất cả các quy tắc.
Nếu ứng dụng của bạn không hoạt động chính xác, bạn sẽ muốn quay lại đây và thử vô hiệu hóa một số hạn chế cho ứng dụng đó. Vô hiệu hóa từng cái một cho đến khi ứng dụng hoạt động và bạn có thể cách ly vấn đề.
Nếu bạn hoàn toàn không muốn hạn chế một ứng dụng, hãy chọn nó trong danh sách và nhấp vào nút Xóa Đã chọn để xóa các quy tắc của bạn và đưa ứng dụng trở về trạng thái mặc định của nó.
Thay đổi quy tắc toàn hệ thống
Phần Trạng thái hệ thống cho phép bạn chọn các quy tắc toàn hệ thống. Bạn có thể muốn gắn bó với các mặc định, cho phép các ứng dụng chọn tham gia các biện pháp bảo vệ này.
Bạn có thể chọn Luôn luôn trên ứng dụng trên ứng dụng hoặc trên ứng dụng của Google. Điều này có thể phá vỡ nhiều ứng dụng, đặc biệt là những ứng dụng cũ hơn. Nếu các ứng dụng bắt đầu hoạt động sai, bạn có thể hoàn nguyên về cài đặt mặc định hoặc tạo ra các quy tắc chọn không tham gia quy định đối với các ứng dụng.
Để tạo quy tắc từ chối, bấm chuột phải vào một quy trình và chọn Cấu hình quy trình. Bỏ chọn loại bảo vệ mà bạn muốn từ chối - vì vậy, nếu bạn muốn từ chối ASLR trên toàn hệ thống, bạn sẽ bỏ chọn các hộp kiểm Bắt buộcASLR và bottomUpASLR cho quy trình đó. Nhấn OK để lưu quy tắc của bạn.
Lưu ý rằng chúng tôi đã kích hoạt Luôn luôn trên On cho đối với DEP ở trên, vì vậy chúng tôi không thể tắt DEP cho bất kỳ quy trình nào trong cửa sổ Cấu hình ứng dụng bên dưới.
Quy tắc kiểm tra trong Chế độ chỉ kiểm tra trên Chế độ kiểm tra
Nếu bạn muốn kiểm tra các quy tắc EMET nhưng không muốn xử lý bất kỳ vấn đề nào, bạn chỉ có thể kích hoạt chế độ Chỉ kiểm tra của Chế độ kiểm toán. Nhấp vào biểu tượng Ứng dụng trong EMET để truy cập cửa sổ Cấu hình ứng dụng. Bạn sẽ tìm thấy phần Hành động mặc định trên ruy-băng ở đầu màn hình. Theo mặc định, nó được đặt thành Dừng khai thác - EMET sẽ tắt ứng dụng nếu vi phạm quy tắc. Bạn cũng có thể đặt nó thành Chỉ kiểm toán. Nếu một ứng dụng phá vỡ một trong các quy tắc EMET của bạn, EMET sẽ báo cáo sự cố và cho phép ứng dụng tiếp tục chạy.
Điều này rõ ràng sẽ loại bỏ các lợi thế bảo mật của việc chạy EMET, nhưng đó là một cách tốt để kiểm tra các quy tắc trước khi đưa EMET trở lại vào Stop Stop trong chế độ khai thác.
Quy tắc xuất nhập khẩu
Khi bạn đã tạo và kiểm tra quy tắc của mình, hãy đảm bảo sử dụng nút Xuất hoặc Xuất được chọn để xuất quy tắc của bạn sang tệp. Sau đó, bạn có thể nhập chúng trên bất kỳ PC nào khác mà bạn sử dụng và nhận được các biện pháp bảo vệ tương tự mà không cần quan tâm nhiều hơn.
Trên các mạng công ty, các quy tắc EMET và EMET có thể được triển khai thông qua Chính sách nhóm.
Không ai trong số này là bắt buộc. Nếu bạn là người dùng gia đình không muốn giải quyết vấn đề này, vui lòng chỉ cài đặt EMET và tuân thủ các cài đặt mặc định được đề xuất.