Computerbeveiliging - Hoe je bad guys buiten de deur houdt

EMET 5.0 TP nog érg bèta

05-03-2014, 03:46 door Spiff has left the building, 18 reacties
Laatst bijgewerkt: 05-03-2014, 18:42
.
Vorige week is EMET 5.0 Tech Preview uitgegeven,
zie:
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx
--> http://technet.microsoft.com/en-us/security/jj653751
--> http://www.microsoft.com/en-us/download/details.aspx?id=41963
en zie ook:
https://www.security.nl/posting/379597/Microsoft+beschermt+Windows+tegen+Java-+en+Flash-aanvallen
en mijn reactie:
https://www.security.nl/posting/379597#posting379640

De afgelopen dagen heb ik EMET 5.0 Tech Preview eens uitgeprobeerd.
Mijn conclusie:
EMET 5.0 Tech Preview is werkelijk nog érg bèta.

Uiteraard is EMET 5.0 Tech Preview een bèta, maar waar vorige EMET bèta's en Tech Previews redelijk goed tot goed functioneel waren, leidt EMET 5.0 Tech Preview tot crashes van diverse applicaties, zonder dat ik daar een verklaring voor kan vinden.

Het onderstaande heb ik maandag aan Microsoft EMET feedback gestuurd.
Mijn uitvoerig beschreven systeem-details en bijgevoegde Windows logboek-weergaven die laat ik hier weg.
Wel heb ik hier later nog twee aanvullingen toegevoegd:


Aanvulling 1:

Windows version:
Windows Vista x86 SP2

Aanvulling 2:

EMET 5.0 Tech Preview settings:
--
Custom security settings:
DEP: Application Opt Out (though without any applications opted out from DEP)
SEHOP: Always On
ASLR: Application Opt In
Pinning: Enabled
--
Protection Profile: Popular Software
--
Application Configuration\ Mitigation Settings:
Deep Hooks, Anti Detours, Banned Functions, EAF+
--
Application Configuration\ Mitigations:
ASR disabled for iexplore.exe
SEHOP enabled for 7z.exe, 7zFM.exe and 7zG.exe, as indicated in EMET 5.0 TP User Guide, Table 7: Common Software Compatibility Matrix.
--


----------
Issue 1.

Regarding the default mitigations settings in the Popular Software protection profile:
For 7z.exe, 7zFM.exe and 7zG.exe the SEHOP mitigation is not enabled by default.
I think that is strange, as in EMET 5.0 TP User Guide, Table 7, Common Software Compatibility Matrix, 7z.exe, 7zFM.exe and 7zG.exe are mentioned as compatible with the SEHOP mitigation.
So I enabled the SEHOP mitigation for 7z.exe, 7zFM.exe and 7zG.exe.
N.B.
The same applies to EMET 4.1.

----------
Issue 2.

Regarding ASR:
For iexplore.exe, by default, EMET 5.0 TP ASR blocks the modules npjpi*.dll, jp2iexp.dll, vgx.dll, flash*.ocx
For Internet Explorer this means that Java, Microsoft vector graphics rendering and Flash are blocked.
I don't use Java, but I don't know if I need vector graphics rendering in IE, and I do use Adobe Flash Player.
So I have to disable ASR for IE, or I need to make registry edits for ASR to unblock Flash for IE, and perhaps vector graphics rendering.
I choose to disable ASR for IE.
As many users still want to use Flash Player in IE, will the ASR Flash block for IE be disabled in EMET 5.0 final?
Or are EMET users expected to be savvy enough to figure out for themselves that they might want to disable the ASR Flash block for IE?

----------
Issue 3.

EMET quick profile Maximum security settings has an unexpected effect with the software DesktopOK.
http://www.softwareok.com/?Freeware/DesktopOK
With EMET with Maximum security settings, DEP stops DesktopOK.
The strange thing is that Custom security setting DEP Application Opt Out - though without any applications opted out from DEP (!!) - prevents DEP from stopping DesktopOK.
DEP Application Opt Out without any applications opted out from DEP should have the same effect as DEP Always On, I would think. But practice proves otherwise.
N.B.
The same applies to EMET 4.0 and EMET 4.1.

----------
Issue 4.

EMET 5.0 Tech Preview affects Windows Wordpad:
"Windows Wordpad has stopped working"

----------
Issue 5.

EMET 5.0 Tech Preview affects 7-Zip File Manager:
"7-Zip File Manager has stopped working"

----------
Issue 6.

EMET 5.0 Tech Preview affects IE9 (on Windows Vista) with a lot(!!) of instances of
"Internet Explorer has stopped working"

Extra annoying is the fact that when Internet Explorer is closed, it is then restarted, getting the same problem, "Internet Explorer has stopped working". Closing and restarting results in a loop with multiple IE restarts.
(Can this be a result of IE set to automatically clearing out its history when closing?)

----------

Things to take into account:

Disabling EAF+ does not make any difference for the mentioned issues.

All other settings are the same as I had with EMET 4.0 and EMET 4.1.
With EMET 4.0 and 4.1 I already enabled the Deep Hooks mitigation setting, so for my system the Deep Hooks mitigation setting was not new with EMET 5.0 TP.
I could go disabling mitigations in EMET 5.0 TP, but as the same mitigations caused no problems with EMET 4.0 and 4.1, there should be no need to disable those mitigations in EMET 5.0 TP.

I guess there must be something else in EMET 5.0 TP causing the mentioned issues.


----------
Reacties (18)
05-03-2014, 08:03 door M_iky - Bijgewerkt: 05-03-2014, 08:07
Spiff, dit was mij ook reeds opgevallen, na 1 dag testen heb ik deze beta dan ook verwijderd. Flash applicaties die crashten in firefox, firefox zelf regelmatig de mist in, ben zelf geen IE gebruiker dus de symptomen die je beschrijft kan ik niet bevestigen maar komen me wel bekend voor.
05-03-2014, 09:23 door Spiff has left the building
Door M_iky, 08:03-08:07 uur:
Spiff, dit was mij ook reeds opgevallen, na 1 dag testen heb ik deze beta dan ook verwijderd.
Flash applicaties die crashten in firefox, firefox zelf regelmatig de mist in, ben zelf geen IE gebruiker dus de symptomen die je beschrijft kan ik niet bevestigen maar komen me wel bekend voor.
Dank je voor je reactie, M_iky.

Dat ook Firefox de mist in gaat met EMET 5.0 Tech Preview, dat verbaast me niet, gezien de door mij geconstateerde issues 4 t/m 6. Er lijkt iets vrij structureels van toepassing dat diverse applicaties doet crashen, waaronder gezien jouw ervaring dus ook Firefox.

Dat Flash ook crasht in Firefox, dat verbaast me wat meer, gezien het feit dat ASR met blokkeren van de module flash*.ocx niet standaard toegepast is op Firefox.
Had je mogelijk zelf via een registerbewerking ASR met blokkeren van flash*.ocx toegepast op Firefox?
Zo niet, dan is dit niet hetzelfde issue als het door mij geconstateerde issue 2, maar weer een ander issue, of eveneens gerelateerd aan de door mij geconstateerde issues 4 t/m 6 en het door jou geconstateerde issue met Firefox.

Tot op heden heb ik nog geen reactie van Microsoft EMET feedback ontvangen op mijn bericht van maandag.
Ik heb me tot gisteravond laat beschikbaar gehouden voor meedenken, maar waar bij de EMET 4.0 bèta al binnen enkele uren een reactie volgde van Microsoft EMET feedback, vond ik het bij een nu na 33 uur nog uitblijvende reactie welletjes en heb ik de onwerkbare EMET 5.0 Tech Preview gedeïnstalleerd en EMET 4.1 teruggezet.
Mogelijk wordt Microsoft EMET feedback deze keer overstelpt met meldingen?
Bestaat er een brede of complexe problematiek met EMET 5.0 Tech Preview, wie weet is er dan misschien nog wel een tweede EMET 5.x bèta nodig voordat op een gegeven moment de EMET 5.x final uitgegeven kan worden.
05-03-2014, 09:25 door Mysterio
Ik merk dat SEHOP aanzetten vaak voor crashende applicaties zorgt. Het is mijn ogen vooral verontrustend dat een aantal Microsoft applicaties niet goed werken onder de maximale beveiligingsinstellingen onder EMET. Awel, de ontwikkeling van EMET draait voor een flink gedeelte op de input van gebruikers dus wat dat betreft is het goed om de bevindingen te delen met Microsoft.
05-03-2014, 09:51 door Spiff has left the building
Door Mysterio, 09:25 uur:
k merk dat SEHOP aanzetten vaak voor crashende applicaties zorgt.

Op mijn betreffende systeem stond SEHOP al zonder problemen system wide toegepast via de registerbewerking die hier wordt weergegeven: http://support.microsoft.com/kb/956607/en
Voor Vista betekent dat SEHOP "Always On", voor Windows 7 is dat SEHOP "Application Opt Out".

Onder EMET 4.1 en eerder gaf het daarnaast tevens toepassen van de EMET mitigations inclusief de volgens de EMET User Guide "Common Software Compatibility" tabel toegestane SEHOP mitigations (waaronder ook de eerdergenoemde 7-Zip SEHOP mitigations) geen problemen op mijn systeem.
Ik neem zonder tegenbericht van Microsoft daarom voorlopig aan dat dat ook zou moeten gelden voor EMET 5.0 Tech Preview.
05-03-2014, 14:40 door Anoniem
Ik krijg na het installeren van EMET ook veel meldingen, zo vervelend dat ik het had verwijdert!
05-03-2014, 15:53 door Spiff has left the building
Door Anoniem, 14:40 uur:
Ik krijg na het installeren van EMET ook veel meldingen, zo vervelend dat ik het had verwijderd!

Welke EMET versie?
EMET 5.0 Technical Preview (dus de bèta) waar dit topic over gaat, of EMET 4.1?

Als EMET 5.0 Tech Preview problemen geeft,
weet dan dat de reguliere niet-bèta EMET 4.1 uiteraard ook nog gewoon beschikbaar is:
http://www.microsoft.com/en-us/download/details.aspx?id=41138
05-03-2014, 16:01 door [Account Verwijderd]
[Verwijderd]
05-03-2014, 16:39 door Anoniem
Ik heb 'm al een week erop (op windows 7), nog geen enkele fout te zien. Misschien dat Win8 er meer problemen mee heeft?
05-03-2014, 17:25 door Spiff has left the building
Door Peter V., 16:01 uur:
Ik heb EMET 5.0 op Windows 8.1 uitgeprobeerd, maar Secunia PSI (laatste versie) doet het dan niet meer. Zelfs het controleren van de applicaties wordt gestopt. Bij deze heb ik EMET 5.0 maar gedeinstalleerd.
Dank je, Peter.
EMET 5.0 Tech Preview had naast de 6 issues die ik in het startbericht noemde, ook effect op Secunia PSI 2.0 onder Vista (PSI versie 2.0.0.3001), dat bleek pas nadat ik Microsoft die genoemde 6 issues al had toegestuurd.
Met PSI 2.0 (met automatisch starten en automatisch updaten uitgeschakeld), merkte ik dat het programma slechts zeer moeizaam startte, pas bij een tweede poging startte het, en dan nog met aanzienlijke traagheid.
05-03-2014, 18:38 door Spiff has left the building
Door Anoniem, 16:39 uur:
Ik heb 'm al een week erop (op windows 7), nog geen enkele fout te zien. Misschien dat Win8 er meer problemen mee heeft?

EMET 5.0 Tech Preview?
Met welke EMET configuratie precies?

Ik heb voor de duidelijkheid aan mijn startbericht twee aanvullingen toegevoegd:
Aanvulling 1:
Windows version:
Windows Vista x86 SP2
(dus geen Windows 8.x maar wel veel problemen met EMET 5.0 TP)

Aanvulling 2:
EMET 5.0 Tech Preview settings:
--
Custom security settings:
DEP: Application Opt Out (though without any applications opted out from DEP)
SEHOP: Always On
ASLR: Application Opt In
Pinning: Enabled
--
Protection Profile: Popular Software
--
Application Configuration\ Mitigation Settings:
Deep Hooks, Anti Detours, Banned Functions, EAF+
--
Application Configuration\ Mitigations:
ASR disabled for iexplore.exe
SEHOP enabled for 7z.exe, 7zFM.exe and 7zG.exe, as indicated in EMET 5.0 TP User Guide, Table 7: Common Software Compatibility Matrix.
--
05-03-2014, 19:24 door Spiff has left the building
Zonet heb ik een reactie van EMET Feedback ontvangen.
Zie geciteerd hieronder.

Het antwoord bij 3, dat is interessant.
Wist ik niet.

En het antwoord bij 4, 5, 6, dat is wat ik al wel vermoedde -
het probleem wordt verholpen in de volgende release, N.B. in de volgende preview/beta release van EMET 5.


Thanks for the feedback!

Here some answers to your questions:

1) the default protection profiles are more "conservative" and app-safe. It is possible that we received reports of SEHOP issues with some older versions of 7zip and that's why it's disabled.
Users are always free to tune EMET configuration, but in the default profile we are tying to avoid any possible app-compat issue and that's why it's disabled.
We'll check in the next version if this default config can be changed without problems.

2) This is a preview version, so we are testing and experimenting how the new mitigations work for users and gathering feedback. The final configuration will look different.
ASR is totally configurable, EMET's manual shows the registry key where you can select what plugins enable or disable (for IE and for any other process). The final version will have a better UI to apply this config change.
Also, the mitigation is designed so that you can block a certain plugin on Internet Zone, but keeping enabled in the Intranet Zone (e.g. Java in enterprise scenario).
Other plugins such as VML are supported for legacy websistes, but rarely used and in the past targeted by attackers.
NOTE: ASR is also blocking Flash when loaded in Winword and Excel.

3) With DEP "OptOut", certain applications (or sometimes DLL used by applications) are free to opt-out from DEP at any moment, including at runtime using certain API, so it's a dynamic on-demand request.
"AlwaysOn" enforce DEP everywhere with no possibility of OptOut.

4,5,6) We investigated this issue and we identified the problem that may cause some applications to crash, it will be fixed in next preview/beta release of EMET5.

Thank you for taking time and testing this preview version.

---
MSRC Engineering


05-03-2014, 20:00 door Anoniem
Door Spiff:
Door Anoniem, 16:39 uur:
Ik heb 'm al een week erop (op windows 7), nog geen enkele fout te zien. Misschien dat Win8 er meer problemen mee heeft?

EMET 5.0 Tech Preview?
Met welke EMET configuratie precies?
Ja, 5.0 TP
Windows 7 x64 SP1

DEP: Always On
SEHOP: Application Opt Out
ASLR: Always On
Pinning: Enabled

Deep Hooks, Anti Detours, Banned Functions, EAF+ : Allemaal aan

Ik gebruikt de popular software profile en heb zelf nog een aantal programma's toegevoegd. Ik heb op dit moment voor elk programma elke migitation aan staan, inclusief de nieuwe ASR. Ik heb tot nu toe nog geen problemen gehad, al heb ik nog niet alle programma's gebruikt die mij bij in de lijst staan.
De EAF+ en ASR registry settings staan bij mij nog op default.

Door Spiff:
Het antwoord bij 3, dat is interessant.
Wist ik niet.
Dat geld volgens mij voor elke system setting.
Opt-in is standaard, ook zonder EMET. Elk programma wat zelf een flag zet voor DEP, ASLR of SEHOP, dus aan opt-in doet zal dit gebruiken.
Bij Opt-out geld het voor elk programma, tenzij die zelf een opt-out zet, wat volgens mij niet veel voorkomt. Als het programma erdoor crasht zijn de developers meestal niet op de hoogte van de migitations. Als ze er wel van op de hoogte zijn is de kans groot dat ze zelf al aan opt-in doen en is er dus geen probleem.
Bij Always On wordt het altijd geforceerd.

Het enige programma wat bij mij bij DEP op Always On crashte was de installer van Java, maar dat is gefixed in recentere versies.
05-03-2014, 21:27 door [Account Verwijderd]
[Verwijderd]
05-03-2014, 23:48 door Spiff has left the building
Door Anoniem, 16:39 uur:
Ik heb 'm al een week erop (op windows 7), nog geen enkele fout te zien.
Door Anoniem, 20:00 uur:
Ja, 5.0 TP
Windows 7 x64 SP1
Wow, netjes.

Door Anoniem, 20:00 uur:
ASLR: Always On
Niet ASLR Application Opt In?
Heb je ASLR Always On zelf door middel van een registeraanpassing ingeschakeld?
Of is die optie in EMET 5.0 TP beschikbaar via settings? Ik weet niet of dat voor de preview versie dan misschien zo bedoeld is, of dat het een fout is wanneer die instelling mogelijk is via settings.
De User Guide zegt:
There is an unsafe option for the ASLR setting called "Always On". This setting will force address space randomization for binaries that do not specifically support it. This setting is not visible by default due to the risk of introducing system instability.
In our tests we encountered issues in a common use scenario where having ASLR set to "Always On" would cause a system to blue screen during boot. This occurred because the address space for certain third party video drivers was being randomized. These drivers had not been built to support this randomization and subsequently crashed, causing the whole system to crash as well.
Recovering from this issue requires booting into safe mode and switching the system ASLR setting to either "Opt in" or "Disabled".

Door Anoniem, 20:00 uur:
Ik heb op dit moment voor elk programma elke migitation aan staan, inclusief de nieuwe ASR.
Wat ASR betreft, die is in EMET 5.0 TP pas enkel beschikbaar voor iexplore.exe, winword.exe en excel.exe, meen ik begrepen te hebben. 'Toepassen' van de ASR mitigation op andere applicaties zou dan daarop geen enkel effect hebben, voor de andere applicaties zijn het dan slechts 'lege' mitigations, als ik het goed begrijp.

Door Anoniem, 20:00 uur:
Opt-in is standaard, ook zonder EMET.
Bij Opt-out geld het voor elk programma, tenzij die zelf een opt-out zet,
Bij Always On wordt het altijd geforceerd.
Opt In en Always On waren me goed bekend.
Wat Opt Out betreft dácht ik dat dat voor DEP betekende dat je DEP Opt-Outs kan instellen via:
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde".
Ik wist niet dat applicaties eventueel zelf kunnen kiezen voor een Opt Out voor DEP, zoals jij aangeeft en zoals ook in de reactie van EMET Feedback werd vermeld. Dát was dus nieuw voor me. Altijd leuk om weer zoiets bij te leren.
06-03-2014, 16:49 door Anoniem
Door Spiff:
Niet ASLR Application Opt In?
Heb je ASLR Always On zelf door middel van een registeraanpassing ingeschakeld?
Of is die optie in EMET 5.0 TP beschikbaar via settings? Ik weet niet of dat voor de preview versie dan misschien zo bedoeld is, of dat het een fout is wanneer die instelling mogelijk is via settings.
De User Guide zegt:
There is an unsafe option for the ASLR setting called "Always On". This setting will force address space randomization for binaries that do not specifically support it. This setting is not visible by default due to the risk of introducing system instability.
In our tests we encountered issues in a common use scenario where having ASLR set to "Always On" would cause a system to blue screen during boot. This occurred because the address space for certain third party video drivers was being randomized. These drivers had not been built to support this randomization and subsequently crashed, causing the whole system to crash as well.
Recovering from this issue requires booting into safe mode and switching the system ASLR setting to either "Opt in" or "Disabled".
Ja op Always On. Als je die registersleutel aanpast en reboot kan je in de GUI Always On selecteren. Volgens mij speelde dat probleem rond de release van EMET 2.0 of 2.1 vooral met ATI drivers, maar die hebben later zelf in nieuwere versies ASLR support aan hun drivers en processen toegevoegd.

Door Spiff:
Wat ASR betreft, die is in EMET 5.0 TP pas enkel beschikbaar voor iexplore.exe, winword.exe en excel.exe, meen ik begrepen te hebben. 'Toepassen' van de ASR mitigation op andere applicaties zou dan daarop geen enkel effect hebben, voor de andere applicaties zijn het dan slechts 'lege' mitigations, als ik het goed begrijp.
Ja dat klopt, maar je kan zelf in het register aanpassen wat ASR doet voor welk proces. In hoofdstuk 1.2.9 van de handleiding staan de details.
Door Spiff:
Opt In en Always On waren me goed bekend.
Wat Opt Out betreft dácht ik dat dat voor DEP betekende dat je DEP Opt-Outs kan instellen via:
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde".
Ik wist niet dat applicaties eventueel zelf kunnen kiezen voor een Opt Out voor DEP, zoals jij aangeeft en zoals ook in de reactie van EMET Feedback werd vermeld. Dát was dus nieuw voor me. Altijd leuk om weer zoiets bij te leren.
Ja, er zijn best wel wat dingen van EMET die niet zo bekend zijn. Ik ben geen persoon van handleidingen, maar die van EMET bied toch wel veel extra informatie. Ik kan je zeker aanbevelen om in ieder geval hoofdstuk 1.2.9, 1.2.10, 4 en 5 te lezen.
06-03-2014, 18:55 door Spiff has left the building - Bijgewerkt: 06-03-2014, 19:11
Door Anoniem, 16:49 uur:
Ja op Always On. Als je die registersleutel aanpast en reboot kan je in de GUI Always On selecteren. Volgens mij speelde dat probleem rond de release van EMET 2.0 of 2.1 vooral met ATI drivers, maar die hebben later zelf in nieuwere versies ASLR support aan hun drivers en processen toegevoegd.
Ja dat klopt, maar je kan zelf in het register aanpassen wat ASR doet voor welk proces. In hoofdstuk 1.2.9 van de handleiding staan de details.
Ja, er zijn best wel wat dingen van EMET die niet zo bekend zijn. Ik ben geen persoon van handleidingen, maar die van EMET bied toch wel veel extra informatie. Ik kan je zeker aanbevelen om in ieder geval hoofdstuk 1.2.9, 1.2.10, 4 en 5 te lezen.

Dank je, Anoniem 16:49 uur.

Ik ken de EMET User Guide, en ik weet hoe die aanpassingen te maken,
maar je verraste me ermee dat jij die aanpassingen hebt gemaakt, ik was dat hier nog niet eerder tegengekomen.
Vandaar mijn eerdere verbazing ;-)

Wat DEP Application Opt Out betreft, de details daarover zoals jij gisteren 20:00 uur aangaf en zoals ook in de reactie van EMET Feedback werd vermeld, dat was ik niet eerder tegengekomen en dat was dus nieuw voor me.
De EMET User Guide vermeldt niet dat applicaties eventueel zelf kunnen kiezen voor een Opt Out voor DEP. Wel verwijst de EMET User Guide naar dit
http://blogs.technet.com/b/srd/archive/2009/06/12/understanding-dep-as-a-mitigation-technology-part-1.aspx,
waar de mogelijkheid dat processen eventueel zelf kunnen kiezen voor een Opt Out voor DEP misschien wel wordt bedoeld, maar dat is daar vrij terloops en op zo'n manier geformuleerd dat het ook geïnterpreteerd kan worden zoals de Opt Out voor DEP zoals ik die eerder al kende en ook bedoelde in mijn reactie van gisteren 23:48 uur,
het eventueel instellen van DEP Opt Outs via
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde",
zoals dat ook hier besproken wordt:
http://support.microsoft.com/kb/875352/en
http://support.microsoft.com/kb/875352/nl
Daar echter geen woord over de mogelijkheid dat processen eventueel zelf kunnen kiezen voor een Opt Out voor DEP.
Vandaar dus, dát was nieuw voor me.

O, en bijna vergeten:
Het 'onveilige' van de instelling ASLR Always On, dat valt inderdaad wellicht wel mee.
Ik ken geloof ik ook alleen maar dat ATI drivers voorbeeld als geval waar ASLR Always On incompatible was, en dat is door AMD al opgelost met de nieuwe drivers van 28 juni 2012. Ik weet niet waarom ASLR Always On desondanks toch nog steeds als 'unsafe' benoemd wordt. Misschien voor wie die driver niet heeft geupdate?
08-03-2014, 09:12 door Anoniem
Door Spiff:

Dank je, Anoniem 16:49 uur.

Ik ken de EMET User Guide, en ik weet hoe die aanpassingen te maken,
maar je verraste me ermee dat jij die aanpassingen hebt gemaakt, ik was dat hier nog niet eerder tegengekomen.
Vandaar mijn eerdere verbazing ;-)

Wat DEP Application Opt Out betreft, de details daarover zoals jij gisteren 20:00 uur aangaf en zoals ook in de reactie van EMET Feedback werd vermeld, dat was ik niet eerder tegengekomen en dat was dus nieuw voor me.
De EMET User Guide vermeldt niet dat applicaties eventueel zelf kunnen kiezen voor een Opt Out voor DEP. Wel verwijst de EMET User Guide naar dit
http://blogs.technet.com/b/srd/archive/2009/06/12/understanding-dep-as-a-mitigation-technology-part-1.aspx,
waar de mogelijkheid dat processen eventueel zelf kunnen kiezen voor een Opt Out voor DEP misschien wel wordt bedoeld, maar dat is daar vrij terloops en op zo'n manier geformuleerd dat het ook geïnterpreteerd kan worden zoals de Opt Out voor DEP zoals ik die eerder al kende en ook bedoelde in mijn reactie van gisteren 23:48 uur,
het eventueel instellen van DEP Opt Outs via
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde",
zoals dat ook hier besproken wordt:
http://support.microsoft.com/kb/875352/en
http://support.microsoft.com/kb/875352/nl
Daar echter geen woord over de mogelijkheid dat processen eventueel zelf kunnen kiezen voor een Opt Out voor DEP.
Vandaar dus, dát was nieuw voor me.

O, en bijna vergeten:
Het 'onveilige' van de instelling ASLR Always On, dat valt inderdaad wellicht wel mee.
Ik ken geloof ik ook alleen maar dat ATI drivers voorbeeld als geval waar ASLR Always On incompatible was, en dat is door AMD al opgelost met de nieuwe drivers van 28 juni 2012. Ik weet niet waarom ASLR Always On desondanks toch nog steeds als 'unsafe' benoemd wordt. Misschien voor wie die driver niet heeft geupdate?
Ik was inderdaad ook niet zeker of het jou bekend was of niet, dus had het toch maar gepost. Misschien kunnen anderen hier nog hun voordeel mee doen :)
Ik ken weining mensen die hun drivers updaten, dus dat zal het wel zijn ja.
08-03-2014, 14:26 door Spiff has left the building
Door Anoniem, 09:12 uur:
Ik was inderdaad ook niet zeker of het jou bekend was of niet, dus had het toch maar gepost. Misschien kunnen anderen hier nog hun voordeel mee doen :)
Je verwijzing naar de EMET User Guide zal beslist een nuttige wenk zijn voor wie de EMET handleiding nog niet kent.
Er zijn altijd gebruikers die de handleiding negeren, maar de EMET User Guide biedt veel waardevolle informatie, die het bestuderen zeker waard is.

Door Anoniem, 09:12 uur:
Ik ken weinig mensen die hun drivers updaten, dus dat zal het wel zijn ja.
Windows Update levert ook aanbevolen en essentiële driver updates, maar ik vermoed dat dat pas is wanneer "Updates voor andere Microsoft producten downloaden" is ingeschakeld. Dat dat standaard niet ingeschakeld staat, dat helpt uiteraard niks. Dat "Updates voor andere Microsoft producten downloaden" niet standaard is ingeschakeld in Windows Update, dat vind ik nog altijd volkomen onbegrijpelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.