image

Microsoft: wapen Windows met EMET

donderdag 9 augustus 2012, 10:51 door Redactie, 9 reacties

Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen, omdat veel ontwikkelaars hun applicaties niet goed beveiligen. Windows ondersteunt verschillende technieken die het misbruiken van beveiligingslekken moeten bemoeilijken. Veel programma's van derden maken hier geen gebruik van.

Microsoft onderzocht vorig jaar 41 populaire consumentenprogramma's die wereldwijd miljoenen gebruikers hebben. 29 programma's (71%) gebruikten volledige Data Execution Prevention (DEP). Address space layout randomization (ASLR) werd slechts door 14 programma's (34%) volledig toegepast. "Deze technieken maken het zeer lastig of zelfs onmogelijk om een lek op betrouwbare wijze te misbruiken", zegt Microsoft's Tim Rains.

Exploits
Uit een ander onderzoek bleek dat dat van 184 exploits er 181 op Windows XP werken. Met EMET ingeschakeld werkten er nog maar 21. Windows 7 was voor 10 van de 184 exploits kwetsbaar "Deze gegevens suggereren dat systeembeheerders hun aanvalsoppervlak drastisch kunnen verkleinen door naar de nieuwste versie van het besturingssysteem en applicatiesoftware te upgraden of door EMET te gebruiken, of beide."

Al enige tijd is EMET 3.0 beschikbaar, die het eenvoudiger maakt om het programma in bedrijfsomgevingen uit te rollen. "Als je verantwoordelijk bent voor het beveiligen van de applicaties in je werkomgeving of gewoon de applicaties wil auditen die je thuis hebt draaien, dan adviseer ik je om EMET te proberen" besluit Rains.

Eind juli verscheen een bètaversie van EMET 3.5, met een aantal nieuwe technieken die misbruik door hackers nog verder moeten bemoeilijken.

Reacties (9)
09-08-2012, 13:02 door Anoniem
Leuk allemaal. Nou nog ff te weten komen hoe je Emet moet instellen.
09-08-2012, 13:06 door [Account Verwijderd]
[Verwijderd]
09-08-2012, 13:32 door Spiff has left the building
Door Redactie: Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen.
Ik denk dat daar een paar kanttekeningen bij mogen.

Allereerst is de winst vooral te behalen met het oude Windows XP, waar volgens het artikel uit een genoemde studie blijkt dat bij toepassing van 184 exploits tegen applicaties, door het toepassen van EMET het aandeel succesvolle exploits terugloopt van 181 naar 21.
Dit terwijl op Windows 7 RTM slechts 10 van de 184 exploits succesvol bleken, zonder enig toepassen van EMET.
http://blogs.technet.com/b/security/archive/2012/08/08/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx


Ten tweede, "thuisgebruikers" -

Om bescherming te bieden moet EMET worden geconfigureerd.
Met de configuratieopties kan naar wens DEP en SEHOP worden toegepast, en kan ASLR worden toegepast op applicaties naar keuze.

Voor het inschakelen van DEP voor alle programma's en services is EMET echter niet noodzakelijk, dat kan ook eenvoudig via Windows, evenals het zo nodig maken van een uitzondering voor DEP voor een enkele applicatie.
En ook voor het inschakelen van SEHOP geldt dat het gebruik van EMET daarvoor niet noodzakelijk is, SEHOP kan ook worden ingeschakeld met een eenvoudige registeraanpassing:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
N.B. Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan zou EMET mogelijk nuttig kunnen zijn om daarmee voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.

Voor het eventueel toepassen van ASLR instellingen heeft EMET werkelijk een toegevoegde waarde, maar daartoe is het nodig dat de gebruiker voldoende kennis bezit om dit op de juiste wijze toe te passen per applicatie (Application Opt In).
De EMET standaard-instelling voor ASLR is "Application Opt In".
De ASLR "Always On" instelling daarentegen is een verborgen 'onveilige' optie, een register-aanpassing is nodig om deze optie te kunnen inschakelen.
Zie: http://rationallyparanoid.com/articles/microsoft-emet-3.html

Dat toepassen van "Always On" voor ASLR is niet voor niks een verborgen optie.
Zie de daarbij behorende waarschuwing:
Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".

"Thuisgebruikers" hebben zoals gezegd EMET niet per se nodig voor het toepassen van DEP en SEHOP, en voor het toepassen van ASLR moeten ze beslist voldoende kennis bezitten om dit op de juiste wijze toe te passen.
Die kennis zal zeker niet bij elke thuisgebruiker aanwezig zijn.


[wijziging 1: toevoeging van een alinea van twee zinnen onder "thuisgebruikers"]
[wijziging 2: correctie van een typo]
[wijziging 3: aanvulling betreffende SEHOP]
09-08-2012, 18:06 door Anoniem
[En nu even in begrijpelijk Nederlands: EMET is niet geschikt voor de simpele huis,tuin en keuken computergebruiker. O.a.doordat het vrij moeilijk is in te stellen en tevens heb je dit alleen nodig als je een netwerk hebt opgezet,of een eigen website hebt e.d. Maar voor de simpele pc gebruiker die alleen beetje surft en download is EMET niet echt nodig.Zeker niet met winsdows 7. Heb ik het zo goed begrepen? En hoe zit dat als je Vista gebruikt? quote]Door Spiff:
Door Redactie: Zowel thuisgebruikers als bedrijven doen er verstandig aan om Windows met de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) te beschermen.
Ik denk dat daar een paar kanttekeningen bij mogen.

Allereerst is de winst vooral te behalen met het oude Windows XP, waar volgens het artikel uit een genoemde studie blijkt dat bij toepassing van 184 exploits tegen applicaties, door het toepassen van EMET het aandeel succesvolle exploits terugloopt van 181 naar 21.
Dit terwijl op Windows 7 RTM slechts 10 van de 184 exploits succesvol bleken, zonder enig toepassen van EMET.
http://blogs.technet.com/b/security/archive/2012/08/08/microsoft-s-free-security-tools-enhanced-mitigation-experience-toolkit.aspx


Ten tweede, "thuisgebruikers" -

Om bescherming te bieden moet EMET worden geconfigureerd.
Met de configuratieopties kan naar wens DEP en SEHOP worden toegepast, en kan ASLR worden toegepast op applicaties naar keuze.

Voor het inschakelen van DEP voor alle programma's en services is EMET echter niet noodzakelijk, dat kan ook eenvoudig via Windows, evenals het zo nodig maken van een uitzondering voor DEP voor een enkele applicatie.
En ook voor het inschakelen van SEHOP geldt dat het gebruik van EMET daarvoor niet noodzakelijk is, SEHOP kan ook worden ingeschakeld met een eenvoudige registeraanpassing:
http://support.microsoft.com/kb/956607/

Voor het eventueel toepassen van ASLR instellingen heeft EMET wél werkelijk een toegevoegde waarde, maar daartoe is het nodig dat de gebruiker voldoende kennis bezit om dit op de juiste wijze toe te passen per applicatie (Application Opt In).
De EMET standaard-instelling voor ASLR is "Application Opt In".
De ASLR "Always On" instelling daarentegen is een verborgen 'onveilige' optie, een register-aanpassing is nodig om deze optie te kunnen inschakelen.
Zie: http://rationallyparanoid.com/articles/microsoft-emet-3.html

Dat toepassen van "Always On" voor ASLR is niet voor niks een verborgen optie.
Zie de daarbij behorende waarschuwing:
Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".

"Thuisgebruikers" hebben zoals gezegd EMET niet per se nodig voor het toepassen van DEP en SEHOP, en voor het toepassen van ASLR moeten ze beslist voldoende kennis bezitten om dit op de juiste wijze toe te passen.
Die kennis zal zeker niet bij elke thuisgebruiker aanwezig zijn.


[wijziging 1: toevoeging van een alinea van twee zinnen onder "thuisgebruikers"]
[wijziging 2: correctie van een typo][/quote]
09-08-2012, 22:17 door Spiff has left the building
@ Anoniem 18:06 uur,
Je hoeft een lange bijdrage niet volledig te citeren,
en het is handig om je eigen bijdrage voor het plaatsen even te checken d.m.v. preview, dan kun je een verkeerd geplaatste citaat-haak nog even corrigeren ;-)

Als inhoudelijk antwoord op je reactie:

Het gebruik van EMET om DEP en SEHOP in te schakelen is beslist niet moeilijk en kan nuttig zijn voor elk systeem waarvoor DEP en SEHOP niet al op andere wijze waren ingeschakeld, bijvoorbeeld omdat de gebruiker niet wist dat het nuttig was en hoe dat gedaan moest worden. Als het zo'n gebruiker met EMET dan wél lukt om DEP en SEHOP in te schakelen, dan is dat beslist waardevol, óók voor Vista en Win7 systemen.
Maar waren DEP en SEHOP al ingeschakeld, dan is EMET daarvoor niet nodig.

Voor het toepassen van ASLR geldt wat ik om 13:32 al aangaf. Het door middel van EMET toepassen van ASLR is mijns inziens voorbehouden aan de gebruikers die voldoende kennis bezitten om ASLR op de juiste wijze toe te passen per applicatie (of om weloverwogen zelfs ASLR "Always On" in te stellen).

Ten slotte als reactie op wat je ook nog stelde of vroeg je bijdrage -
Nee, of je een website beheert, en of je netwerk slechts bestaat uit een modem en een computer of dat je een uitgebreid netwerk beheert, dat is volgens mij niet werkelijk relevant bij de vraag of EMET nuttig voor je kan zijn.
Vooral van belang is 1. of je EMET nodig hebt om DEP en SEHOP in te kunnen schakelen, en of dat anders oningeschakeld zou blijven, en 2. of de gebruiker voldoende kennis bezit om op de juiste wijze ASLR-instellingen toe te passen.
Is alleen al punt 1 van toepassing, dan is het gebruik van EMET wel degelijk nuttig, ook onder Vista en Win7. Maar nogmaals, zijn of worden DEP en SEHOP al op andere wijze ingeschakeld, dan is EMET daarvoor niet nodig.

Ik hoop dat ik daarmee een voldoende duidelijk antwoord op je vraag geef.
09-08-2012, 23:51 door Anoniem
Jeetje Spiff das een hele mond vol zeg.

Ik heb deze instellingen.

Downloaden op bureaublad zetten en vanaf daar installeren.

Voor Windows XP
Start het programma
knop Configure System en dan kies je voor Maximum Security.
Dep - Always on
SEHOP - Application Opt Out
ASLR - Application Opt In

Voor Windows Vista en Windows 7
Start het programma
knop Configure System en dan kies je voor Custum Setting.
Dep - Always on
SEHOP - Application Opt In
ASLR - Application Opt In
10-08-2012, 12:03 door Spiff has left the building
Door Anoniem, do.9-8, 23:51 uur:
Jeetje Spiff das een hele mond vol zeg.
Ja, dat is soms nodig.

Door Anoniem, do.9-8, 23:51 uur:
Ik heb deze instellingen.
[...]
Betreffend DEP:
Mocht je met DEP Always On ooit een programma of programma-onderdeel tegenkomen dat daarmee crasht, dan kun je voor dat programma of programma-onderdeel een uitzondering (Opt out) maken voor DEP.

Betreffend SEHOP onder Vista en Win7:
Het is verstandig om SEHOP in te stellen op Always On, anders benut je SEHOP nog steeds niet voor alle applicaties.

N.B. Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Zie over SEHOP, onder Known Issues:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan is het via EMET misschien mogelijk om voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.


[wijziging: aanvulling]
11-08-2012, 10:24 door Spiff has left the building
Aanvulling op mijn reactie van gisteren vr.10-8, 12:03 uur,
en inmiddels daarin ook als aanvulling aangbracht:

Bij SEHOP Always On -
Na het inschakelen van SEHOP werken bestaande versies van Cygwin, Skype en Armadillo-protected applicaties mogelijk niet correct.
Zie over SEHOP, onder Known Issues:
http://support.microsoft.com/kb/956607/en
http://support.microsoft.com/kb/956607/nl
Gebruik je een of meer van die genoemde programma's, en ervaar je daarmee een probleem na het inschakelen van SEHOP, dan is het via EMET misschien mogelijk om voor die programma's een SEHOP Opt Out in te stellen. Ik ben daar echter niet zeker van, ik heb daar zelf geen ervaring mee. En als die mogelijkheid bestaat, dan geldt dat onder Windows 7, of het ook onder Vista mogelijk is, dat weet ik niet.


[wijziging: aanvulling]
04-10-2013, 07:39 door Anoniem
Wat betekent Application Opt In en Application Opt out?
En welke instelling is het meest beveiligd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.