Computerbeveiliging - Hoe je bad guys buiten de deur houdt

EMET 5.1 is beschikbaar

10-11-2014, 18:48 door [Account Verwijderd], 83 reacties
Laatst bijgewerkt: 10-11-2014, 22:48
EMET 5.1 (Enhansed Mitigation Experience Toolkit) is beschikbaar.

Deze onderstaande link verwijst naar de pagina waar EMET kan worden gedownload:

https://www.microsoft.com/en-us/download/details.aspx?id=43714

aanvulling 10-11-2014 20:41 uur

W.Spu heeft een pagina gevonden met wat meer informatie over EMET 5.1

Door W. Spu 10-11-2014 20:01 uur:
Zie ook https://support.microsoft.com/kb/3015976#Changes

update 10-11-2014 22:32 uur
Spiff vermelde in zijn reactie van 10-11-2014 21:49 uur de https download-pagina voor EMET 5.1. In mijn startpost had ik eerst een link naar de http download-pagina staan. Dit heb ik aangepast en de link naar de EMET 5.1 download, verwijst nu naar de https download-pagina.
Reacties (83)
10-11-2014, 20:01 door W. Spu
Bedankt _kraai__ voor de melding. Wel vreemd dat Microsoft op zijn eigen EMET Connect portal (https://connect.microsoft.com/emet) of technet Forum (https://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet) hier geen melding van maakt. Als ik snel ffff google vind ik wel een Security Research & Defense Blog (http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx) met wat meer informatie. Zie ook https://support.microsoft.com/kb/3015976#Changes
10-11-2014, 20:37 door [Account Verwijderd] - Bijgewerkt: 10-11-2014, 22:20
Door W. Spu 10-11-2014 20:01 uur:
Wel vreemd dat Microsoft op zijn eigen EMET Connect portal (https://connect.microsoft.com/emet) of technet Forum (https://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet) hier geen melding van maakt. Als ik snel ffff google vind ik wel een Security Research & Defense Blog (http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx) met wat meer informatie. Zie ook https://support.microsoft.com/kb/3015976#Changes

Ik zie dat je inmiddels op het technet Forum een post hebt gezet dat EMET 5.1 beschikbaar is.
https://social.technet.microsoft.com/Forums/security/en-US/926675a5-d99d-4f53-b571-e2bd6b6133a0/emet-51-is-available-which-problems-are-solved?forum=emet

Bedankt voor de pagina met informatie over de veranderingen in EMET 5.1. ik zet de link ook even in de start post erbij.
10-11-2014, 21:49 door Spiff has left the building
Hartelijk bedankt, _kraai__ en W. Spu.

Op deze pagina wordt overigens ook netjes de beschikbaarheid van EMET 5.1 aangegeven:
http://technet.microsoft.com/en-us/security/jj653751
Wel jammer dat die pagina zoals altijd naar de http download-pagina linkt, in plaats van naar de https-pagina:
https://www.microsoft.com/en-us/download/details.aspx?id=43714
10-11-2014, 21:58 door Spiff has left the building
Ah, en voor wie dat nog niet gelezen zou hebben op de TechNet Blogs-pagina die W. Spu vermeldde:

If you are using Internet Explorer 11, either on Windows 7 or Windows 8.1, and have deployed EMET 5.0, it is particularly important to install EMET 5.1 as compatibility issues were discovered with the November Internet Explorer security update and the EAF+ mitigation.
Alternatively, you can temporarily disable EAF+ on EMET 5.0.

http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
N.B.
De november updates zijn morgenavond, dus voor wie EMET 5.0 gebruikt met IE11 is dit zeer actueel.
10-11-2014, 22:24 door [Account Verwijderd]
Door Spiff:

Op deze pagina wordt overigens ook netjes de beschikbaarheid van EMET 5.1 aangegeven:
http://technet.microsoft.com/en-us/security/jj653751
Wel jammer dat die pagina zoals altijd naar de http download-pagina linkt, in plaats van naar de https-pagina:
https://www.microsoft.com/en-us/download/details.aspx?id=43714

Hmm, ik heb in mijn startpost ook naar de http download-pagina gelinkt. Ik pas dit nog even aan.
10-11-2014, 22:41 door [Account Verwijderd] - Bijgewerkt: 10-11-2014, 22:42
Door Spiff 10-11-2014 21:58 uur:
Ah, en voor wie dat nog niet gelezen zou hebben op de TechNet Blogs-pagina die W. Spu vermeldde:

If you are using Internet Explorer 11, either on Windows 7 or Windows 8.1, and have deployed EMET 5.0, it is particularly important to install EMET 5.1 as compatibility issues were discovered with the November Internet Explorer security update and the EAF+ mitigation.
Alternatively, you can temporarily disable EAF+ on EMET 5.0.

http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
N.B.
De november updates zijn morgenavond, dus voor wie EMET 5.0 gebruikt met IE11 is dit zeer actueel.

Goed dat je dit hier vermeld Spiff. Ik had het stukje ook gelezen, maar even vergeten om dit hier te vermelden. (ik ben soms een beetje een verstrooide vogel ;-)
11-11-2014, 12:44 door FlamingFireFunky
Door Spiff: Ah, en voor wie dat nog niet gelezen zou hebben op de TechNet Blogs-pagina die W. Spu vermeldde:

If you are using Internet Explorer 11, either on Windows 7 or Windows 8.1, and have deployed EMET 5.0, it is particularly important to install EMET 5.1 as compatibility issues were discovered with the November Internet Explorer security update and the EAF+ mitigation.
Alternatively, you can temporarily disable EAF+ on EMET 5.0.

http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx
N.B.
De november updates zijn morgenavond, dus voor wie EMET 5.0 gebruikt met IE11 is dit zeer actueel.

Zie hier mijn post op de nieuwspagina: "Heb nooit problemen gehad met EMET, behalve bij versie 5.0, daar liep IE11 64 bit niet goed meer. Ik heb net EMET 5.1 geinstalleerd, zijn al mijn toepassingen verdwenen en kon ik de hele boel opnieuw gaan instellen, ik had gekozen voor 'keep existing settings' bij installatie.
Terwijl ik dit schrijf open ik IE, om te testen of de problemen daarmee opgelost zijn, krijg ik gewoon doodleuk weer de melding 'Emet detected EAF mitigation'... en vervolgens sluit ie IE af.
Aanvulling: ik gebruik gewoon de 'recommended security settings', dus in de standaard configuratie."

Dus zowel in EMET 5.0 als in 5.1 start IE11 niet bij mij, overigens heb ik nooit EAF+ ingeschakeld gehad voor IE11...
11-11-2014, 14:48 door W. Spu - Bijgewerkt: 11-11-2014, 16:03
Ik heb mijn oude forum topic over EMET 5.0 er eens op na geslagen en wat dingen (kort) getest met de recommended security settings en de popular software profile en op een virtuele Windows 7 32-bit (v32bW7) en 64-bit computer (v64bW7) en een fysieke Windows 32-bit laptop (f32bW7) :
- Op dezelfde virtuele computers is alles nog steeds wat trager. Op de fysieke test laptop is wat minder van de vertraging te merken.
- v64bW7: Internet Explorer is traag en soms Not Responding. Uiteindelijk komt de 32-bit IE er wel maar de 64-bit IE reageert nauwelijks. Op de v32bW7 en f32bW7 start IE redelijk normaal
- v32bW7: Java wordt netjes geblokkeerd totdat de website toegevoegd wordt aan de trusted sites
- v32bW7: Filmpje op YouTube begint wel maar breekt af (mogelijk veroorzaakt door algehele traagheid). Hetzelfde filmpje werkt wel f32bW7.
- v32bW7: Adobe Reader opent normaal en zonder een EAF+ (GuardPage) mitigation en met Protected View Mode enabled.
- v32bW7: ASR en EAF+ settings blijven behouden als de mitigation disabled wordt.
- 7Zip file manager start gewoon op.
- Windows media player start gewoon op en de gedeelde media library's van andere netwerk gebruikers worden getoond.
- In Internet Explorer is Manage Add-ons (Invoegtoepassingen beheren) zonder problemen te openen.
11-11-2014, 15:28 door Spiff has left the building
Door W. Spu, 14:48 uur: Ik heb mijn oude forum topic over EMET 5.0 er eens op na geslagen en wat dingen (kort) getest met de recommended security settings en de popular software profile en op een virtuele Windows 7 32-bit (v32bW7) en 64-bit computer (v64bW7) en een fysieke Windows 32-bit laptop (f64bW7):
Gezien de weergave van je testresultaten denk ik dat je bedoelde "en een fysieke Windows 32-bit laptop (f32bW7)"
en niet f64bW7.

FlamingFireFunky schreef wel over een x64 syteem:
Door FlamingFireFunky, 12:44 uur:
Heb nooit problemen gehad met EMET, behalve bij versie 5.0, daar liep IE11 64 bit niet goed meer.
Ik heb net EMET 5.1 geinstalleerd, zijn al mijn toepassingen verdwenen en kon ik de hele boel opnieuw gaan instellen, ik had gekozen voor 'keep existing settings' bij installatie.
Terwijl ik dit schrijf open ik IE, om te testen of de problemen daarmee opgelost zijn, krijg ik gewoon doodleuk weer de melding 'Emet detected EAF mitigation'... en vervolgens sluit ie IE af.
Aanvulling: ik gebruik gewoon de 'recommended security settings', dus in de standaard configuratie.
Dus zowel in EMET 5.0 als in 5.1 start IE11 niet bij mij, overigens heb ik nooit EAF+ ingeschakeld gehad voor IE11...
FlamingFireFunky, betrof dit ook met EMET 5.1 een x64 systeem?
En zo ja, welke Windows versie?
Windows 7 x64, of Windows 8.1 x64?
11-11-2014, 16:22 door FlamingFireFunky
@ Spiff:

Zowel EMET 3.5, 4.0, 4.1 en 4.1.1, 5.0 en 5.1 allemaal na elkaar op dezelfde Windows 7 Professional x64 pc.
11-11-2014, 16:53 door Spiff has left the building
Door FlamingFireFunky:
Zowel EMET 3.5, 4.0, 4.1 en 4.1.1, 5.0 en 5.1 allemaal na elkaar op dezelfde Windows 7 Professional x64 pc.
Dankjewel. Duidelijk.
En vervelend, dat er nog steeds systemen zijn waarop dus ook EMET 5.1 problemen geeft.
Ik ben benieuwd naar mijn aankomende eigen ervaringen met EMET 5.1 op Windows 7 x64.
Momenteel is mijn basissysteem nog een Vista 32 bit systeem, EMET geeft daarop geen serieuze problemen.
Maar in beschikbare uurtjes (dat duurt even) ben ik net bezig een notebook in te richten met Windows 7 x64, en daarna (volgende week, hoop ik) neem ik mijn basissysteem onder handen en krijgt dat nieuwe HDDs en Windows 7 x64. Ik ben uiteraard benieuwd hoe EMET 5.1 het op die twee systemen zal doen.
11-11-2014, 17:34 door [Account Verwijderd] - Bijgewerkt: 11-11-2014, 18:11
EMET 5.1 inmiddels op 1 PC geinstalleerd (Windows 7 32bits) en getest.

Na installatie van EMET 5.1 kreeg ik bij elk programma dat ik geïnstalleerd heb, en ook onder EMET staat de melding EMET deteced EAF mitigation.

Dit kreeg ik echter opgelost door Bij DeepGuard (een functie in KPN PC veilig) de optie 'compaliteitsmodus gebruiken (beveiliging wordt verlaagt)' een vinkje te zetten is het probleem opgelost en krijg ik geen meldingen meer van EMET en werkt mijn PC ook weer snel.

Ook bij elke applicatie onder EMET5.1 het vinkje bij EAF weg te halen lost het probleem op.

Ik durf echter geen conclusie te trekken of EMET en DeepGuard conflicteren op basis van mijn waarnemingen bij slechts een PC.

aanvulling
Het is mij overigens opgevallen dat Windows live mail is toegevoegd aan het Popular software protection profiel.
11-11-2014, 17:51 door [Account Verwijderd] - Bijgewerkt: 11-11-2014, 18:24
Door FlamingFireFunky:

Zie hier mijn post op de nieuwspagina: "Heb nooit problemen gehad met EMET, behalve bij versie 5.0, daar liep IE11 64 bit niet goed meer. Ik heb net EMET 5.1 geinstalleerd, zijn al mijn toepassingen verdwenen en kon ik de hele boel opnieuw gaan instellen, ik had gekozen voor 'keep existing settings' bij installatie.
Terwijl ik dit schrijf open ik IE, om te testen of de problemen daarmee opgelost zijn, krijg ik gewoon doodleuk weer de melding 'Emet detected EAF mitigation'... en vervolgens sluit ie IE af.
Aanvulling: ik gebruik gewoon de 'recommended security settings', dus in de standaard configuratie."

Dus zowel in EMET 5.0 als in 5.1 start IE11 niet bij mij, overigens heb ik nooit EAF+ ingeschakeld gehad voor IE11...

Vraagje, ondervind je het door jouw omschreven probleem met EAF alleen bij IE of ook bij andere applicaties?

In https://www.security.nl/posting/408245/Microsoft+beschermt+Windows+met+EMET+5_1 omschrijft Anoniem 11-11-2014 15:15 problemen met programma's waarbij hij/ zij een reactie van EMET krijgt met EAF.
11-11-2014, 18:49 door Spiff has left the building
Door _kraai__, 17:34 uur:
[...]
Dit kreeg ik echter opgelost door Bij DeepGuard (een functie in KPN PC veilig) de optie 'compaliteitsmodus gebruiken (beveiliging wordt verlaagt)' een vinkje te zetten is het probleem opgelost en krijg ik geen meldingen meer van EMET en werkt mijn PC ook weer snel.
[...]
Ik durf echter geen conclusie te trekken of EMET en DeepGuard conflicteren op basis van mijn waarnemingen bij slechts een PC.
Interessant.
Gezien het onderdeel DeepGuard vermoed ik dat KPN PC Veilig is gebaseerd op F-Secure.
In KPN's PC Veilig informatie zie ik daarover echter geen informatie vermeld staan.
We kunnen eens opletten of we ook meldingen tegenkomen van conflicten op systemen met F-Secure en EMET 5.1.
11-11-2014, 19:43 door [Account Verwijderd] - Bijgewerkt: 11-11-2014, 19:47
@Spiff Klopt, KPN PC veilig is inderdaad gebaseerd op F-Secure. Wanneer ik namelijk KPN PC veilig open staat er links onderin 'Protection by F-Secure'.
11-11-2014, 22:50 door vanegmond
Het zal misschien weer een overbodige vraag zijn, maar ;
Kan ik Emet 5.1 over 5.0 installeren en dan kiezen voor ......?
Keep exiting settings of custom settings, wat is beter.
Zoveel heb ik nu ook niet in Emet staan.

Off Topic, maar Kraai heb je nog problemen gehad met Mediaplayer ?
De mijne speelt geen Videoclips meer af, probleem, word afgesloten.
11-11-2014, 23:13 door FlamingFireFunky
@ Spiff: thuis gebruik ik ook Vista, maar dan x64, nooit een probleem gehad met EMET (alle versies).

@ _kraai_: alleen met IE 11 op W7 x64.
12-11-2014, 01:05 door Spiff has left the building - Bijgewerkt: 12-11-2014, 01:28
@ _kraai__,
Ook hier een vermelding van een conflict met F-Secure DeepGuard:
https://www.security.nl/posting/408245#posting408359
12-11-2014, 01:11 door Spiff has left the building - Bijgewerkt: 12-11-2014, 01:27
@ FlamingFireFunky,
Jouw probleem lijkt dus enkel op IE11 betrekking te hebben, als ik je goed begrijp.
Vista heeft geen IE11 maar slechts IE9, vandaar dan wellicht dat je (en ik ook nog) daar geen probleem mee ervaart.
12-11-2014, 01:23 door Spiff has left the building
Door vanegmond, di.11-11, 22:50 uur:
Kan ik Emet 5.1 over 5.0 installeren en dan kiezen voor ......?
Keep exiting settings of custom settings, wat is beter.
Zoveel heb ik nu ook niet in Emet staan.
Ja, je kunt EMET 5.1 over EMET 5.1 installeren, de EMET installer deïnstalleert automatisch eerst de vorige installatie.
En bedoel je "Use Recommended Settings" en "Keep Existing Settings"?
Als je het geen probleem vindt om na installatie een paar instellingen in EMET te moeten maken, dan zou ik kiezen voor "Use Recommended Settings" (en niet "Keep Existing Settings"), zodat eerdere instellingen niet worden overgenomen maar de standaardinstellingen worden toegepast. Zo weet je zeker dat je niet per ongeluk rare erfenissen uit de eerdere instellingen overneemt.
12-11-2014, 08:26 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 16:56
Door vanegmond 11-11-2014 22:50 uur: Het zal misschien weer een overbodige vraag zijn, maar ;
Kan ik Emet 5.1 over 5.0 installeren en dan kiezen voor ......?
Keep exiting settings of custom settings, wat is beter.
Zoveel heb ik nu ook niet in Emet staan.
Door Spiff 12-11-2014 01:23 uur:
Als je het geen probleem vindt om na installatie een paar instellingen in EMET te moeten maken, dan zou ik kiezen voor "Use Recommended Settings" (en niet "Keep Existing Settings"), zodat eerdere instellingen niet worden overgenomen maar de standaardinstellingen worden toegepast. Zo weet je zeker dat je niet per ongeluk rare erfenissen uit de eerdere instellingen overneemt.

Eventueel kun je van de programma's die zelf onder EMET hebt gezet even ergens obschrijven welke mitigations niet kunnen worden toegepast. Dan zijn die er ook weer snel in gezet wanneer je voor "Use recommend Setings" kiest.

Door vanegmond 11-11-2014 22:50 uur:
Off Topic, maar Kraai heb je nog problemen gehad met Mediaplayer ?
De mijne speelt geen Videoclips meer af, probleem, word afgesloten.

Nee ik heb geen problemen met Media Player. Maar bedoel je dat deze wordt afgesloten en er een melding van EMET verschijnt? In dat geval zou je nadat je EMET 5.1 hebt geïnstalleerd, nog eens kunnen kijken of het probleem zich nog steeds voordoet.
12-11-2014, 08:37 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 08:48
Door FlamingFireFunky 11-11-2014 23:13 uur:
@ _kraai_: alleen met IE 11 op W7 x64.

Oké bedankt voor je antwoord. Ik heb EMET inmiddels gisteravond ook op mijn andere PC geïnstalleerd (W7 64 bits), ik heb echter geen problemen met IE11.

Op deze mijn PC met Windows 7 64 bits staat overigens ook geen KPN PC veilig geïnstalleerd ik kom dan verder ook geen problemen tegen).
12-11-2014, 08:46 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 09:01
Door Spiff 12-11-2014 01:05 uur: @ _kraai__,
Ook hier een vermelding van een conflict met F-Secure DeepGuard:
https://www.security.nl/posting/408245#posting408359

Bedankt voor het vermelden Spiff. Ik ben overigens op het forum van F-Secure een melding tegen gekomen van een conflict tussen EMET5.0 en DeepGuard.

https://community.f-secure.com/t5/Security/EMET-and-Deepguard-compatibility/m-p/62867/highlight/true#M10742

Destijds kwam ik met EMET 5.0 ook het probleem tegen dat programma's niet opstartte, echter kon ik toen de oorzaak niet vinden maar ik denk dat het conflicteren van EMET en DeepGuard toen ook al het probleem is geweest Maar volgens mij (ik weet het niet zeker) heette DeepGuard in KPN PC veilig toen exploit-shields.

Ik heb EMET inmiddels ook op mijn andere PC geïnstalleerd (Windows 7 64 bits) maar daar staat geen KPN PC veilig op geïnstalleerd. Ik kwam dan ook geen problemen tegen dat programma's niet opstarten.
12-11-2014, 11:57 door Spiff has left the building
Door _kraai__, 08:46 uur:
Ik ben overigens op het forum van F-Secure een melding tegen gekomen van een conflict tussen EMET5.0 en DeepGuard.
https://community.f-secure.com/t5/Security/EMET-and-Deepguard-compatibility/m-p/62867/highlight/true#M10742

Destijds kwam ik met EMET 5.0 ook het probleem tegen dat programma's niet opstartte, echter kon ik toen de oorzaak niet vinden maar ik denk dat het conflicteren van EMET en DeepGuard toen ook al het probleem is geweest Maar volgens mij (ik weet het niet zeker) heette DeepGuard in KPN PC veilig toen exploit-shields.
Dankjewel voor die informatie, _kraai__.
Bij andere vermeldingen van problemen met EMET zullen we steeds moeten vragen of mogelijk F-Secure wordt gebruikt.

Door _kraai__, 08:46 uur:
Ik heb EMET inmiddels ook op mijn andere PC geïnstalleerd (Windows 7 64 bits) maar daar staat geen KPN PC veilig op geïnstalleerd. Ik kwam dan ook geen problemen tegen dat programma's niet opstarten.
Ook niet met IE11?
Fijn om ook weer een vermelding te zien van een systeem zonder problemen in relatie met EMET :-)
12-11-2014, 14:49 door W. Spu
Door vanegmond: Het zal misschien weer een overbodige vraag zijn, maar ;
Kan ik Emet 5.1 over 5.0 installeren en dan kiezen voor ......?
Keep exiting settings of custom settings, wat is beter.
Zoveel heb ik nu ook niet in Emet staan.

Zoals al eerder geschreven door Spiff en Kraai kan EMET 5.1 over EMET 5.0 geinstalleerd worden. Ik zou echter eerst de eigen toegevoegde applicaties selecteren en via de knop export selected exporteren. Vervolgens kan EMET 5.1 het beste met recommended settings geïnstalleerd worden. Vanuit het hoofdscherm van EMET kan via de import knop de popular software profile en ook geëxporteerde applicaties weer toegevoegd worden. Zo weet je zeker dan de laatste settings van de popular software hebt en de oude settings van je eigen apps.
12-11-2014, 14:52 door W. Spu - Bijgewerkt: 12-11-2014, 16:02
Als ik de popular software profile van EMET 5.0 vergelijk met die van EMET 5.1 zie ik maar twee changes:
- Bij Chrome is EAF+ enabled voor chrome_child.dll
- Operea Software ASA is toegevoegd

Vanuit Microsoft Connect - EMET kreeg ik nog deze opmerking: With the default Protection Profiles that install with 5.1, Java 8 is added for Recommended Software.xml, but it is still not part of Popular Software.xml. Presumably this is an oversight.

Op de test systemen is EMET 5.1 met recommended settings geinstalleerd en heb ik daarna de popular software profile geïmporteerd. De recommended settings zorgen er voor dat de recommended software profile gebruikt wordt en de popular software profile voegt wat populaire applicaties toe. Het eind resultaat is een popular software profile met Java 8
12-11-2014, 16:40 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 16:59
Door Spiff 12-11-2014 11:57 uur:
Door _kraai__, 08:46 uur:
Ik heb EMET inmiddels ook op mijn andere PC geïnstalleerd (Windows 7 64 bits) maar daar staat geen KPN PC veilig op geïnstalleerd. Ik kwam dan ook geen problemen tegen dat programma's niet opstarten.
Ook niet met IE11?

Nee ook met IE11 ben ik geen problemen tegengekomen. Waar de problemen bij IE11 in combinatie met EMET5.1 die FlamingFireFunky omschreef door veroorzaakt worden, vraag ik mij af.

Door Spiff 12-11-2014 11:57 uur:
Fijn om ook weer een vermelding te zien van een systeem zonder problemen in relatie met EMET :-)

Gelijk heb je.

Ik ben overigens wel benieuwd of je al informatie hebt of EMET goed werkt op jouw notebook met Windows 7 64 bits waar je over schreef in je reactie 11-11-2014 16:53 uur. (Met name ook IE11). Ik heb geen ervaring met Windows Vista, maar het zal denk ik wel weer even wennen zijn; de overstap van Windows Vista naar Windows 7?

Door Spiff 11-11-2014 16:53 uur:
Ik ben benieuwd naar mijn aankomende eigen ervaringen met EMET 5.1 op Windows 7 x64.

[stukje geknipt]

Maar in beschikbare uurtjes (dat duurt even) ben ik net bezig een notebook in te richten met Windows 7 x64,.
12-11-2014, 16:46 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 16:57
Door W. Spu 12-11-2014 14:52 uur: Als ik de popular software profile van EMET 5.0 vergelijk met die van EMET 5.1 zie ik maar twee changes:
- Bij Chrome is EAF+ enabled voor chrome_child.dll
- Operea Software ASA is toegevoegd

Stond Windows Live Mail dan toch wel al in het Popular software profile van EMET5.0?

Door W. Spu 12-11-2014 14:52 uur:

Vanuit Microsoft Connect - EMET kreeg ik nog deze opmerking: With the default Protection Profiles that install with 5.1, Java 8 is added for Recommended Software.xml, but it is still not part of Popular Software.xml. Presumably this is an oversight.

Op de test systemen is EMET 5.1 met recommended settings geinstalleerd en heb ik daarna de popular software profile geïmporteerd. De recommended settings zorgen er voor dat de recommended software profile gebruikt wordt en de popular software profile voegt wat populaire applicaties toe. Het eind resultaat is een popular software profile met Java 8

Dit stukje begrijp ik volgens mij niet helemaal goed. Bedoel je dus dat in het popular software profile geen java 8 staat, maar doordat dit wel in het recommended profile staat, uiteindelijk wel erin komt te staan? Overschrijft het popular software profile dus het recommended software profiel niet wanneer dit wordt geïmporteerd, maar is een aanvulling?
12-11-2014, 17:44 door W. Spu - Bijgewerkt: 12-11-2014, 19:33
Door _kraai__ 12-11-2014 16:57 uur:
Stond Windows Live Mail dan toch wel al in het Popular software profile van EMET5.0?

"*\Windows Live\Mail\wlmail.exe" zit in 'Popular Software.xml'

Door _kraai__ 12-11-2014 16:57 uur:
Dit stukje begrijp ik volgens mij niet helemaal goed. Bedoel je dus dat in het popular software profile geen java 8 staat, maar doordat dit wel in het recommended profile staat, uiteindelijk wel erin komt te staan? Overschrijft het popular software profile dus het recommended software profiel niet wanneer dit wordt geïmporteerd, maar is een aanvulling?

In het bestand 'Recommended Software.xml' staat dit stuk:

<Suite Name="Java8">
<App Name="Console" Path="*\Java\jre1.8*\bin\java.exe">
<Mitigation Name="HeapSpray" Enabled="false" />
</App>
<App Name="GUI" Path="*\Java\jre1.8*\bin\javaw.exe">
<Mitigation Name="HeapSpray" Enabled="false" />
</App>
<App Name="Web Start" Path="*\Java\jre1.8*\bin\javaws.exe">
<Mitigation Name="HeapSpray" Enabled="false" />
</App>
</Suite>

Deze 'Suite' is niet te vinden in het bestand 'Popular Software.xml'
12-11-2014, 19:14 door Spiff has left the building
Door _kraai__, 16:40 uur:
Ik ben overigens wel benieuwd of je al informatie hebt of EMET goed werkt op jouw notebook met Windows 7 64 bits waar je over schreef in je reactie 11-11-2014 16:53 uur. (Met name ook IE11).
Het inrichten van die genoemde notebook is nog niet klaar.
Anders dan ik eerder dacht wordt dat wellicht niet deze week maar pas volgende week wanneer dat klaar is.
Ik heb er steeds maar even de tijd voor, en ik ben een pietje-precies met inrichten, ik wil alles precies naar mijn hand gezet hebben, dus dat kost wel een paar dagen, en zodoende een paar dagen méér dan ik dacht.
Zodra ik de boel klaar heb, zal ik hier nog even vermelden hoe EMET 5.1 en IE11 op dat systeem samengaan.

Door _kraai__, 16:40 uur:
Ik heb geen ervaring met Windows Vista, maar het zal denk ik wel weer even wennen zijn; de overstap van Windows Vista naar Windows 7?
O, dat valt wel mee. Ik ken Windows 7 al prima, en Windows 7 wijkt maar relatief weinig af van Windows Vista.
De verschillen tussen XP en Vista en tussen Windows 7 en 8 die zijn vele malen groter.
Wel zijn er in Windows 7 een aantal dingen anders dan in Vista, die me als pietje-precies ergeren. Zoals bijvoorbeeld de Bibliotheken in Windows Verkenner, en de niet-ondoorzichtige vensterranden bij gemaximaliseerde vensters, en meer van dat soort Windows 7 details, al dat soort dingen pas ik aan - en dat houdt me zelfs langer van de straat dan ik had ingecalculeerd ;-)
12-11-2014, 22:46 door [Account Verwijderd] - Bijgewerkt: 12-11-2014, 22:48
@W.Spu, bedankt voor uitgebreidere toelichting.

Door Spiff 12-11-2014 19:14 uur:
Het inrichten van die genoemde notebook is nog niet klaar.
Anders dan ik eerder dacht wordt dat wellicht niet deze week maar pas volgende week wanneer dat klaar is.
Ik heb er steeds maar even de tijd voor, en ik ben een pietje-precies met inrichten, ik wil alles precies naar mijn hand gezet hebben, dus dat kost wel een paar dagen, en zodoende een paar dagen méér dan ik dacht.
Zodra ik de boel klaar heb, zal ik hier nog even vermelden hoe EMET 5.1 en IE11 op dat systeem samengaan.

Oké bedankt, het lijkt mij overigens dat als je nu het inrichten van je notebook precies uitvoert, en hij daarna wel meteen goed en prettig werkt je er alleen maar profijt van de wat meer besteedde tijd bij het inrichten zult hebben (hoop ik).

Verder zal het updaten ook wel de nodige tijd kosten denk ik.

Ik ben benieuwd wat uiteindelijk het resultaat zal zijn met EMET 5.1 en IE11 op dat systeem.

In elk geval nog veel plezier met het inrichten van je systeem :-)
13-11-2014, 18:35 door W. Spu - Bijgewerkt: 13-11-2014, 21:03
Nog even wat over EMET 5.1 en Java Runtime Environment 8. Bij een EMET installatie met recommended settings en daarna een import van de popular software profile krijg je toch de bescherming voor de drie java 8 applicaties en de extra applicaties in de popular software profile. Echter...... de rule "*\Java\jre1.8*\bin\......exe" werkt alleen voor de static installatie van JRE8 (standaard sinds JRE8u20). Bij een static installatie wordt iedere JRE8 update in een aparte folder geïnstalleerd en worden de oude versies niet verwijderd. Met JRE7 is op een gegeven moment een patch in place installatie ingevoerd in de '...\java\jre7' folder. Bij nieuwe updates werd de oude versie in de standaard folder vervangen door de nieuwe versie. Hierdoor bleven er geen oude JRE7 installaties op het systeem achter waarvan de kwetsbaarheden misbruikt zouden kunnen worden. Sinds JRE8u20 is er ook een MSI Enterprise Installer voor Java te downloaden (mits je een contract daarvoor hebt) die wel een patch-in-place installatie doet (of kan doen) zoals dat met JRE7 al tijden gebeurde. Maar de standaard installatie folder bij een dergelijke installatie is '....\java\jre8'. De protection rules werken dus niet voor JRE8 patch-in-place installaties :-(
13-11-2014, 21:36 door vanegmond
Gisteren, 01:23 door Spiff


Ja, je kunt EMET 5.1 over EMET 5.1 installeren, de EMET installer deïnstalleert automatisch eerst de vorige installatie.
En bedoel je "Use Recommended Settings" en "Keep Existing Settings"?
Als je het geen probleem vindt om na installatie een paar instellingen in EMET te moeten maken, dan zou ik kiezen voor "Use Recommended Settings" (en niet "Keep Existing Settings")

Bedankt Spiff, dat heb ik net gedaan, en 5.1 staat er op !

_kraai_Eventueel kun je van de programma's die zelf onder EMET hebt gezet even ergens obschrijven welke mitigations niet kunnen worden toegepast. Dan zijn die er ook weer snel in gezet wanneer je voor "Use recommend Setings" kiest.

Die kan ik even niet volgen kraai ?
Je bedoelt met Export en zo ?

Nee ik heb geen problemen met Media Player. Maar bedoel je dat deze wordt afgesloten en er een melding van EMET verschijnt? In dat geval zou je nadat je EMET 5.1 hebt geïnstalleerd, nog eens kunnen kijken of het probleem zich nog steeds voordoet.

Nee, Emet 5.0 gaf geen melding, ik had wel met Freemake wat aan het downloaden en
opende toen ook Mediaplayer om een Videoclip of die ik aan het dowloaden te zien, maar
dat weet ik niet meer.
Maar zie nu na het downloaden van Emet 5.1 werkt Mediaplayer weer met Videoclips
alleen valt het geluid soms even weg, misschien iets in Emet uitvinken ?

van W.Spu, Zoals al eerder geschreven door Spiff en Kraai kan EMET 5.1 over EMET 5.0 geinstalleerd worden. Ik zou echter eerst de eigen toegevoegde applicaties selecteren en via de knop export selected exporteren. Vervolgens kan EMET 5.1 het beste met recommended settings geïnstalleerd worden. Vanuit het hoofdscherm van EMET kan via de import knop de popular software profile en ook geëxporteerde applicaties weer toegevoegd worden. Zo weet je zeker dan de laatste settings van de popular software hebt en de oude settings van je eigen apps.

Dat Export heb ik geprobeerd Spu maar die Config files vind ik nergens terug.
Dus ik heb maar gekozen voor de populair software en de paar eigen software, Sumatra, Babachess,
Freemake er handmatig ingezet, open de software en doe dan in Emet, met R muis erop, config en
het staat in Emet, want volgens mij is dat nog steeds de bedoeling van Emet, zet je software erin.

Nog even dit, misschien wel handig voor de Google Chrome gebruikers, met de link
https://www.microsoft.com/en-us/download/details.aspx?id=43714
Kom je precies op de goede site uit, maar Chrome houd de download tegen, kijk in je
browser en sta toe dat het script word uitgevoerd, dan gaat het wel goed.
Anders word er niks gedownload, er gebeurt niks.

Bedankt Allen voor de antwoorden ! Ook voor de tip dat 5.1 er is, want MS doet dat niet !
Dus als er hier geen melding van word gemaakt, hoe komen we het dan te weten ?
@ Spiff, succes met de nieuwe laptop/computer, zal een heel werk zijn en puzzelen, maar
als alles dan werkt, hopelijk ! Dan heb je daar veel voldoening van.
13-11-2014, 22:04 door Spiff has left the building
Door vanegmond, 21:36 uur:[...]
Dus ik heb maar gekozen voor de populair software en de paar eigen software, Sumatra, Babachess, Freemake er handmatig ingezet, open de software en doe dan in Emet, met R muis erop, config en het staat in Emet, want volgens mij is dat nog steeds de bedoeling van Emet, zet je software erin.
Zoals ik in je CDBurnerXP thread eerder aangaf (https://www.security.nl/posting/407919#posting407924) -
er is niet één bedoeling met EMET, iedereen kan en mag EMET gebruiken zoals die wil.
De een beperkt de door EMET te controleren applicaties tot bijvoorbeeld het Protection Profile Popular Software, een ander voegt er naar eigen inzicht een aantal andere potentieel kwetsbare applicaties aan toe, en weer een ander brengt álle software onder de hoede van EMET, zoals jij dat doet, als ik je eerder goed begrepen heb. Dat kan allemaal, er is niet één "bedoeling".
Voor sommige - potentieel kwetsbare - applicaties is controle door EMET veel relevanter dan voor andere waarvoor de kans op een aanval via die applicaties ronduit klein is. Het Protection Profile Popular Software biedt een aardige dekking van de kwetsbare en potentieel kwetsbare applicaties. Niet iedereen vind het erg zinvol om daar elk willekeurige ander proces aan toe te voegen.
13-11-2014, 22:31 door [Account Verwijderd]
Door vanegmond 13-11-2014 21:36:
Die kan ik even niet volgen kraai ?
Je bedoelt met Export en zo ?

Ik bedoelde eigenlijk gewoon even ergens op een briefje schrijven welke mitigations niet kunnen worden ingeschakeld voor software die je zelf in EMET hebt gezet en dus niet in het popular software protection profiel staat. Wanneer je dan EMET5.1 hebt geïnstalleerd en voor "Use recommend Setings" hebt gekozen, en daarna popular protection profiel instelt, kun je ook de andere software die niet in het popular protection profiel staat gemakkelijk er weer opnieuw in zetten (anders weet je misschien niet meer welke mitigations wel en niet ingeschakeld konden worden ).

Maar goed ik begrijp dat je EMET 5.1 inmiddels heb geïnstalleerd en ingesteld dus het bovenstaande is lijkt mij dan al niet meer van toepassing.

Door vanegmond 13-11-2014 21:36:

Nee, Emet 5.0 gaf geen melding, ik had wel met Freemake wat aan het downloaden en
opende toen ook Mediaplayer om een Videoclip of die ik aan het dowloaden te zien, maar
dat weet ik niet meer.
Maar zie nu na het downloaden van Emet 5.1 werkt Mediaplayer weer met Videoclips
alleen valt het geluid soms even weg, misschien iets in Emet uitvinken ?

Het wegvallen van het geluid hoeft niet aan EMET of aan Windows Media Player te liggen maar kan ook een andere oorzaak hebben. Voor Windows Media Player hoeft mij wetende alleen bij MandatoryASLR en EAF het vinkje te worden weggehaald, dus dit zou je even kunnen controleren.
13-11-2014, 22:54 door vanegmond - Bijgewerkt: 13-11-2014, 22:56
Spiff, er is niet één bedoeling met EMET, iedereen kan en mag EMET gebruiken zoals die wil.

Wat ik van alles wat ik lees, begrijp ik dat wel de bedoeling is, jouw know how van computers
zegt onzin, en misschien is dat ook zo. Ik zette er toch bij, volgens mij....

http://www.youtube.com/watch?v=zDZWgsJFEp4

_kraai_Ik bedoelde eigenlijk gewoon even ergens op een briefje schrijven welke mitigations niet kunnen worden ingeschakeld voor

oh bedoelde je dat kraai, wel soms is de eenvoudigste weg de beste.
Ik heb er maar 4 of zo, die ik erin zet, maar ik schrijf ze eens op.
Want dat Export kan ik niet volgen. Opslaan als Config files maar
dan vind ik ze niet meer.

_kraai_Voor Windows Media Player hoeft mij wetende alleen bij MandatoryASLR en EAF het vinkje te worden weggehaald, dus dit zou je even kunnen controleren.

Ja die staan uitgevinkt Kraai, ook uitgevinkt staat automatisch uitgevinkt,
EAF_EAF+_MandatoryASLR_ASR.
Dus waarom Mediaplayer bij afspelen nu met Videoclips bij het geluid héél even
steeds wegvalt , weet ik niet.
Anderen bevelen mij betere spelers aan, maar ik vind Mediaplayer zo handig als
die het doet, want anders ......Grrr, ben allergisch voor app die niet werken.
13-11-2014, 23:35 door W. Spu
Door vanegmond:
Want dat Export kan ik niet volgen. Opslaan als Config files maar
dan vind ik ze niet meer.

Hierbij een korte handleiding:
- Open EMET
- Klik in het hoofdscherm op de Apps knop
- Selecteer de eerste eigen app door op de app te klikken. Andere apps kunnen eventueel geselecteerd worden door de ctrl-toets ingedruk te houden en één voor één de andere apps aan te klikken.
- Klik op de 'Export Selected' knop.
- Selecteer een folder (bij voorkeur niet de installatie folder van EMET) en geef een bestandsnaam op en vergeet de extensie .xml niet.
- Sluit EMET af

Installeer een andere versie van EMET of experimenteer met de mitigations of verwijder je eigen apps. Je kunt de opgeslagen instellingen voor die apps altijd weer terug halen door het bestand te importeren.

Op een later moment kan vanuit het hoofdscherm van EMET via de knop import het opgeslagen bestand weer ingelezen worden. De bestaande apps met hetzelfde AppConfig Path worden overschreven.
14-11-2014, 09:21 door Spiff has left the building
Door vanegmond, do.13-11, 22:54 uur:
Wat ik van alles wat ik lees, begrijp ik dat wel de bedoeling is, jouw know how van computers zegt onzin, en misschien is dat ook zo. Ik zette er toch bij, volgens mij....
http://www.youtube.com/watch?v=zDZWgsJFEp4
Nee, ik zei beslist niet dat ik jouw aanpak "onzin" zou vinden.
Kijk nog maar eens naar wat ik gisteren 22:04 uur aangaf (https://www.security.nl/posting/408206#posting408557).
Ik geef slechts aan dat er niet maar één "bedoeling" zou zijn, zoals jij steeds stelt, maar dat iedereen kan doen wat ie wil met EMET, afhankelijk van wat je nodig en nuttig vindt. En de meningen over wat nodig en nuttig is die kunnen verschillen. Dát is wat ik zeg, niet dat jouw aanpak of wiens dan ook "onzin" zou zijn.

Het filmpje dat je aanreikte dat moet ik later bekijken, ik heb momenteel geen tijd over.
14-11-2014, 12:51 door [Account Verwijderd] - Bijgewerkt: 14-11-2014, 13:01
Door vanegmond 14-11-2014 22:56:

Ja die staan uitgevinkt Kraai, ook uitgevinkt staat automatisch uitgevinkt,
EAF_EAF+_MandatoryASLR_ASR.
Dus waarom Mediaplayer bij afspelen nu met Videoclips bij het geluid héél even
steeds wegvalt , weet ik niet.
Anderen bevelen mij betere spelers aan, maar ik vind Mediaplayer zo handig als
die het doet, want anders ......Grrr, ben allergisch voor app die niet werken.

Wat je kunt proberen is eerst jouw instellingen eerst ergens opslaan via export (W.Spu legt mooi uit zijn reactie van 13-11-2014 23:35 hoe dit moet).

Vervolgens schakel je voor Windows Media Player alle mitigations in EMET onder apps uit, en kijk je of het probleem is verholpen. Is dit het geval, dan kun je steeds een mitigation weer inschakelen en dan testen of het weer probleem terug is. mocht je dan naar het in schakelen van een mitigation weer het probleem tegen komen dat het geluid heel even weg valt, kun je overwegen die mitigation uitgeschakeld laten staan. (MandatoryASLR, EAF,ASR en EAF+ gewoon uit laten staan bij het weer inschakelen van de mitigations).

Mocht het probleem niet verholpen zijn dan zal het probleem denk ik niet door EMET veroorzaakt worden. En zoals ik al eerder zij in mijn reactie van 13-11-2014 22:31, het probleem dat jij omschrijft, hoeft niet aan EMET of Windows Media Player te liggen.
14-11-2014, 21:52 door Anoniem
Leuk dat EMET, dus IE 11 werkt niet meer of nauwelijks,je moet als je F-Secure op je pc hebt dus DeepGuard uitschakelen.,en weet ik wat nog meer voor bugs/problemen.Dat Deep Guard in F-Secure,dat zit er niet voor niks in,das beldoed om geniepige malware tegen te houden,en als je geen internetverbinding kunt maken als je IE11 hebt,tsja dan heb je idd een heel veilige computer.Wat Microsoft moet doen is deze EMET tool nog verder verbeteren,de-buggen,geschikt maken om samen te werken met andere security-software (zoals F-Secure Deep Guard) en de tool dan gewoon via windows update verspreiden en in windows integreren.Voorlopig komt EMET er bij mij niet op.
16-11-2014, 20:13 door Spiff has left the building
Door vanegmond, 13-11, 21:36 uur:
Dus ik heb maar gekozen voor de populair software en de paar eigen software, Sumatra, Babachess, Freemake er handmatig ingezet, open de software en doe dan in Emet, met R muis erop, config en het staat in Emet, want volgens mij is dat nog steeds de bedoeling van Emet, zet je software erin.
Door Spiff, 13-11, 22:04 uur:
Zoals ik in je CDBurnerXP thread eerder aangaf (https://www.security.nl/posting/407919#posting407924) -
er is niet één bedoeling met EMET, iedereen kan en mag EMET gebruiken zoals die wil.
De een beperkt de door EMET te controleren applicaties tot bijvoorbeeld het Protection Profile Popular Software, een ander voegt er naar eigen inzicht een aantal andere potentieel kwetsbare applicaties aan toe, en weer een ander brengt álle software onder de hoede van EMET, zoals jij dat doet, als ik je eerder goed begrepen heb. Dat kan allemaal, er is niet één "bedoeling".
Voor sommige - potentieel kwetsbare - applicaties is controle door EMET veel relevanter dan voor andere waarvoor de kans op een aanval via die applicaties ronduit klein is. Het Protection Profile Popular Software biedt een aardige dekking van de kwetsbare en potentieel kwetsbare applicaties. Niet iedereen vind het erg zinvol om daar elk willekeurige ander proces aan toe te voegen.
Door vanegmond, do.13-11, 22:54 uur:
Wat ik van alles wat ik lees, begrijp ik dat wel de bedoeling is, jouw know how van computers zegt onzin, en misschien is dat ook zo. Ik zette er toch bij, volgens mij....
http://www.youtube.com/watch?v=zDZWgsJFEp4
Door Spiff, vr.14-11, 09:21 uur:
Nee, ik zei beslist niet dat ik jouw aanpak "onzin" zou vinden.
Kijk nog maar eens naar wat ik gisteren 22:04 uur aangaf (https://www.security.nl/posting/408206#posting408557).
Ik geef slechts aan dat er niet maar één "bedoeling" zou zijn, zoals jij steeds stelt, maar dat iedereen kan doen wat ie wil met EMET, afhankelijk van wat je nodig en nuttig vindt. En de meningen over wat nodig en nuttig is die kunnen verschillen. Dát is wat ik zeg, niet dat jouw aanpak of wiens dan ook "onzin" zou zijn.

Het filmpje dat je aanreikte dat moet ik later bekijken, ik heb momenteel geen tijd over.

Ik ben er weer, en heb dat filmpje van Didier Stevens dat je donderdag aanreikte nu bekeken.
Didier geeft informatie over een aantal onderdelen van EMET, en hij vertelt tevens over zijn eigen HeapLocker software.
Maar in Didiers beschrijving vind ik niets dat zegt dat het "de bedoeling" zou zijn dat de gebruiker de EMET mitigations toepast op álle software, zoals jij dat doet via de Running Processes groep, als ik je eerder goed begrepen heb, en dat die aanpak "de bedoeling" zou zijn, zoals jij dat stelt.
Didier beschrijft onder meer het toepassen van DEP, SEHOP en ASLR, maar zegt (volgens mij toch) nergens dat het absoluut "de bedoeling" zou zijn dat de gebruiker de EMET mitigations toepast op álle software, zoals jij dat doet via de Running Processes groep, als ik je goed begrepen heb.

We interpreteren een en ander verschillend, óf we begrijpen elkaar niet goed.
Maar dat is wat mij betreft geen probleem.
Er is niets mis met jouw aanpak.
Enkel je herhaalde bewering dat er één "bedoeling" zou zijn met EMET, en dat dat het door de gebruiker toepassen van de EMET mitigations op álle software zou zijn, dat bevreemdt me.
Ik geef aan dat er niet maar één "bedoeling" is, maar dat iedereen kan doen wat ie wil met EMET, afhankelijk van wat je nodig en nuttig vindt. En de meningen over wat nodig en nuttig is die kunnen verschillen.
We zullen het misschien niet eens worden, maar dat is geen probleem, zo lijkt me.
We hebben in ieder geval allebei aangegeven wat we bedoelen.
17-11-2014, 03:28 door vanegmond - Bijgewerkt: 17-11-2014, 03:46
van Spiff, Ik geef aan dat er niet maar één "bedoeling" is, maar dat iedereen kan doen wat ie wil met EMET, afhankelijk van wat je nodig en nuttig vindt. En de meningen over wat nodig en nuttig is die kunnen verschillen.

Maak je niet zo druk Spiff, je maakt er wel veel werk van om je Punt te maken.
Hoe vaak heb je nu al neergezet dat er niet één bedoeling van Emet is ?
Volgens mij is het wel de bedoeling om sommige van je eigen software erin te zetten, en ik heb er ook niet
alles instaan hoor, dus neem mijn mening ook als een eigen mening, als dat mag ?
Ik kan dus mijn bedoeling ook , zelfs met jouw toestemming, gelukkig uitvoeren, met Emet.

http://www.youtube.com/watch?v=28_LUs_g0u4 een eigen stukje software dus.

http://www.youtube.com/watch?v=lP9Vtg1FvEQ
Vreemd dat ik vaak bij die filmpjes zag, dat Deep Hooks staat uitgevinkt, waarom weet ik niet.
Ik mag graag die filmpjes zien als lezen, maar Security.nl en vooral de Leden hebben mij al
lezende heel wat verder gebracht, nogmaals mijn dank daarvoor aan allen !!!

En dat kwam ik vaker tegen, het is natuurlijk aan een ieder, wat hij/zij wil onderbrengen in Emet !
Is het zo goed Spiff, ik heb de moeite maar genomen, dat doe jij tenslotte ook, maar om zoveel
werk te blijven maken van mijn mening, vind ik wel wat overdreven, eerlijk gezegd !
Je kan die tijd beter aan je computers-puzzles besteden Spiff, suc6 daarmee !
17-11-2014, 12:52 door Spiff has left the building
Door vanegmond, 03:28 uur:
Vreemd dat ik vaak bij die filmpjes zag, dat Deep Hooks staat uitgevinkt, waarom weet ik niet.
Betrof dat mogelijk filmpjes die gemaakt zijn met EMET 4.0 of EMET 4.1?
In EMET 4.0 en EMET 4.1 was de Deep Hooks mitigation setting standaard nog niet ingeschakeld.
Pas vanaf EMET 4.1 Update 1 is de Deep Hooks mitigation setting standaard ingeschakeld.

Door vanegmond, 03:28 uur:
Maak je niet zo druk Spiff, je maakt er wel veel werk van om je Punt te maken.
Dat is volledig jouw interpretatie, vanegmond.
Ik maak me niet druk.
Ik reageerde slechts op wat je in je eerdere CDBurnerXP thread en ook hier in de EMET thread een aantal malen tamelijk nadrukkelijk stelde over wat jij benoemt als "de bedoeling" van EMET, en op het filmpje dat je donderdagavond aanreikte om je inzicht te onderbouwen.
Ik had zoals ik vrijdagochtend aangaf toen geen tijd meer om dat filmpje te bekijken en om daarop te reageren, daarom deed ik dat gisteravond nog, zoals ik dat vrijdag beloofd had.
En dat was alles - het nog even nakomen van mijn belofte van vrijdag. Ik meende dat ik dat jou en de andere volgers van deze thread nog verschuldigd was.
En daarmee is wat mij betreft onze uitwisseling van gedachten op dat specifieke punt klaar.
17-11-2014, 21:13 door [Account Verwijderd]
Door Anoniem 14-11-2014 21:52 uur: Leuk dat EMET, dus IE 11 werkt niet meer of nauwelijks,je moet als je F-Secure op je pc hebt dus DeepGuard uitschakelen.

Even nog een keer aangeven voor de duidelijkheid

Bij mij was het inschakelen van de optie "compaliteitsmodus gebruiken (beveiliging wordt verlaagt)" in DeepGuard al genoeg om het probleem op te lossen dat programma's niet meer opstarten. DeepGuard hoefde dus niet helemaal te worden uitgeschakeld.
17-11-2014, 23:22 door vanegmond
van Spiff, Het Protection Profile Popular Software biedt een aardige dekking van de kwetsbare en potentieel kwetsbare applicaties. Niet iedereen vind het erg zinvol om daar elk willekeurige ander proces aan toe te voegen.

niet zinvol is volgens mij onzin. Maar dat bedoel je niet Spiff, maar als ik zet de bedoeling
dan spreek je dat op het hele forum tegen. Emet is software beschermen, dus waarom niet je eigen
software erin zetten, of alles, dat moet iedereen zelf weten. Is dat om je zo druk om te maken ?


van Spiff, Betrof dat mogelijk filmpjes die gemaakt zijn met EMET 4.0 of EMET 4.1?
In EMET 4.0 en EMET 4.1 was de Deep Hooks mitigation setting standaard nog niet ingeschakeld.
Pas vanaf EMET 4.1 Update 1 is de Deep Hooks mitigation setting standaard ingeschakeld.

Nee, dat heb je de filmpjes niet goed gezien, de tweede was Emet 5.0.

Version 5.1. beseitigt einige Kompatibilitätsprobleme, die in Zusammenhang mit dem letzten Security-Update für Windows aufgetreten sind. Außerdem enthält die neue Version spezielle Konfigurationsmöglichkeiten für Oracle Java 8 und Google Chrome und erlaubt das Aufzeichnen von Speicherabbildern, sobald ein Angriff bemerkt wird.

http://downloads.netmediaeurope.de/73774/emet-enhanced-mitigation-experience-toolkit/


Ik reageerde slechts op wat je in je eerdere CDBurnerXP thread en ook hier in de EMET thread een aantal malen tamelijk nadrukkelijk stelde over wat jij benoemt als "de bedoeling" van EMET, en op het filmpje dat je donderdagavond aanreikte om je inzicht te onderbouwen.

We worden het daarover niet eens, jij vind het onzin en ik denk dat het uitganspunt van Emet is om
er software in te zetten !
Ik heb geen filmpje neergezet om iets te onderbouwen, ik zit niet zo te wachten om gelijk te hebben.
Meer dat het misschien interressant kan zijn, dat ene filmpje laat wél zien, dat Sumatra goed in Emet
kan , dus een eigen stukje software ! Misschien is dat toch debedoeling ....grapje, op dat filmpje
ging je toevallig nét niet in.
Iedereen heeft zijn eigen bedoeling met Emet, en de mijne is en blijft zet zoveel mogelijk, zoniet al
je software in Emet, waarom zou MS dat al wel gedaan hebben met hun Populair Software, dus software
in Emet lijkt mij de bedoeling van Emet, maar welke software bepaald iedereen zelf natuurlijk !

Socrates wijze; samen zoeken naar de waarheid, niet om je gelijk te halen, ten koste van alles

En daarmee is wat mij betreft onze uitwisseling van gedachten op dat specifieke punt klaar.

Wat mij betreft is het nu ook klaar, we worden het niet eens, maar dat geeft niet. Ik respecteer jouw kennis
van computers, die groter is als de mijne, maar soms kan ik ook wel eens wat weten, als ik geluk heb :-)
18-11-2014, 12:28 door Spiff has left the building
Door vanegmond, ma.17-11, 23:22 uur:
niet zinvol is volgens mij onzin.
Maar dat schreef ik dan ook niet.
Ik schreef, niet iedereen vind het erg zinvol. Dat is beslist niet hetzelfde.

Door vanegmond, ma.17-11, 23:22 uur:
als ik zet de bedoeling dan spreek je dat op het hele forum tegen. Emet is software beschermen, dus waarom niet je eigen software erin zetten, of alles, dat moet iedereen zelf weten. Is dat om je zo druk om te maken?
Allereerst, zoals ik gisteren ook al aangaf, ik maak me niet druk.
Dat lijkt opnieuw slechts jouw interpretatie te zijn.

Vervolgens, wat betreft jouw gebruik van EMET - het toepassen van de EMET mitigations op meer of op alle software, zoals jij dat doet via de Running Processes groep, als ik je goed begrepen heb, daar is in principe niks mis mee, en iedereen die dat wil doen die kan dat doen. Ik dacht toch echt dat ik daar eerder al zeer duidelijk over geweest was.

De enige reden waarom ik het niet eens was met jouw herhaalde aanduiding van het toepassen van de EMET mitigations op meer of op alle software als "de bedoeling" van EMET, dat is dat dat suggereert dat dat de enige (juiste?) bedoeling met EMET zou zijn. En dat is niet zo. Jouw aanpak is een van de mogelijkheden met EMET, maar niet de enige mogelijkheid, dus zoals ik de Nederlandse taal ken niet "de bedoeling" maar een van de mogelijkheden.
Waarom ik elke keer dat jij het weer had over "de bedoeling" van EMET het nodig vond om daar op te reageren (jammer genoeg nu nog een keer), dat is omdat ik van mening ben dat jouw aanduiding van het toepassen van de EMET mitigations op meer of op alle software als "de bedoeling" van EMET eventuele meelezende nieuwe EMET gebruikers een verkeerd beeld kan geven.
Dus nogmaals, iedereen kan EMET gebruiken zoal die wil. Uiteraard ook jij, met jouw keuze voor het toepassen van de EMET mitigations op meer of op alle software. Maar die keuze benoemen als "de bedoeling" van EMET, dat vind ik potentieel verwarrend voor meelezende nieuwe gebruikers, en dat is waarom ik het nodig vond daarop te reageren.

Door vanegmond, ma.17-11, 03:28 uur:
Vreemd dat ik vaak bij die filmpjes zag, dat Deep Hooks staat uitgevinkt, waarom weet ik niet.
Door Spiff, ma.17-11, 12:52 uur:
Betrof dat mogelijk filmpjes die gemaakt zijn met EMET 4.0 of EMET 4.1?
Door vanegmond, ma.17-11, 23:22 uur:
Nee, dat heb je de filmpjes niet goed gezien, de tweede was Emet 5.0.
Doordat je schreef, "dat ik vaak bij die filmpjes zag", begreep ik niet dat je een specifiek filmpje bedoelde.
En het eerste filmpje dat je had aangereikt betrof EMET 3.0.
Ik wist daardoor niet op welke filmpjes je precies doelde, en vroeg daarom of je mogelijk doelde op (andere?) filmpjes die gemaakt waren met EMET 4.0 of EMET 4.1.
Maar ik meen nu dat je dit filmpje bedoelt.
http://www.youtube.com/watch?v=lP9Vtg1FvEQ
Dat betreft EMET 5.0 Technical Preview.
In EMET 5.0 Technical Preview was de Deep Hooks mitigation setting standaard ingeschakeld. Zie ook:
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx
En zoals je in het eerste deel van het door jou aangereikte YouTube-filmpje kunt zien, tot tijd 1:28, is de Deep Hooks mitigation setting daar wel ingeschakeld.
Later in dat filmpje, vanaf 2:10, is de Deep Hooks mitigation setting niet ingeschakeld. En dat is inderdaad opvallend, maar niet zo vreemd als je je realiseert dat het betreffende filmpje slechts een "sneak peek" (een voorproefje) op EMET 5.0 TP was, zoals de heren in het fimpje aangaven. Mogelijk was EMET 5.0 TP nog in ontwikkeling op het moment dat het filmpje werd gemaakt en is vanaf tijd 2:10 materiaal gebruikt dat niet de Deep Hooks mitigation setting weergeeft die in de definitieve uitgave van EMET 5.0 TP werd toegepast.
Hoe dan ook lijkt het me maar zeer beperkt zinvol om je bij het gebruik van EMET 5.1 te richten op een "sneak peek" voorproefje op EMET 5.0 Technical Preview.
18-11-2014, 19:52 door vanegmond
van W.Spu, Vervolgens kan EMET 5.1 het beste met recommended settings geïnstalleerd worden. Vanuit het hoofdscherm van EMET kan via de import knop de popular software profile en ook geëxporteerde applicaties weer toegevoegd worden. Zo weet je zeker dan de laatste settings van de popular software hebt en de oude settings van je eigen apps.

De reactie is wat laat, maar je krijgt altijd antwoord.
Nog bedankt Spu, alleen gaat dat Export en Import één voor één dan ?
Want met terugzetten zet ik dan Populair Software én die opgeslagen terug,
dan zou ze er toch dubbel op in Emet komen ?

Ook bedankt voor het eerste antwoord of ik Emet 5.1 wel over 5.0 kon zetten !
Daarna heb ik dat gelijk gedaan. Daarvoor heb ik gedaan wat jij aangaf, dus
Ik heb het geprobeerd, maar ik kon de config. lijst niet meer terugvinden ?
Het word opgeslagen als een config lijst.

- Open EMET
- Klik in het hoofdscherm op de Apps knop
- Selecteer de eerste eigen app door op de app te klikken. Andere apps kunnen eventueel geselecteerd worden door de ctrl-toets ingedruk te houden en één voor één de andere apps aan te klikken.
- Klik op de 'Export Selected' knop.
- Selecteer een folder (bij voorkeur niet de installatie folder van EMET) en geef een bestandsnaam op en vergeet de extensie .xml niet.
- Sluit EMET af

Installeer een andere versie van EMET of experimenteer met de mitigations of verwijder je eigen apps. Je kunt de opgeslagen instellingen voor die apps altijd weer terug halen door het bestand te importeren.

Op een later moment kan vanuit het hoofdscherm van EMET via de knop import het opgeslagen bestand weer ingelezen worden. De bestaande apps met hetzelfde AppConfig Path worden overschreven.

Net weer geprobeerd, want het lijkt me toch wel handig.
Ik heb het zowel met ctrl geprobeerd en met shift inhouden en dan een stuk verder alle apps
aanklikken, dan word alles blauw. Toen die export select knop en opgeslagen in een folder.
Open ik de folder dan is deze leeg ? Het word opgeslagen als config files, of moet ik kiezen
voor all files bij het opslaan.
Het is niet zoveel software die ik in Emet zet, maar zoals je al eens vermelde, alle software wat Internet
nodig heeft om te functioneren, kan aangevallen worden, dus die zet ik er ook in !
18-11-2014, 22:28 door W. Spu
Het selecteren van de (eigen) apps kan net zoals het selecteren van bestanden in Windows Explorer. Als er meerdere apps geëxporteerd worden komen deze in één bestand terecht. Bij het importeren van dit bestand worden alle geëxporteerde apps tegelijk geïmporteerd. Indien een app al bestaat dan wordt deze volgens mij overschreven. Ik zou geen apps uit de recommended of popular software profile exporteren en importeren want mogelijk worden daarbij de oude/verkeerde settings geïmporteerd. Ook zou ik de standaard extensie "config files (*.xml)" aanhouden want bij het importeren wordt er ook naar dit bestandstype gezocht. Indien het bestand niet te vinden is kun je altijd nog "All Files (*.*)" selecteren of bij bestandsnaam *.* invoeren. Mogelijk heeft het bestand toch een andere extensie gekregen.
18-11-2014, 23:22 door vanegmond
Door W. Spu: Het selecteren van de (eigen) apps kan net zoals het selecteren van bestanden in Windows Explorer. Als er meerdere apps geëxporteerd worden komen deze in één bestand terecht. Bij het importeren van dit bestand worden alle geëxporteerde apps tegelijk geïmporteerd. Indien een app al bestaat dan wordt deze volgens mij overschreven. Ik zou geen apps uit de recommended of popular software profile exporteren en importeren want mogelijk worden daarbij de oude/verkeerde settings geïmporteerd. Ook zou ik de standaard extensie "config files (*.xml)" aanhouden want bij het importeren wordt er ook naar dit bestandstype gezocht. Indien het bestand niet te vinden is kun je altijd nog "All Files (*.*)" selecteren of bij bestandsnaam *.* invoeren. Mogelijk heeft het bestand toch een andere extensie gekregen.

Okay Spu, vreemde is dat de map leeg is, ook als ik de naam van de map intik, krijg ik wel de map te zien.
Maar deze is leeg. Ik zal nog proberen om het met All Files te doen.
Ik heb echter alles al in Emet staan, dus het is meer voor een volgende keer.
En start ik dan de Software op, dan komt deze vanzelf in Emet, ik doe R-muis erop en dan configureer en
het staat in Emet, dus zo doe ik het steeds.
27-11-2014, 20:57 door Spiff has left the building
Door _kraai__, 12-11-2014, 16:40 uur:
Ik ben overigens wel benieuwd of je al informatie hebt of EMET goed werkt op jouw notebook met Windows 7 64 bits waar je over schreef in je reactie 11-11-2014 16:53 uur. (Met name ook IE11).
Door Spiff, 12-11-2014, 19:14 uur:
Het inrichten van die genoemde notebook is nog niet klaar.
Anders dan ik eerder dacht wordt dat wellicht niet deze week maar pas volgende week wanneer dat klaar is.
Ik heb er steeds maar even de tijd voor, en ik ben een pietje-precies met inrichten, ik wil alles precies naar mijn hand gezet hebben, dus dat kost wel een paar dagen, en zodoende een paar dagen méér dan ik dacht.
Zodra ik de boel klaar heb, zal ik hier nog even vermelden hoe EMET 5.1 en IE11 op dat systeem samengaan.
[...]
Wel zijn er in Windows 7 een aantal dingen anders dan in Vista, die me als pietje-precies ergeren. Zoals bijvoorbeeld de Bibliotheken in Windows Verkenner, en de niet-ondoorzichtige vensterranden bij gemaximaliseerde vensters, en meer van dat soort Windows 7 details, al dat soort dingen pas ik aan - en dat houdt me zelfs langer van de straat dan ik had ingecalculeerd ;-)

@ _kraai__,

Ik kan je jammer genoeg nog steeds niet mijn ervaringen met EMET 5.1 en IE11 op mijn Windows 7 x64 systemen vertellen. Het kost me - met steeds eventjes tijd eraan te besteden - veel meer dagen dan ik had voorzien.

Met m'n Windows 7 notebook ben ik wel al aardig gevorderd, maar nog niet klaar,
en het inrichten met Windows 7 van wat nu nog m'n Vista systeem is, dat heb ik voor daarna gepland.

Maar nu komt er ook nog ineens het Windows 7 systeem van een goeie vriendin tussendoor dat mogelijk een herinstallatie nodig heeft en een volledige herinrichting op maat. Gezien het feit dat in ieder geval mijn Vista systeem functioneel is en zij nu zonder computer zit, gaat die klus nu voor.
Het resultaat van dat alles is dat ik je nog steeds niets kan vermelden over mijn ervaringen met EMET 5.1 en IE11 op mijn Windows 7 x64 systemen.
Wellicht volgende week wel betreffend dat systeem van m'n vriendin, en daarna betreffend m'n eigen notebook.
Geduld dus nog maar weer even, als je nog benieuwd bent.
28-11-2014, 14:48 door [Account Verwijderd] - Bijgewerkt: 28-11-2014, 14:49
@Spiff,
Ik ben nog benieuwd naar jouw ervaring met EMET 5.1 en IE11 op een Windows 7 64 bits systeem, maar ik ben (gelukkig) niet de hele dag rondjes om de tafel aan het lopen, dus ik kan nog wel een tijdje wachten :-).
08-12-2014, 01:47 door Spiff has left the building - Bijgewerkt: 08-12-2014, 01:49
Door Spiff, 27-11-2014, 20:57 uur:
@ _kraai__,
Ik kan je jammer genoeg nog steeds niet mijn ervaringen met EMET 5.1 en IE11 op mijn Windows 7 x64 systemen vertellen.
[...] nu komt er ook nog ineens het Windows 7 systeem van een goeie vriendin tussendoor dat mogelijk een herinstallatie nodig heeft en een volledige herinrichting op maat. [...]
Het resultaat van dat alles is dat ik je nog steeds niets kan vermelden over mijn ervaringen met EMET 5.1 en IE11 op mijn Windows 7 x64 systemen.
Wellicht volgende week wel betreffend dat systeem van m'n vriendin [...]

Van de notebook van de vriendin bleek bij diagnose de HDD slechte sectoren te hebben en als gevolg daarvan fouten in het bestandssysteem. Dus bestanden hersteld, persoonlijke bestanden veiliggesteld (een goed backup-regime stond in de planning maar was er eerder nooit van gekomen, een geluk dat alles nog was te redden), HDD vervangen, Windows 7 x64 geïnstalleerd en ingesteld, persoonlijke bestanden weer netjes op hun eigen partitie geplaatst, een serie images gemaakt, en alle programma's geïnstalleerd. Morgen nog even settings maken voor onder meer Windows Live Mail, MailStore Home en FreeFileSync en nog zo wat ditjes en datjes. En vervolgens een tweede serie images.

EMET 5.1 met IE11 heb ik daarnet al even kunnen uitproberen.
Ik heb geen werkelijke problemen geconstateerd, geen crashes of EMET-meldingen.
Echter wel iets dat opvalt: IE11 blijkt met EMET 5.1 bij het openen vijftien seconden nodig te hebben om bruikbaar te worden. Dat is nogal wat, en dat trad nog niet op vóór het toepassen van EMET. (IE11 zonder addons laat hetzelfde zien.)
Grmm.. morgen nog maar eens opnieuw bekijken zonder EMET en met EMET 4.1 Update 1. Ik ben benieuwd wat EMET 4.1 u1 laat zien.

Kent iemand het verschijnsel dat ik beschreef, IE11 met EMET 5.1 die bij het openen vijftien seconden nodig heeft om bruikbaar te worden?
Kent iemand een (mogelijke) verklaring?

O, en als je zegt, gebruik dan een andere browser - da's vast prima advies voor een ander, maar ik wil die vriendin besparen meerdere browsers met elk hun eigen set addons en hun eigen nukken te laten onderhouden, ook om het voor mezelf een beetje overzichtelijk te houden.

Ten slotte, off topic -
Er wordt nogal eens erg makkelijk gedaan over herinstallatie.
Een geschikt image terugzetten dat gaat natuurlijk prachtig, en kost vervolgens alleen wat tijd wegens het bijwerken van de aanwezige geïnstalleerde programma's.
Het alternatief, het schoon installeren van Windows (en het binnenhalen en installeren van de pakweg 190 Windows 7 updates) dat is eveneens te overzien. Maar het daarna vanaf die standaard-installatie toepassen van alle nodige en wenselijke instellingen in Windows en alle Windows-onderdelen, en in alle andere software, dat is een héél ander verhaal, als je dat grondig en op maat wilt doen. Dat is niet een kwestie van uren, maar van diverse dágen. Om die reden maak je vervolgens images, zodat je niet nog eens vanaf de grond af moet beginnen. Ikzelf had de laatste jaren enkel nog te maken gehad met het terugplaatsen van images, al heel lang niet meer met het vanaf default opbouwen. Ik wist dat dat tijd zou kosten, maar ik schrik ervan hoeveel wel. Daarom - herinstallatie van de grond af daar wordt mijns inziens nogal eens te makkelijk over gedaan ;-)
08-12-2014, 14:12 door [Account Verwijderd]
Bedankt voor het vermelden Spiff.

Door Spiff 08-12-2014 01:47 uur:

EMET 5.1 met IE11 heb ik daarnet al even kunnen uitproberen.
Ik heb geen werkelijke problemen geconstateerd, geen crashes of EMET-meldingen.
Echter wel iets dat opvalt: IE11 blijkt met EMET 5.1 bij het openen vijftien seconden nodig te hebben om bruikbaar te worden. Dat is nogal wat, en dat trad nog niet op vóór het toepassen van EMET. (IE11 zonder addons laat hetzelfde zien.)
Grmm.. morgen nog maar eens opnieuw bekijken zonder EMET en met EMET 4.1 Update 1. Ik ben benieuwd wat EMET 4.1 u1 laat zien.

Kent iemand het verschijnsel dat ik beschreef, IE11 met EMET 5.1 die bij het openen vijftien seconden nodig heeft om bruikbaar te worden?
Kent iemand een (mogelijke) verklaring?

Op mijn pc (Windows 7 64 bits) herken ik het verschijnsel dat het opstarten van IE11 met EMET5.1 ongeveer 15 seconden in beslag neemt. Een verklaring kan ik er echter niet voor geven. Op mijn andere PC (met Windows 7 32 bits) duurt het opstarten van IE11 niet ongeveer 15 seconden.
08-12-2014, 15:26 door Spiff has left the building
Door _kraai__, 14:12 uur:
Op mijn pc (Windows 7 64 bits) herken ik het verschijnsel dat het opstarten van IE11 met EMET5.1 ongeveer 15 seconden in beslag neemt. Een verklaring kan ik er echter niet voor geven.
Op mijn andere PC (met Windows 7 32 bits) duurt het opstarten van IE11 niet ongeveer 15 seconden.

Dankjewel, _kraai__.
Goed om te weten dat je dat verschijnsel herkent.
Ik ben benieuwd of anderen dezelfde ervaring hebben (ik vermoed van wel, gezien het feit dat alleen wij tweeën al allebei dezelfde ervaring hebben) en of iemand een (mogelijke) verklaring kent.

Trouwens,
ook het in Windows 7 x64 IE11 met EMET 5.1 openen van een pagina in een tweede tabblad kost opvallend veel tijd, merkte ik vanochtend nog op. Geen vijftien seconden, ik heb het niet getimed, maar wel opvallend (en hinderlijk) lang vergeleken met m'n Windows Vista x86 systeem waar geen noemenswaardige vertraging is waar te nemen in IE9 x86 met EMET 5.1.

Is de vertraging van Windows 7 x64 IE11 met EMET 5.1 mogelijk een gevolg van de 32 bit plus 64 bit structuur van IE11 op Windows 7 x64?

Zonder EMET opent IE11 op het betreffende Windows 7 x64 systeem weer gewoon vlot.
Ik moet het straks/ later nog proberen met EMET 4.1 Update 1.


Overigens is het bovenstaande niet het enige dat me opvalt met IE11 op het betreffende Windows 7 x64 systeem.
Nog twee dingen:
1.
Ook functioneert de VTexplorer VirusTotal browser extension niet goed. "Sent URL to VirusTotal" in het contextmenu opent geen VirusTotal pagina met scan van de betreffende URL.
Raadselachtig, want dat werkte op de voorgaande installatie wél uitstekend!
Argh! Heeft VirusTotal mogelijk de addon aangepast waarna die nu niet meer werkt met IE11 op Windows 7 x64?
Of heb ik zelf een afwijkende instelling gemaakt? Ik denk het niet, maar ik zal het moeten nakijken.
Ik ben er voorlopig nog niet uit.
N.B. Dit is geen gevolg van EMET 5.1, want het probleem bestaat ook zonder EMET.
2.
En ook functioneert Adblock Plus for Internet Explorer niet helemaal goed.
In het administrator-account drukt Adblock Plus for IE netjes ook de paar regels advertenties op een Startpage.com zoekpagina weg, maar in het standaardgebruikers-account wordt op een Startpage.com zoekpagina niet de paar regels advertenties weggedrukt door Adblock Plus for IE. Dit terwijl in Google géén advertenties worden getoond.
Op de voorgaande installatie was Startpage.com nog niet ingesteld als zoekmachine, ik weet daarom niet of dit een nieuw issue is.
Of in het standaardgebruikers-account ook andere ads worden doorgelaten door Adblock Plus for IE, dat moet ik nog verder controleren. Het leek erop dat dat niet het geval was.
N.B. Ook in dit geval: Dit is geen gevolg van EMET 5.1, want het probleem bestaat ook zonder EMET.

Muh....
Ik hoopte vandaag klaar te zijn met het inrichten van die vriendins notebook, maar dat gaat zo nog langer duren :-(
08-12-2014, 17:12 door [Account Verwijderd] - Bijgewerkt: 08-12-2014, 17:18
Door Spiff 08-12-14 15:26 uur:
Trouwens,
ook het in Windows 7 x64 IE11 met EMET 5.1 openen van een pagina in een tweede tabblad kost opvallend veel tijd, merkte ik vanochtend nog op. Geen vijftien seconden, ik heb het niet getimed, maar wel opvallend (en hinderlijk) lang vergeleken met m'n Windows Vista x86 systeem waar geen noemenswaardige vertraging is waar te nemen in IE9 x86 met EMET 5.1.
Ook bij het openen van een nieuw tabblad heb ik ook ervaren dat dit lang duurt. (voornamelijk als ik een op mijn PC opgeslagen HTML document openen, en een tweede op mijn PC opgeslagen HTML document open in hetzelfde browser venster. Een pagina vernieuwen duurt overigens niet opvallend lang.

Ik denk dat ik eens alle mitigations voor IE11 uitschakel en ze vervolgen een voor een inschakel, kijken op een specifieke mitigation er voor zorgt dat het opstarten van IE11 zo lang duurt.

Door Spiff 08-12-14 15:26 uur:
Overigens is het bovenstaande niet het enige dat me opvalt met IE11 op het betreffende Windows 7 x64 systeem.
Nog twee dingen:
1.
Ook functioneert de VTexplorer VirusTotal browser extension niet goed.

[stukje geknipt]

2.
En ook functioneert Adblock Plus for Internet Explorer niet helemaal goed.

Met Adblock Plus heb ik geen problemen. Staat Startpage.com niet in het lijstje met uitzonderingen voor websites waarvan wel de advertenties mogen worden getoond?

Door Spiff 08-12-2014 15:26 uur:
Muh....
Ik hoopte vandaag klaar te zijn met het inrichten van die vriendins notebook, maar dat gaat zo nog langer duren :-(

Hou de moet erin Spiff :-)
08-12-2014, 17:49 door Spiff has left the building
Door _kraai__, 17:12 uur:
[...]
Ik denk dat ik eens alle mitigations voor IE11 uitschakel en ze vervolgen een voor een inschakel, kijken op een specifieke mitigation er voor zorgt dat het opstarten van IE11 zo lang duurt.
Goed plan, ik ben benieuwd.
Houd daarbij wel rekening met het volgende: Ik meen me uit de EMET thread op Wilders Security Forums te herinneren dat het uitschakelen en vervolgens weer inschakelen van ASR de ingebakken ASR-settings doet verliezen.
Ik heb op dit moment geen tijd en energie om die Wilders Security Forums thread er op na te kijken.

Door _kraai__, 17:12 uur:
Met Adblock Plus heb ik geen problemen. Staat Startpage.com niet in het lijstje met uitzonderingen voor websites waarvan wel de advertenties mogen worden getoond?
Ik heb gekozen ook dat lijstje uitzonderingen niet te laten tonen, dus dat zou het probleem niet horen te zijn.
Ik moet straks wellicht zo nodig even een aparte thread over de VTexplorer VirusTotal browser extension en Adblock Plus for IE starten.

Door _kraai__, 17:12 uur:
Hou de moet erin Spiff :-)
Dank je, _kraai__, ik doe m'n best.
Maar ik vind het vervelend om die vriendin nog twee dagen langer te moeten laten wachten (al vind ze het eigenlijk wel lekker rustig zo zonder computer ;-) en ik begin zelf wel erg moe te worden van al het extra werk.
Dus wanneer het allemaal gelukt is -- images, images, images! :-)
08-12-2014, 19:32 door W. Spu
Door Spiff:
Door _kraai__, 14:12 uur:
Op mijn pc (Windows 7 64 bits) herken ik het verschijnsel dat het opstarten van IE11 met EMET5.1 ongeveer 15 seconden in beslag neemt. Een verklaring kan ik er echter niet voor geven.
Op mijn andere PC (met Windows 7 32 bits) duurt het opstarten van IE11 niet ongeveer 15 seconden.

Dankjewel, _kraai__.
Goed om te weten dat je dat verschijnsel herkent.
Ik ben benieuwd of anderen dezelfde ervaring hebben (ik vermoed van wel, gezien het feit dat alleen wij tweeën al allebei dezelfde ervaring hebben) en of iemand een (mogelijke) verklaring kent.

Trouwens,
ook het in Windows 7 x64 IE11 met EMET 5.1 openen van een pagina in een tweede tabblad kost opvallend veel tijd, merkte ik vanochtend nog op. Geen vijftien seconden, ik heb het niet getimed, maar wel opvallend (en hinderlijk) lang vergeleken met m'n Windows Vista x86 systeem waar geen noemenswaardige vertraging is waar te nemen in IE9 x86 met EMET 5.1.


Ook ik kan bevestigen dat Internet Explorer op een 64-bit Windows 7 computer (VM) slechter functioneert (veel langer dan 15 sec.) dan op een 32-bit Windows 7. Op de virtuele computer lijkt IE gewoon vast te lopen of ik heb niet het geduld om te wachten totdat deze geladen is. Voor zover ik mij herinneren is er geen verschil tussen de 32-bit browser en de 64-bit browser.


Door Spiff:
Door _kraai__, 17:12 uur:
[...]
Ik denk dat ik eens alle mitigations voor IE11 uitschakel en ze vervolgen een voor een inschakel, kijken op een specifieke mitigation er voor zorgt dat het opstarten van IE11 zo lang duurt.
Goed plan, ik ben benieuwd.
Houd daarbij wel rekening met het volgende: Ik meen me uit de EMET thread op Wilders Security Forums te herinneren dat het uitschakelen en vervolgens weer inschakelen van ASR de ingebakken ASR-settings doet verliezen.
Ik heb op dit moment geen tijd en energie om die Wilders Security Forums thread er op na te kijken.
Het probleem met het verliezen van de ingebakken ASR-settings is opgelost in EMET 5.1. Zie eventueel ook mijn feedback (https://connect.microsoft.com/emet/Feedback/Details/935027) van het EMET 5.1 feedback program op Microsoft connect.
08-12-2014, 20:09 door [Account Verwijderd] - Bijgewerkt: 08-12-2014, 21:11
Inmiddels heb ik getest wat het effect is van het uitschakelen van mitigations in EMET voor ie op de opstartijd van IE11 onder Windows 7 64 bits.

Met alle mitigations ingeschakeld is bij mij de opstarttijd ongeveer 11 seconden (geen 15 dus maar toch redelijk lang). Wanneer ik EAF, EAF+ en ASR alle drie uitschakel, wordt de opstarttijd met ongeveer 9 seconden verminderd. Ook het openen van een tweede tabblad duurt een minder lang. Ook het alleen uitschakelen van EAF en EAF+ zorgde ervoor dat de opstarttijd naar beneden ging. (ik heb niet gemeten maar ik schat met ongeveer 7 seconden).

Echter heb ik het idee dat ook wanneer andere mitigations dan EAF, EAF+ en ASR voor IE11worden uitgeschakeld, de benodigde opstarttijd van IE11 flink naar beneden gaat.
08-12-2014, 20:36 door [Account Verwijderd] - Bijgewerkt: 08-12-2014, 20:37
Door Spiff 08-12-2014 17:49 uur:
Houd daarbij wel rekening met het volgende: Ik meen me uit de EMET thread op Wilders Security Forums te herinneren dat het uitschakelen en vervolgens weer inschakelen van ASR de ingebakken ASR-settings doet verliezen.

Door W. Spu 08-12-2014 19:32 uur:
Het probleem met het verliezen van de ingebakken ASR-settings is opgelost in EMET 5.1. Zie eventueel ook mijn feedback (https://connect.microsoft.com/emet/Feedback/Details/935027) van het EMET 5.1 feedback program op Microsoft connect.

Ik heb niet uitgetest of het verliezen van de ASR-setttings is opgelost in EMET 5.1 aangezien ik gewoon mijn instellingen weer geïmporteerd heb. Maar bedankt voor jullie reacties.

Om jouw feedback te kunnen lezen, W.Spu, moet ik echter wel inloggen met een Microsoft account.

Door Spiff 08-12-2014 17:49 uur:
Door _kraai__, 17:12 uur:
Met Adblock Plus heb ik geen problemen. Staat Startpage.com niet in het lijstje met uitzonderingen voor websites waarvan wel de advertenties mogen worden getoond?
Ik heb gekozen ook dat lijstje uitzonderingen niet te laten tonen, dus dat zou het probleem niet horen te zijn.
Ik moet straks wellicht zo nodig even een aparte thread over de VTexplorer VirusTotal browser extension en Adblock Plus for IE starten.

Lijkt me een goed idee. Wellicht dat het aanmaken van een nieuwe tread er voor zorg dat jouw probleem wat breder onder de aandacht komt.
08-12-2014, 21:21 door W. Spu

Om jouw feedback te kunnen lezen, W.Spu, moet ik echter wel inloggen met een Microsoft account.

Klopt maar dan kan je iig lezen welke feedback er allemaal gepost wordt en wellicht in de toekomst ook iets posten.
08-12-2014, 21:45 door [Account Verwijderd] - Bijgewerkt: 08-12-2014, 21:47
Door W. Spu:

Om jouw feedback te kunnen lezen, W.Spu, moet ik echter wel inloggen met een Microsoft account.

Klopt maar dan kan je iig lezen welke feedback er allemaal gepost wordt en wellicht in de toekomst ook iets posten.

Ik heb wel een Microsoft account, maar vervolgens moet ik (begrijp ik) mij nog eens registreren en een alias bedenken, daar heb ik momenteel (excuses) geen interesse in.
08-12-2014, 22:55 door Spiff has left the building
Dankjewel, W.Spu en _kraai__, voor jullie reacties.

Door W. Spu, 19:32 uur:
Het probleem met het verliezen van de ingebakken ASR-settings is opgelost in EMET 5.1.
Ha, dankjewel, W.Spu, dat is mooi om te weten.
Mogelijk was het het niet in de de EMET thread op Wilders Security Forums maar in een eerdere thread hier op Security.nl dat ik daar over gelezen had. En dat het probleem opgelost is met EMET 5.1 dat had ik gemist of dat was ik vergeten. Nogmaals bedankt voor die informatie.


Verder betreffend EMET -
Stel dat ik om EMET 5.1 bruikbaar te maken op een Windows 7 x64 systeem EAF+ en(of) ASR moet uitschakelen voor IE11, biedt EMET 5.1 dan nog een voordeel boven EMET 4.1 Update 1, waarin EAF+ en ASR nog niet waren toegepast?
Weten jullie dat?
Ik was zo gewend de nieuwste EMET versie te kunnen gebruiken, dat ik niet onthouden heb of EMET 5.1 vergeleken met EMET 4.1u1 naast het toevoegen van EAF+ en ASR ook nog andere verbeteringen of fixes meebracht.
Ook hier - weten jullie dat?
Zou het zo zijn dat EMET 5.1 vergeleken met EMET 4.1u1 naast het toevoegen van EAF+ en ASR ook nog andere verbeteringen of fixes meebracht, en ik zou EAF+ en(of) ASR moeten uitschakelen voor IE11, dan is naast de eventuele verbeteringen of fixes ook de toevoeging van EAF+ voor ándere applicaties dan IE11 nog een potentieel pluspunt van EMET 5.1.


Verder -
Ik begin nu ineens veel sterker geïnteresseerd te worden in Malwarebytes Anti-Exploit.
Weten jullie of Malwarebytes Anti-Exploit een even goede beveiliging biedt als EMET?
Malwarebytes Anti-Exploit Free is uiteraard wel beperkt tot browsers en browsers add-ons, waar de Premium versie een bredere bescherming biedt.
Weten jullie of toepassing van MBAE níet leidt tot vertragingen zoals EMET?
Ik heb wegens eerdere bruikbaarheid van EMET verzuimd de ontwikkelingen rond MBAE te volgen. Ik weet niet of die inmiddels perfect bruikbaar is, of mogelijk nog problemen kent.
Het onderwerp MBAE valt uiteraard buiten het bestek van deze EMET 5.1 thread, maar mochten jullie kort je kennis willen delen dan zou ik dat niettemin erg waarderen.

En daarnaast is ook HitmanPro.Alert 3 in ontwikkeling, momenteel in RC stadium. Ook de full version van HMP.A 3 (met betaalde HitmanPro plus HitmanPro.Alert licentie) kan een goed alternatief voor EMET worden.
De HMP.A RC heeft echter nog wat foutjes, zo zie ik in de HMP.A thread op Wilders Security Forums, die zullen uiteraard nog opgelost moeten worden voor de Final voordat HMP.A me een bruikbaar alternatief lijkt. Maar dat zal naar verwachting slechts een kwestie van tijd zijn.


Door Spiff, 17:49 uur:
Ik moet straks wellicht zo nodig even een aparte thread over de VTexplorer VirusTotal browser extension en Adblock Plus for IE starten.
Door _kraai__, 20:36 uur:
Lijkt me een goed idee. Wellicht dat het aanmaken van een nieuwe tread er voor zorg dat jouw probleem wat breder onder de aandacht komt.
Ja. Maar jammer genoeg ben ik vanavond niet meer aan het herinstalleren en opnieuw testen van de VTexplorer VirusTotal browser extension en Adblock Plus for IE toegekomen. Het aanmaken van threads over die twee issues dat zal wellicht pas morgen worden.
09-12-2014, 14:34 door [Account Verwijderd] - Bijgewerkt: 09-12-2014, 23:08
Door Spiff 08-12-2014 22:55:
Verder betreffend EMET -
Stel dat ik om EMET 5.1 bruikbaar te maken op een Windows 7 x64 systeem EAF+ en(of) ASR moet uitschakelen voor IE11, biedt EMET 5.1 dan nog een voordeel boven EMET 4.1 Update 1, waarin EAF+ en ASR nog niet waren toegepast?
Weten jullie dat?
Ik was zo gewend de nieuwste EMET versie te kunnen gebruiken, dat ik niet onthouden heb of EMET 5.1 vergeleken met EMET 4.1u1 naast het toevoegen van EAF+ en ASR ook nog andere verbeteringen of fixes meebracht.
Ook hier - weten jullie dat?
Zou het zo zijn dat EMET 5.1 vergeleken met EMET 4.1u1 naast het toevoegen van EAF+ en ASR ook nog andere verbeteringen of fixes meebracht, en ik zou EAF+ en(of) ASR moeten uitschakelen voor IE11, dan is naast de eventuele verbeteringen of fixes ook de toevoeging van EAF+ voor ándere applicaties dan IE11 nog een potentieel pluspunt van EMET 5.1.

De verschillen tussen EMET 5.1 en EMET4.1u1 weet ik helaas ook niet, maar op deze pagina (die eerder door W.Spu werd gemeld) https://support.microsoft.com/kb/3015976#Changes staan kun je wel informatie over EMET 5.1 vinden. Je zou misschien hiermee kunnen beoordelen/ een afweging kunnen maken welke versie van EMET je wilt gebruiken, EMET 5.1 of EMET 4.1u1. Een pagina met de wijzigingen voor EMET 5.0 kon ik helaas niet vinden, en daar moet denk ik ook rekening mee worden gehouden.

Door Spiff 08-12-2014 22:55:
Verder -
Ik begin nu ineens veel sterker geïnteresseerd te worden in Malwarebytes Anti-Exploit.
Weten jullie of Malwarebytes Anti-Exploit een even goede beveiliging biedt als EMET?
Malwarebytes Anti-Exploit Free is uiteraard wel beperkt tot browsers en browsers add-ons, waar de Premium versie een bredere bescherming biedt.
Weten jullie of toepassing van MBAE níet leidt tot vertragingen zoals EMET?
Ik heb wegens eerdere bruikbaarheid van EMET verzuimd de ontwikkelingen rond MBAE te volgen. Ik weet niet of die inmiddels perfect bruikbaar is, of mogelijk nog problemen kent.
Het onderwerp MBAE valt uiteraard buiten het bestek van deze EMET 5.1 thread, maar mochten jullie kort je kennis willen delen dan zou ik dat niettemin erg waarderen.

Ik heb zoals jij ook aangeeft de ontwikkelingen rond MBAE niet gevolgd te hebben, zelf de ontwikkelingen rond MBAE ook niet gevolgd. Ik gebruik al inmiddels een tijd EMET (als ik mij niet vergis vanaf versie 3.0). Dus helaas kan ik niet echt kennis met je delen over MBAE.

Zelf ben ik overigens nog altijd een afweging aan het maken of ik in DeepGuard nu de optie 'compaliteitsmodus gebruiken (beveiliging wordt verlaagt)' zal gebruiken, of bij EMET de mitigation EAF uitschakel voor de ondergebrachte applicaties.
09-12-2014, 16:30 door Spiff has left the building - Bijgewerkt: 09-12-2014, 16:32
@ _kraai__, 14:34 uur.
Dankjewel voor je reactie.

Inmiddels heb ik op de betreffende Windows 7 x64 notebook het verschil onderzocht tussen verschillende installaties zonder en met EMET.

Zónder EMET,
kost een 'koude' start van IE11, na een systeemherstart, 10 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost dan slechts 4 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat redelijk vlot.

Met EMET 4.1 Update 1,
kost een 'koude' start van IE11, na een systeemherstart, 12 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost dan slechts 5 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat redelijk.

Met EMET 5.1, met alle mitigations van Protection Profile Popular Software,
kost een 'koude' start van IE11, na een systeemherstart, 20 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost nog steeds 15 tot 20 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat vreselijk traag.

Met EMET 5.1, met alle mitigations van Protection Profile Popular Software,
maar nu met de EAF+ mitigation uitgeschakeld voor iexplore.exe,
kost een 'koude' start van IE11, na een systeemherstart, 16 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost 9 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat nog steeds vreselijk traag.
Het tevens uitschakelen van de ASR mitigation voor iexplore.exe maakte geen noemenswaardig verschil.

Ik wilde in EMET 5.1 niet meer mitigations uitschakelen dan EAF+ en ASR, zoals bijvoorbeeld EAF, omdat dan minder mitigations zouden overblijven dan met EMET 4.1 Update 1.

Ik heb er nu voor gekozen om EMET 4.1 Update 1 weer toe te passen.
Daarvan zijn de bijeffecten aanvaardbaar.

Voor de toekomst ben ik benieuwd naar minder belastende EMET-versies (if ever),
of de combinatie van EMET 4.1 Update 1 met HMP.A 3,
of naar enkel HMP.A 3,
of heel misschien MBAE.
Ik waardeer echter zeer HitmanPro.Alert's CryptoGuard bescherming tegen crypto ransomware (ook al in de huidige stable versie 2.6.5.77), en MBAE is niet compatible met HMP.A, dus MBAE zal vooralsnog zeker niet mijn eerste voorkeur hebben.

N.B.
Betreffend EMET 5.1 ASR-mitigation,
Door W. Spu, ma.8-12, 19:32 uur:
Het probleem met het verliezen van de ingebakken ASR-settings is opgelost in EMET 5.1.
Na het uitschakelen van de ASR mitigation voor iexplore.exe en het vervolgens weer inschakelen ervan waren de default ASR-settings toch wel degelijk weg/leeg.
Ik had ze opgeslagen, en ik kon ze ook terugkrijgen door Protection Profile Popular Software opnieuw toe te passen, maar zonder dat waren die ASR-settings weg/leeg.

Ten slotte, off topic -
Wat betreft het eerder genoemde Adblock Plus for IE issue,
bij onderzoek zag ik dat Adblock Plus for IE helemaal niet functioneerde in het Standaardgebruikersaccount, ondanks dat het ingeschakeld stond in het IE11-addons overzicht.
Maar tot m'n verbazing en tot m'n grote geluk heb ik Adblock Plus for IE in het Standaardgebruikersaccount kunnen inschakelen door de addon simpelweg uit en weer in te schakelen! ("Have you tried turning it off and on again?" :-)
Het VTexplorer issue is echter nog nog niet opgelost, daar heb ik de "VTexplorer issue IE11 x64" thread voor gestart.
09-12-2014, 17:51 door W. Spu - Bijgewerkt: 09-12-2014, 17:51
Door _kraai__09-12-2014 14:52:
De verschillen tussen EMET 5.1 en EMET4.1u1 weet ik helaas ook niet, maar op deze pagina (die eerder door W.Spu werd gemeld) https://support.microsoft.com/kb/3015976#Changes staan kun je wel informatie over EMET 5.1 vinden. Je zou misschien hiermee kunnen beoordelen/ een afweging kunnen maken welke versie van EMET je wilt gebruiken, EMET 5.1 of EMET 4.1u1. Een pagina met de wijzigingen voor EMET 5.0 kon ik helaas niet vinden, en daar moet denk ik ook rekening mee worden gehouden.
De aankondiging van EMET 5.0 is nog te lezen via deze link http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx. Zie ook de eerdere post https://www.security.nl/posting/397253/Microsoft+Enhanced+Mitigation+Experience+Toolkit+%28EMET%29+5_0+%28final+version%29


Door Spiff 09-12-2014 16:32:
N.B.
Betreffend EMET 5.1 ASR-mitigation,
Door W. Spu, ma.8-12, 19:32 uur:
Het probleem met het verliezen van de ingebakken ASR-settings is opgelost in EMET 5.1.
Na het uitschakelen van de ASR mitigation voor iexplore.exe en het vervolgens weer inschakelen ervan waren de default ASR-settings toch wel degelijk weg/leeg.
Ik had ze opgeslagen, en ik kon ze ook terugkrijgen door Protection Profile Popular Software opnieuw toe te passen, maar zonder dat waren die ASR-settings weg/leeg.
Ik heb het zelf nog even getest en het klopt gedeeltelijk. Als je het vinkje bij iexplore.exe in de kolom ASR verwijderd en deze weer activeert worden alle settings getoond met een uitroepteken naast de lege velden. Als je ASR uitschakelt door eerst via de Show All Settings knop naar de geavanceerde settings te gaan en het vinkje bij iexplore.exe in de kolom ASR weer aan zet krijg je hetzelfde resultaat. Alleen als je via de Show All Settings knop naar de geavanceerde settings gaat en daar ASR uitschakelt en later weer naar de geavanceerde settings gaat zie dat de velden gevuld maar grayes out zijn. Via de geavanceerde settings kan ASR wel weer zonder problemen aangezet worden. Ik zal het weer aankaarten op de Microsoft connect portal voor EMET.


Verder heb ik geen ervaring met MBAE en/of HitmanPro.Alert 3. Ik volg de discussie op het Wilders Security forum ook al geruime tijd en er zijn meer mensen die de voorkeur hebben voor deze producten. Helaas biedt MBAE free alleen maar bescherming voor de browsers en is de volledige versie van MBAE (of HitmanPro.Alert 3) niet gratis.

Mijn ervaringen met EMET 5.x zijn helaas ook niet geheel positief. Ik snap dat veiligheid ten koste gaat van performance maar met EMET 5.x neemt dit (zeker op Windows 7 64-bit) onacceptabele vormen aan. Op dit moment gebruik ik zelf ook nog EMET 4.1u1 ondanks dat de beveiliging 'gemakkelijk' omzeild kan worden en de mitigations ASR en EAF+ ontbreken. Daarnaast zou ik ASR nog niet inzetten omdat deze te veel onduidelijkheid veroorzaakt. Zo heeft een andere gebruiker mij gisteren er op gewezen dat een administrator wel een EMET notification krijgt als ASR bijvoorbeeld Java in de browser heeft geblokkeerd maar een gewone gebruiker niet. Een gewone gebruiker krijgt alleen te zien dat Java benodigd is voor de internet pagina. Dit is allemaal erg verwarrend en een gebruiker zou bijvoorbeeld kunnen proberen Java zelf te installeren vanaf niet betrouwbare site.... Ik heb dus mijn collega's nog maar niet gevraagd EMET 5.x te testen en test het zelf op mijn virtuele computers of andere test systemen. Ik probeer echter wel zoveel mogelijk feedback richting Microsoft te geven maar de reactie daar op is ook gering en voor iedere issue een premier support call bij Microsoft aan te maken is ook niet de bedoeling...
09-12-2014, 18:51 door Spiff has left the building
Door W. Spu, 17:51 uur:
Ik heb het zelf nog even getest en het klopt gedeeltelijk.
[...]
Dankjewel voor die informatie die je gaf, W. Spu.
Heb je dat zelf ontdekt, of uit de User's Guide, of uit andere bron?
Bedankt ook weer voor het aankaarten bij Microsoft.
EMET is nog steeds vooral bedoeld voor enigszins gevorderde gebruikers (anders dan MBAE), maar de EMET-gebruiker moet ook een stevige aanleg tot speurwerk hebben (en doorzettingsvermogen om rarigheden te blijven melden aan het EMET team).

Door W. Spu, 17:51 uur:
Verder heb ik geen ervaring met MBAE en/of HitmanPro.Alert 3. Ik volg de discussie op het Wilders Security forum ook al geruime tijd en er zijn meer mensen die de voorkeur hebben voor deze producten. Helaas biedt MBAE free alleen maar bescherming voor de browsers en is de volledige versie van MBAE (of HitmanPro.Alert 3) niet gratis.
Dat MBAE Premium en de licentie-versie van de aankomende HMP.A 3 niet gratis zijn kan uiteraard een bezwaar zijn voor een deel van de potentiële gebruikers. Al zijn ze allebei niet werkelijk duur.
Zelf zie ik kwaliteits-kwesties als een veel groter bezwaar dan beperkte licentiekosten.
EMET 5.1 is gratis, maar is veel te vaak ronduit problematisch, neem alleen al die krankzinnige vertraging van IE11 x64.
MBAE is niet compatible met HitmanPro.Alert, dat vind ik ook een erg negatief aspect, omdat ik HitmanPro.Alert CryptoGuard wil kunnen benutten, en verder weet ik nog niet of MBAE nog vertragingen en andere problemen oplevert.
Van de HMP.A final hoop ik dat die de kinderziekten kwijt zal zijn, maar dat is nog even af te wachten.

Door W. Spu, 17:51 uur:
Mijn ervaringen met EMET 5.x zijn helaas ook niet geheel positief.
[...]
Ik probeer echter wel zoveel mogelijk feedback richting Microsoft te geven maar de reactie daar op is ook gering en voor iedere issue een premier support call bij Microsoft aan te maken is ook niet de bedoeling...
Bedankt voor die informatie die je gaf,
en ook hier weer, zoals steeds, ook bedankt voor je feedback aan Microsoft.
Dat de reactie daarop zo gering (en daarmee wellicht frustrerend) is, maakt het blijven geven van feedback aan Microsoft alleen maar bewonderenswaardiger.
09-12-2014, 21:09 door W. Spu
Door Spiff 09-12-2014 18:51:
Heb je dat zelf ontdekt...

Ik heb zelf nog even gecontroleerd of ASR settings in alle gevallen behouden blijven. Of bedoel je wat anders?
09-12-2014, 22:40 door Spiff has left the building
Door W. Spu, 21:09 uur:
Ik heb zelf nog even gecontroleerd of ASR settings in alle gevallen behouden blijven.
Of bedoel je wat anders?
Met mijn vraag
Door Spiff, 18:51 uur:
Heb je dat zelf ontdekt, of uit de User's Guide, of uit andere bron?
bedoelde ik deze hele beschrijving door jou:
Door W. Spu, 17:51 uur:
Ik heb het zelf nog even getest en het klopt gedeeltelijk. Als je het vinkje bij iexplore.exe in de kolom ASR verwijderd en deze weer activeert worden alle settings getoond met een uitroepteken naast de lege velden. Als je ASR uitschakelt door eerst via de Show All Settings knop naar de geavanceerde settings te gaan en het vinkje bij iexplore.exe in de kolom ASR weer aan zet krijg je hetzelfde resultaat. Alleen als je via de Show All Settings knop naar de geavanceerde settings gaat en daar ASR uitschakelt en later weer naar de geavanceerde settings gaat zie dat de velden gevuld maar grayes out zijn. Via de geavanceerde settings kan ASR wel weer zonder problemen aangezet worden. Ik zal het weer aankaarten op de Microsoft connect portal voor EMET.
Ik vroeg me af of je dat zelf allemaal had vastgesteld, of dat je het uit de EMET 5.1 User's Guide, of uit andere bron had.
Heb je dat zelf allemaal vastgesteld, mijn complimenten dan daarvoor en voor het doorgeven van die informatie.
Had je die informatie uit de EMET 5.1 User's Guide, of uit andere bron, dan uiteraard eveneens complimenten voor het aanreiken van die informatie.
09-12-2014, 22:49 door W. Spu
Door Spiff 09-12-2014 22:40:
Ik vroeg me af of je dat zelf allemaal had vastgesteld, of dat je het uit de EMET 5.1 User's Guide, of uit andere bron had.
Heb je dat zelf allemaal vastgesteld, mijn complimenten dan daarvoor en voor het doorgeven van die informatie.
Had je die informatie uit de EMET 5.1 User's Guide, of uit andere bron, dan uiteraard eveneens complimenten voor het aanreiken van die informatie.
Het staat niet in de User's Guide o.i.d. vermeld. Ik heb het snel even getest omdat ik eerder zelf geconstateerd heb dat het opgelost was. Ik heb schijnbaar toen niet alle mogelijkheden uitgeprobeerd. Wat ik ook niet getest heb is zijn deze commando's:
EMET_Conf.exe --set "*\Internet Explorer\iexplore.exe" -ASR
EMET_Conf.exe --set "*\Internet Explorer\iexplore.exe" +ASR
Ik vermoed dat EMET de specifieke opties bij deze commando's ook niet bewaard. Volgens mij kun je ook niet via de EMET_Conf.exe command-line opties deze specifieke opties instellen. De enige optie is een xml file te importeren waarin de juiste opties staan.
09-12-2014, 23:08 door [Account Verwijderd] - Bijgewerkt: 09-12-2014, 23:15
Door Spiff 09-12-2014 16:30 uur:
Inmiddels heb ik op de betreffende Windows 7 x64 notebook het verschil onderzocht tussen verschillende installaties zonder en met EMET.

Bedankt voor je uitgebreide beschrijving over de Windows 7 x64 notebook en het verschil tussen verschillende installaties zonder en met EMET.

Ik begrijp uit je reactie dat je dus EMET 4.1u1 installeert zodat IE sneller opstart.

Door Spiff 09-12-2014 16:30 uur:
Ten slotte, off topic -
Wat betreft het eerder genoemde Adblock Plus for IE issue,
bij onderzoek zag ik dat Adblock Plus for IE helemaal niet functioneerde in het Standaardgebruikersaccount, ondanks dat het ingeschakeld stond in het IE11-addons overzicht.
Maar tot m'n verbazing en tot m'n grote geluk heb ik Adblock Plus for IE in het Standaardgebruikersaccount kunnen inschakelen door de addon simpelweg uit en weer in te schakelen! ("Have you tried turning it off and on again?" :-)
Het VTexplorer issue is echter nog nog niet opgelost, daar heb ik de "VTexplorer issue IE11 x64" thread voor gestart.

Mooi om te horen dat Adblock Plus for Internet Explorer nu wel goed functioneerd op de notebook. Nu moet dus nog alleen het VTexplorer issue worden opgelsost begrijp ik? Ik zal het topic dat jij hebt aangemaakt in de gaten houden.



Bedankt voor het zoekwerk W.Spu.

Door W. Spu 09-12-2014 17:51 uur:
Mijn ervaringen met EMET 5.x zijn helaas ook niet geheel positief. Ik snap dat veiligheid ten koste gaat van performance maar met EMET 5.x neemt dit (zeker op Windows 7 64-bit) onacceptabele vormen aan. Op dit moment gebruik ik zelf ook nog EMET 4.1u1 ondanks dat de beveiliging 'gemakkelijk' omzeild kan worden en de mitigations ASR en EAF+ ontbreken. Daarnaast zou ik ASR nog niet inzetten omdat deze te veel onduidelijkheid veroorzaakt. Zo heeft een andere gebruiker mij gisteren er op gewezen dat een administrator wel een EMET notification krijgt als ASR bijvoorbeeld Java in de browser heeft geblokkeerd maar een gewone gebruiker niet. Een gewone gebruiker krijgt alleen te zien dat Java benodigd is voor de internet pagina. Dit is allemaal erg verwarrend en een gebruiker zou bijvoorbeeld kunnen proberen Java zelf te installeren vanaf niet betrouwbare site.... Ik heb dus mijn collega's nog maar niet gevraagd EMET 5.x te testen en test het zelf op mijn virtuele computers of andere test systemen. Ik probeer echter wel zoveel mogelijk feedback richting Microsoft te geven maar de reactie daar op is ook gering en voor iedere issue een premier support call bij Microsoft aan te maken is ook niet de bedoeling...

Ook bedankt voor de moeite die je steekt in het geven van feedback richting Microsoft.

Ik begin overigens eerlijk gezegd overigens ook steeds meer erover te denken om weer terug naar EMET 4.1u1 te gaan aangezien ik 11 seconden wachttijd voor het opstarten van IE11 op mijn pc met Windows 7 64bits toch wel lang vindt, en ook omdat de combinatie EMET4.1u1 en DeepGuard wel goed werkt.
09-12-2014, 23:47 door Spiff has left the building
Door _kraai__, 23:08 uur:
Ik begrijp uit je reactie dat je dus EMET 4.1u1 installeert zodat IE sneller opstart.
Inderdaad, maar niet alleen vanwege de krankzinnige opstarttijden van IE11 op Windows 7 x64 met EMET 5.1, maar ook vanwege het feit dat het openen van webpagina's in nieuwe tabbladen eveneens verschrikkelijk traag is.
Ik was er werkelijk geschokt door.
Mooi hoor, de extra beveiligingen in EMET 5.1, en het doet de boel niet crashen, maar het maakt het gebruik van IE11 wel tot een beproeving, vind ik. En dat wil ik m'n vriendin niet aandoen. En mezelf ook niet, wanneer ik m'n eigen notebook installatie binnenkort afmaak en daarna m'n desktop aanpas van Vista naar Windows 7. Ik ben nu alvast gewaarschuwd betreffend EMET 5.1. (Zou m'n Vista systeem niet aan schoon installeren toe zijn wegens een frequent terugkomend "Windows could not connect to the System Event Notification Service" euvel, dan zou ik die installatie misschien zelfs nog even uitstellen, maar ik zal nu de komende weken toch door moeten met die installaties.)
10-12-2014, 11:04 door [Account Verwijderd]
@Spiff 09-12-2014 23:47 uur

Ik kan mij voorstellen dat IE11 gebruiken inderdaad een beproeving wordt gezien de 15 tot 20 seconden opstarttijd die je beschrijft en het traag openen van tabbladen. Ben je van plan om EMET4.1u1 op je notebook en op je desktop te installeren? of probeer je eerst nog EMET 5.1 uit met IE11 uit op je notebook en desktop?
10-12-2014, 11:46 door Spiff has left the building
Door _kraai__, V uur:
Ben je van plan om EMET4.1u1 op je notebook en op je desktop te installeren?
of probeer je eerst nog EMET 5.1 uit met IE11 uit op je notebook en desktop?
Ook op m'n eigen notebook en desktop zal ik binnenkort (komende weken, komende maand) in eerste instantie EMET 5.1 proberen. Je weet immers maar nooit of EMET 5.1 zich op die twee systemen om een of andere reden toch beter gedraagt. Maar gezien het feit dat dat eveneens Windows 7 x64 systemen betreft, en gezien mijn en jullie ervaringen, vermoed ik vergelijkbare enorme vertraging door EMET 5.1. In dat geval zet ik er vervolgens EMET 4.1u1 op.
16-12-2014, 21:05 door Spiff has left the building
Interessant in verband met de van 8 tot 10 december besproken enorme opstartvertraging van IE11 door EMET 5.1,
hier een vergelijking voor Chrome 39 op Windows 7 -
MBAE en HMP.A 3 blijken anders dan EMET 5.1 nauwelijks opstartvertraging te geven:
http://www.wilderssecurity.com/threads/emet-mbae-and-hmp-a.370363/page-2#post-2437903
Wat een verschil!
Of datzelfde beeld ook geldt voor IE11, dat zegt die vergelijking overigens niet.
16-12-2014, 23:18 door Anoniem
Ik heb Emet 5.1 nu ook draaien op Windows 7 x64 en merk dat Internet Explorer daar niet echt lekker onder draait. Onder Firefox merk ik geen problemen. Maar ga ik bijvoorbeeld met IE naar msn.com dan laad de pagina merkbaar langzamer. Ook tabs openen via de site gaat traag. Schakel ik IE onder apps uit dan verdwijnt het.
28-12-2014, 23:45 door Spiff has left the building
Door _kraai__, 10-12-2014, 11:04 uur:
Ben je van plan om EMET4.1u1 op je notebook en op je desktop te installeren?
of probeer je eerst nog EMET 5.1 uit met IE11 uit op je notebook en desktop?
Door Spiff, 10-12-2014, 11:46 uur:
Ook op m'n eigen notebook en desktop zal ik binnenkort (komende weken, komende maand) in eerste instantie EMET 5.1 proberen. Je weet immers maar nooit of EMET 5.1 zich op die twee systemen om een of andere reden toch beter gedraagt. Maar gezien het feit dat dat eveneens Windows 7 x64 systemen betreft, en gezien mijn en jullie ervaringen, vermoed ik vergelijkbare enorme vertraging door EMET 5.1. In dat geval zet ik er vervolgens EMET 4.1u1 op.
Op m'n Windows 7 x64 notebook heb ik EMET 5.1 vanavond uitgeprobeerd.
Zoals verwacht - dezelfde enorme vertraging door EMET 5.1 als dat ik hier op 9 december beschreven heb, https://www.security.nl/posting/408206#posting411328.
Ook op m'n Windows 7 x64 notebook heb ik daarom nu EMET 4.1u1 gezet.
Wanneer HitmanPro.Alert v3 uit het test-stadium is, dan kan dat misschien een interessant alternatief worden.
Maar HitmanPro.Alert v3 Exploit Mitigation heeft wel een HitmanPro licentie nodig, waardoor niet iedereen het een alternatief zal vinden voor het gratis EMET.
06-01-2015, 19:53 door Spiff has left the building - Bijgewerkt: 06-01-2015, 23:05
Een tijdje na mijn post van 28-12-2014 (zie hierboven), begon ik me nu af te vragen:
Heb ik 28-12 ook wel onderzocht in hoeverre het uitschakelen van EAF+ verschil maakte en in hoeverre dat IE11 met EMET 5.1 al dan niet bruikbaarder maakte?

Ik had dat 09-12-2014 wel onderzocht met de notebook van m'n vriendin
(https://www.security.nl/posting/408206#posting411328),
maar ik ben vergeten of ik dat 28-12-2014 nou ook wel onderzocht heb met m'n eigen notebook.

Ik heb dat daarom zonet nog (opnieuw?) onderzocht.

Die notebook, m'n eigen notebook, die heeft nu trouwens een 'afgeknepen' CPU, omdat bleek dat de processor bij piekbelastingen zo heet kon worden dat het systeem uitschakelde (bij schone warmtewisselaar). Waarschijnlijk door een slecht doordacht ontwerp met een voor de betreffende P6200 processor te slappe heatpipe/heatsink. Een tekortkoming die je jammer genoeg vaker ziet bij notebooks.
Ik heb de maximum processor state teruggebracht van 100% naar 85%, waarmee de multiplier beperkt wordt van 16x naar 13x, en de maximum clock speed van 2.13 naar 1.73 GHz.
Door die beperking valt de invloed van EMET 5.1 nu nog duidelijker op.

Met EMET 5.1, met alle mitigations van Protection Profile Popular Software,
kost een 'koude' start van IE11, na een systeemherstart, 30(!) seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost nog steeds 19 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat vreselijk traag.

Met EMET 5.1, met alle mitigations van Protection Profile Popular Software,
maar nu met de EAF+ mitigation uitgeschakeld voor iexplore.exe,
kost een 'koude' start van IE11, na een systeemherstart, 22 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost 11 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat nog steeds traag.

Met EMET 4.1 Update 1,
kost een 'koude' start van IE11, na een systeemherstart, 19 seconden tot het moment dat ie bruikbaar is.
Een volgende start van IE11 kost dan 6 seconden.
Het openen van webpagina's in nieuwe tabbladen gaat redelijk.

Vergeleken met de notebook van m'n vriendin zijn deze resultaten slechter, wellicht door de afgeknepen CPU.

Overigens betreft dit enkelvoudige bepalingen, meer bepalingen zouden misschien een gemiddelde kunnen laten zien dat iets hoger of lager ligt. Maar de bovenvermelde bepalingen geven wel een globale indruk van de verschillende situaties.

En opvallend is in ieder geval wel, dat het uitschakelen van EAF+ het openen van IE11 duidelijk wat vlotter doet verlopen, bijna zo vlot als met EMET 4.1u1.
De invloed van EMET 5.1 op het openen van webpagina's in nieuwe tabbladen die vind ik echter nog steeds te groot, ook met EAF+ uitgeschakeld.

Met moderne systemen met razendsnelle SSD en i7 etc. is het bovenstaande misschien wel nauwelijks een issue.
Met notebooks met 5400 rpm HDD's en lichte dual core CPU's duidelijk wel.


Aanvulling, 23:05 uur
Mijn bovenstaande weergave van resultaten met EMET en IE11, dat is met het openen van drie tabbladen, drie webpagina's. Ik weet niet of het openen met slechts één tabblad, eventueel als about:blank, vlottere resultaten laat zien.
06-01-2015, 23:15 door W. Spu - Bijgewerkt: 06-01-2015, 23:16
Ik lees op diverse fora over de problemen van EMET 5.x en met name met de 64-bit versie van Internet Explorer en niet alleen IE11. Ik verbaas me er nog steeds over dat Microsoft niet met een oplossing of zelfs met een reactie komt. Heeft iemand al contact gezocht met Microsoft of heeft iemand cont(r)acten bij Microsoft?
06-01-2015, 23:52 door Spiff has left the building
Door W. Spu, 23:15 uur:
Ik lees op diverse fora over de problemen van EMET 5.x en met name met de 64-bit versie van Internet Explorer en niet alleen IE11. Ik verbaas me er nog steeds over dat Microsoft niet met een oplossing of zelfs met een reactie komt. Heeft iemand al contact gezocht met Microsoft of heeft iemand cont(r)acten bij Microsoft?

Zoals Mysterio vandaag aangaf in de EMET 5.0 thread, is ook het effect op het opstarten van Firefox aanzienlijk.
(https://www.security.nl/posting/397253#posting414060,
https://www.security.nl/posting/397253#posting414131)

Wat betreft het uitblijven van een oplossing of een reactie van Microsoft en/of het EMET team, dat kan me jammer genoeg inmiddels niet meer verbazen - zoals ik me ook over opstelling en gedrag van andere software-bedrijven, en andere bedrijven, zorgverzekeraars, politieke partijen, mensen, eh, hoe breed wil ik het maken, inmiddels niet meer kan verbazen - ik ben zo zachtjes aan murw aan het raken, vrees ik. Dat is waarom ik het betreffend EMET heb opgegeven nog feedback te leveren aan het EMET team. Ik waardeer het zeer wanneer iemand anders dat nog doet, zoals jij een tijdje geleden nog aangaf, W. Spu, maar ikzelf heb het met feedback aan het EMET team opgegeven. Ik kan alleen maar hopen dat anderen nog fris en/of verbeten genoeg zijn om nog te blijven melden. Mijn energie en tijd gaat naar andere meldingen (andere strijd?), waarbij ik soms nog de illusie heb dat ik daarmee nog wel wat kan bereiken ;-)
07-01-2015, 16:58 door [Account Verwijderd] - Bijgewerkt: 07-01-2015, 17:00
Door Spiff 07-01-2015 19:53 uur:
Met moderne systemen met razendsnelle SSD en i7 etc. is het bovenstaande misschien wel nauwelijks een issue.
Met notebooks met 5400 rpm HDD's en lichte dual core CPU's duidelijk wel.

Wat ik een tijd geleden omschreef in mijn reactie van 08-12-2014 14:12 (kon geen linkje maken aangezien deze reactie niet meer in mijn account overzicht tussen de recente reacties is te zien) dat ik het verschijnsel van de lange opstarttijd niet terug herkende op mijn PC met Windows 7 32 bits, dat systeem heeft een betere processor als mijn PC met Windows 7 64 bits, maar is nu ook weer niet modern te noemen (mijn PC met Windows 7 64 bits is denk ik eerder nogal verouderd).

Dus of er nu een ultra modern systeem voor nodig is weet ik niet zeker. Maar goed ik weet ook niet zeker of het vertraagd opstarten van IE11 en Firefox op een systeem met EMET5.1, alleen een probleem is met x64 bits systemen.

Wel belangrijk is denk ik dat we op de zelfde manier meten wat de opstarttijd is. wat verstaan we onder de opstarttijd? De tijd die nodig is tot dat het mogelijk is iets te kunnen intikken in de adres balk? of wanneer er geen symbooltje meer te zien is bij de muis dat er iets wordt geladen?
07-01-2015, 20:07 door Spiff has left the building - Bijgewerkt: 07-01-2015, 20:26
Door _kraai__, 16:58 uur:
Wat ik een tijd geleden omschreef in mijn reactie van 08-12-2014 14:12 [...] dat ik het verschijnsel van de lange opstarttijd niet terug herkende op mijn PC met Windows 7 32 bits, dat systeem heeft een betere processor als mijn PC met Windows 7 64 bits, maar is nu ook weer niet modern te noemen (mijn PC met Windows 7 64 bits is denk ik eerder nogal verouderd).
Dus of er nu een ultra modern systeem voor nodig is weet ik niet zeker. Maar goed ik weet ook niet zeker of het vertraagd opstarten van IE11 en Firefox op een systeem met EMET5.1, alleen een probleem is met x64 bits systemen.
Mijn Windows Vista x86 systeem is naar moderne hardware maatstaven ook verouderd, met Core 2 Duo E8600 3,33 GHz en DDR2-800 PC2-6400 RAM, en geen match voor een modern systeem met i7, i5, of zelfs maar met i3, maar niettemin heb ik daarmee géén last van vertraging door EMET 5.1. Dat ik op Windows 7 x64 systemen met IE11 wél enorme vertraging zie met EMET 5.1 vergeleken met EMET 4.1u1, denk ik daarom toe te moeten schrijven aan de x64 installatie. Of dat terecht is, dat weet ik nog niet zeker.
Wanneer ik over enige tijd mijn Core 2 Duo E8600 systeem uitrust met Windows 7 x64, dan kan ik zien wat de invloed van EMET 5.1 is. Gezien de resultaten met de twee notebooks, ook al hebben die lichtere processors, vrees ik met dat systeem iets vergelijkbaars met EMET 5.1.
Aanvulling, 20:26 uur
Hum, het verband met wat ik eerder aangaf en met wat jij aangaf dat miste wellicht in wat ik hierboven schreef...
Wat ik bedoel, dat is dat met mijn Vista x86 systeem geen noemenswaardige vertraging door EMET 5.1 is waar te nemen en (daardoor) de oudere hardware nauwelijks een beperkende factor lijkt te zijn, maar dat ik niet uitsluit dat met een Windows x64 systeem, waarmee wél vertraging optreedt door EMET 5.1, moderne krachtige en snelle hardware een factor kan zijn waardoor vertraging door EMET 5.1 minder opvalt.
Dus:
Vista x86: geen vertraging door EMET 5.1 en hardware (daardoor) nauwelijks een beperkende factor;
Windows 7 x64: wel vertraging door EMET 5.1 en hardware mogelijk wel een verzachtende of verzwarende factor?

Door _kraai__, 16:58 uur:
Wel belangrijk is denk ik dat we op de zelfde manier meten wat de opstarttijd is. wat verstaan we onder de opstarttijd? De tijd die nodig is tot dat het mogelijk is iets te kunnen intikken in de adres balk? of wanneer er geen symbooltje meer te zien is bij de muis dat er iets wordt geladen?
Goeie vraag.
Ik nam als maatstaf het moment dat de browser responsief werd.
Bij IE11 die opent met enkel een blanco pagina (about:blank) nam ik (inderdaad) het moment dat ik met succes wat kon invoeren in de adresbalk, en bij IE11 die opent met drie tabbladen als startpagina nam ik het moment dat ik met succes het tweede of derde tabblad kon selecteren.

P.S.
Door _kraai__, 16:58 uur:
kon geen linkje maken aangezien deze reactie niet meer in mijn account overzicht tussen de recente reacties is te zien
Als je dat wilt, kun je altijd zelf een link samenstellen:
https://www.security.nl/posting/111111#posting222222
waarbij je voor 111111 het nummer van de thread neemt,
en voor 222222 het nummer van de post, dat je kunt zien wanneer je je muisaanwijzer op het abuse-uitroeptekentje houdt.
Op veel fora gaat dat simpeler, maar op deze manier lukt het ook wel :-)
07-01-2015, 22:37 door [Account Verwijderd] - Bijgewerkt: 07-01-2015, 23:15
Door Spiff, 07-01-2014 20:07 uur:
Mijn Windows Vista x86 systeem is naar moderne hardware maatstaven ook verouderd, met Core 2 Duo E8600 3,33 GHz en DDR2-800 PC2-6400 RAM, en geen match voor een modern systeem met i7, i5, of zelfs maar met i3, maar niettemin heb ik daarmee géén last van vertraging door EMET 5.1. Dat ik op Windows 7 x64 systemen met IE11 wél enorme vertraging zie met EMET 5.1 vergeleken met EMET 4.1u1, denk ik daarom toe te moeten schrijven aan de x64 installatie. Of dat terecht is, dat weet ik nog niet zeker.
Wanneer ik over enige tijd mijn Core 2 Duo E8600 systeem uitrust met Windows 7 x64, dan kan ik zien wat de invloed van EMET 5.1 is. Gezien de resultaten met de twee notebooks, ook al hebben die lichtere processors, vrees ik met dat systeem iets vergelijkbaars met EMET 5.1.
Aanvulling, 20:26 uur
Hum, het verband met wat ik eerder aangaf en met wat jij aangaf dat miste wellicht in wat ik hierboven schreef...
Wat ik bedoel, dat is dat met mijn Vista x86 systeem geen noemenswaardige vertraging door EMET 5.1 is waar te nemen en (daardoor) de oudere hardware nauwelijks een beperkende factor lijkt te zijn, maar dat ik niet uitsluit dat met een Windows x64 systeem, waarmee wél vertraging optreedt door EMET 5.1, moderne krachtige en snelle hardware een factor kan zijn waardoor vertraging door EMET 5.1 minder opvalt.
Dus:
Vista x86: geen vertraging door EMET 5.1 en hardware (daardoor) nauwelijks een beperkende factor;
Windows 7 x64: wel vertraging door EMET 5.1 en hardware mogelijk wel een verzachtende of verzwarende factor?

Bedankt voor de informatie Spiff. Mijn Windows 7 x64 bits systeem betreft een Celeron 2.00 GHz en 4.00 GB werkgeheugen, ook geen match voor een I7, I5 of I3 lijkt mij, en dus denk ik dat bij dat systeem de hardware ook een rol kan spelen in de vertraging wanneer EMET5.1 is geïnstalleerd.

Ik vraag me alleen wel af waarom is Windows 7 x64 op dat systeem geïnstalleerd? De celeron is toch een x86 prosecor?

Door _kraai__, 07-01-2014 16:58 uur:
Wel belangrijk is denk ik dat we op de zelfde manier meten wat de opstarttijd is. wat verstaan we onder de opstarttijd? De tijd die nodig is tot dat het mogelijk is iets te kunnen intikken in de adres balk? of wanneer er geen symbooltje meer te zien is bij de muis dat er iets wordt geladen?
Door Spiff 07-01-2014 20:07 uur:
Goeie vraag.
Ik nam als maatstaf het moment dat de browser responsief werd.
Bij IE11 die opent met enkel een blanco pagina (about:blank) nam ik (inderdaad) het moment dat ik met succes wat kon invoeren in de adresbalk, en bij IE11 die opent met drie tabbladen als startpagina nam ik het moment dat ik met succes het tweede of derde tabblad kon selecteren.

Hmm ik ben wat strenger geweest met de maatstaf.
Ik heb gekeken wanneer het mogelijk is om met succes wat te kunnen invoeren in de URL balk en ik ook geen blauw cirkeltje meer bij de muis zag.

Ik beschreef 11 seconden opstarttijd van IE11 met EMET 5.1 op mijn Windows 7 x64 systeem, daar moet dan 1 a 1.5 seconden van worden afgehaald voor het wachten tot het blauwe cirkeltje weg is om de zelfde maatstaaf te krijgen als jij omschrijft Spiff.

Dit is dus 5 seconden minder als bij jouw systeem zonder dat er wat in de CPU is gewijzigd zoals je omschreef, echter heb ik relatief weinig programma's om mijn Windows 7 x64 bits systeem geïnstalleerd (gebruik hem vooral om instellingen of updates te testen voordat ik wijzigingen aanbreng op een andere PC). Dit kan misschien ook wel weer een rol spelen.

Door Spiff 07-01-2014 19:53 uur:
Ik heb de maximum processor state teruggebracht van 100% naar 85%, waarmee de multiplier beperkt wordt van 16x naar 13x, en de maximum clock speed van 2.13 naar 1.73 GHz.
Door die beperking valt de invloed van EMET 5.1 nu nog duidelijker op.

Door _kraai__, 07-01-2014 16:58 uur:
kon geen linkje maken aangezien deze reactie niet meer in mijn account overzicht tussen de recente reacties is te zien
Door Spiff 07-01-2014 20:07 uur:
P.S.
Als je dat wilt, kun je altijd zelf een link samenstellen:
https://www.security.nl/posting/111111#posting222222
waarbij je voor 111111 het nummer van de thread neemt,
en voor 222222 het nummer van de post, dat je kunt zien wanneer je je muisaanwijzer op het abuse-uitroeptekentje houdt.
Op veel fora gaat dat simpeler, maar op deze manier lukt het ook wel :-)

Oké, zo is het dus ook mogelijk te linken naar een reactie, bedankt Spiff. Ik keek altijd of de reactie nog tussen de recente reacties stond en zo ja klikte ik hem aan een kopieerde vervolgens het adres uit de URL balk. En het gaat misschien op een aantal fora wat simpeler, maar goed op de manier die jij omschrijft gaat het inderdaad ook wel ja.
11-01-2015, 21:47 door [Account Verwijderd]
Ook op mijn PC met Windows 8.1 x64 treed er een vertraging op met IE11 en EMET 5.1, echter vind ik de vertraging wel meevallen. Het scheelt zich zo'n 3 seconden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.