6 Suggerimenti avanzati per la protezione delle applicazioni sul PC con EMET

Enhanced Mitigation Experience Toolkit è il segreto di sicurezza meglio custodito di Microsoft. È facile installare EMET e proteggere rapidamente molte applicazioni popolari, ma con EMET puoi fare molto di più.

EMET non apparirà e ti farà delle domande, quindi è una soluzione set-it-and-forget-it dopo averlo configurato. Ecco come proteggere più applicazioni con EMET e correggerle se si rompono.

Scopri se EMET sta rompendo un'applicazione

Se un'applicazione fa qualcosa che le tue regole EMET non consentono, EMET spegne l'applicazione - questa è l'impostazione predefinita, comunque. EMET chiude le applicazioni che si comportano in un modo potenzialmente pericoloso in modo che non possano verificarsi exploit. Per impostazione predefinita, Windows non esegue questa operazione per tutte le applicazioni in quanto comprometterebbe la compatibilità con molte delle vecchie applicazioni Windows in uso oggi.

Se un'applicazione si rompe, l'applicazione si spegnerà immediatamente e vedrai un pop-up dall'icona EMET nella barra delle applicazioni. Sarà anche scritto nel registro eventi di Windows - queste opzioni possono essere personalizzate dalla casella Report sulla barra multifunzione nella parte superiore della finestra EMET.

Utilizzare una versione di Windows a 64 bit

Le versioni a 64 bit di Windows sono più sicure perché hanno accesso a funzionalità come la randomizzazione del layout di spazio degli indirizzi (ASLR). Non tutte queste funzionalità saranno disponibili se utilizzi una versione di Windows a 32 bit. Come Windows stesso, le funzionalità di sicurezza di EMET sono più complete e utili su PC a 64 bit.

Blocca processi specifici

Probabilmente vorrai bloccare applicazioni specifiche invece dell'intero sistema. Concentrati sulle applicazioni che hanno maggiori probabilità di essere compromesse. Ciò significa browser Web, plug-in del browser, programmi di chat e qualsiasi altro software che comunica con Internet o apre i file scaricati. I servizi di sistema di basso livello e le applicazioni che funzionano offline senza aprire alcun file scaricato sono meno a rischio. Se hai qualche applicazione aziendale importante, forse quella che accede a Internet, potrebbe essere l'applicazione che desideri proteggere di più.

Per proteggere un'applicazione in esecuzione, individuarla nell'elenco EMET, fare clic con il tasto destro del mouse e selezionare Configura processo.

Se si desidera proteggere un processo che non è in esecuzione, aprire la finestra App e utilizzare i pulsanti Aggiungi applicazione o Aggiungi caratteri jolly.

La finestra di configurazione dell'applicazione verrà visualizzata con l'applicazione evidenziata. Per impostazione predefinita, tutte le regole saranno automaticamente abilitate. Basta fare clic sul pulsante OK qui per applicare tutte le regole.

Se la tua applicazione non funziona correttamente, ti consigliamo di tornare qui e provare a disabilitare alcune delle restrizioni per tale applicazione. Disabilitalo uno per uno finché l'applicazione non funziona e puoi isolare il problema.

Se non si desidera limitare alcuna applicazione, selezionarla nell'elenco e fare clic sul pulsante Rimuovi selezionati per cancellare le regole e riportare l'applicazione allo stato predefinito.

Modifica le regole del sistema

La sezione Stato del sistema consente di scegliere regole valide per tutto il sistema. Probabilmente vorrete attenervi ai valori predefiniti, che consentono alle applicazioni di optare per queste protezioni di sicurezza.

È possibile selezionare "Sempre attivo" o "Disattivazione applicazione" per queste impostazioni per la massima sicurezza. Questo potrebbe rompere molte applicazioni, specialmente quelle più vecchie. Se le applicazioni iniziano a comportarsi in modo anomalo, è possibile ripristinare le impostazioni predefinite o creare regole di "disattivazione" per le applicazioni.

Per creare una regola di opt-out, fare clic con il tasto destro del mouse su un processo e selezionare Configura processo. Deseleziona il tipo di protezione che desideri disattivare, quindi, se desideri disattivare l'ASLR a livello di sistema, deselezionerai le caselle di controllo MandatoryASLR e BottomUpASLR per quel processo. Fai clic su OK per salvare la regola.

Nota che abbiamo abilitato "Sempre attivo" per DEP sopra, quindi non possiamo disabilitare DEP per tutti i processi nella finestra Configurazione dell'applicazione sotto.

Test regole in modalità "Solo Audit"

Se desideri testare le regole EMET ma non vuoi risolvere alcun problema, puoi abilitare la modalità "Solo audit". Fai clic sull'icona App in EMET per accedere alla finestra Configurazione dell'applicazione. Troverai una sezione Azione predefinita sulla barra multifunzione nella parte superiore dello schermo. Per impostazione predefinita, è impostato su Interrompi in caso di exploit. EMET interromperà un'applicazione se interrompe una regola. Puoi anche impostarlo solo su Audit. Se un'applicazione interrompe una delle regole EMET, EMET segnala il problema e consente all'applicazione di continuare a essere in esecuzione.

Ovviamente questo elimina i vantaggi di sicurezza dell'esecuzione di EMET, ma è un buon modo per testare le regole prima di riportare EMET in modalità "Stop in exploit".

Esportare e importare le regole

Una volta che hai creato e testato le tue regole, assicurati di utilizzare il pulsante Esporta o Esporta selezionati per esportare le tue regole in un file. È quindi possibile importarli su qualsiasi altro PC che si utilizza e ottenere le stesse protezioni di sicurezza senza più giocherellare.

Nelle reti aziendali, le regole EMET e EMET possono essere implementate tramite i Criteri di gruppo.

Niente di tutto ciò è obbligatorio. Se sei un utente domestico che non vuole occuparsene, sentiti libero di installare EMET e attenersi alle impostazioni predefinite consigliate.