Вышел EMET 4.0

Теперь не бета, а RTM.

Забирать тут — http://www.microsoft.com/en-us/download/details.aspx?id=39273

Читать про него тут — www.atraining.ru/kb

Что в плане изменений от беты к RTM (UPDATED 21.06.2013):

На бету 4.0 поверх не ставится — удаляйте бету вручную и ставьте RTM.

При установке вежливо спрашивает, оставить ли старые правила, плюс добавить к ним защиту Pinned Sites для Microsoft Online Services, или выставить всё по дефолту (автоматически закроет основные приложения, Office, яву, продукцию Adobe, заодно защитит SSL/TLS сессии до основных соц.сетей типа Twitter и Facebook). Выбирайте сами, что лучше. Дефолт, замечу, создаст защиту 50 с лишним сертификатов и правил насчёт pinned sites, поэтому он интересен, вручную это нудно делать.

Сильно переработали интерфейс, стало, имхо, хуже. Почему-то похоже не на офис 2013, а не 2007й больше. Но пофигу, функционал главнее.

Есть баг — Maximum Security — это опять когда ASLR почему-то не Always On, а Application Opt In. Опять же — по ссылке на мою статью найдёте, как это править. В случае, когда EMET внутри виртуалки, ASLR надо включать Always On, там нет риска напороться на BSoD из-за некачественных левых драйверов, потому что там все драйвера синтетические и одинаковые.

По дефолту теперь выключен Deep Hooks — не забудьте включить.

В остальном — украшательства всякие, да и только.

Крайне рекомендую устанавливать EMET не только на сервера, но и на рабочие станции слабо компетентных юзеров, т.к. Pinned sites как раз адресно помешает им попадаться на фишинг и подобное, просто не давая возможности зайти на «левый Twitter», случайно кликнув ссылку, например.

Это, нетрудно заметить, реклама багов в RTM-версии хорошего и полезного продукта.

UPDATE

К вопросу об эффективности данного средства:

Тест номер один (древней версии 2.0): http://www.rationallyparanoid.com/articles/emet-testing.html

Вот кто его официально юзает и рекомендует, например: http://pages.ebay.com/securitycenter/emet.html

Вот пример, как им блокируется уязвимость в Microsoft Office: http://blogs.technet.com/b/srd/archive/2013/06/11/ms13-051-get-out-of-my-office.aspx

Вот пример, когда несколько технологий EMET (EAF, anti-ROP и принудительный ASLR) блокируют другой эксплойт, для IE: http://blogs.technet.com/b/srd/archive/2013/05/08/microsoft-quot-fix-it-quot-available-to-mitigate-internet-explorer-8-vulnerability.aspx (он же, но на другом сайте — http://www.cert.org/blogs/certcc/2013/05/keep_calm_and_deploy_emet.html ).

К вопросу о том, где подробнее покурить:

Моя статья про 2.1 — там про основные фичи: http://kb.atraining.ru/new-emet-2-1

Про 3.0 (там фигня поменялась, но это первая версия, которую можно хотя бы централизованно нормально развернуть и управлять через group policy): http://kb.atraining.ru/new-emet-3-0

Про 3.5, который вышел после BlueHat’овских ROP’ов: http://kb.atraining.ru/new-emet-3-5

Официальная страница EMET’а: http://technet.microsoft.com/en-us/security/jj653751

Ещё, про совместимость. Чтобы EMET дружил с IE10 на Windows 8 (битовость платформы любая), нужно патч не забыть — http://support.microsoft.com/kb/2790907

Про проблемы применения можно читать тут: http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet

Реклама
Вышел EMET 4.0

Вышел EMET 4.0: 10 комментариев

  1. А будет оно рабаотать, если выгрузить из памяти EMET Agent?
    Если это всего лишь гуй для функций оси? (не люблю лишнего в памяти и мусора в трэе)

    1. Частично. Встроенные в ОС функции будут применяться — ASLR тот же, т.к. в реестр пишется, фактически, доп.команда для конкретного exe-модуля, что включать при его запуске, а вот новое типа Pinned Sites — отвалится. Т.е. не рекомендую. Насчёт памяти — ну, если NT 6.1 и старше, ему и так working set схлопнут сильные руки ОС, тренированные Руссиновичем. Так что если даже написано, что он занимает 100МБ — он в RAM может занимать ровно столько, сколько минимально нужно для работы 🙂

  2. Действительно. Про EMET вообще мало кто знает и упоминает. Но вот где не ожидал встретить упоминание, так вот здесь ))
    http://world-of-tanks.livejournal.com/4887585.html

    Он, правда, в максимум всё предлагает ставить. Кто не понимает и тупо поставит, вредительство же может быть)

    1. 123456qwertyu:

      Он хотя бы честно предупредил про шансы на смерть системы. Уже кое-что.

      Вообще, статья написана удивительно вменяемо для выкладываемого в паблик в Интернете. Тут подчас «эксперты» куда хуже пишут.

  3. Руслан, а вам лично известны случаи применения этой тулзы в Production? Я вчера поговорил с народом, так абсолютное большинство даже никогда и не слышало про EMET, не говоря о том, чтобы его использовать.

    И, понимаю, что вопрос должен задаваться не вам, но почему бы не интегрировать эту нужную и полезную программу в стандартный AV от MS?

    1. Случаи известны. То же, что большинство с ней не знакомо — это, в общем-то, проблема подхода «поставил — работает». Я по сути единственный, кто по ней в России статьи пишет, т.к. у подавляющего большинства администраторов и инженеров продукции Microsoft нет даже рамочного представления «что там, под капотом», которое необходимо, чтобы понять суть применяемых технологий. Как результат чёткого разделения между «девелоперс» и «it pro». Мы стараемся это поправлять — на курсах про EMET я рассказываю, например, и помогает — люди начинают использовать.

      Насчёт «почему не интегрят» — на http://www.atraining.ru/kb в статье про EMET 2.1 я про это упомянул, можете посмотреть. Суть-то достаточно интересна — EMET, фактически, GUI, который помогает включать уже существующие в ОС технологии защиты. Тот же ASLR — сама ОС им замечательно пользуется, но вот прикладное ПО — нет. Плюс, ведь надо это ПО писать с учётом таких технологий, а это значит, что софтинку, которая компилировалась под 6.0й студией, а потом под 2002й, надо не просто пересобрать под 2012й, а ещё и почитать гайды по разработке под конкретную платформу. Много ли программистов будет это делать? Многие ли полезут менять код, только чтобы тот же ASLR, существующий ещё с Висты, можно было включить на их софтине? Единицы. Проще же обвинить потом неправильную винду, если софтина в какой-то ситуации работать не будет. Посмотрите на большинство тяп-ляп говнотворчества российского кодинга, «страны лучших программистов». Ткните в любой коммерческий софт, который производится на территории России — да там у большинства мантры типа «наша софтина, которая считает бух.отчётность, должна работать только от локального админа, а лучше от доменного». Там пути к C:\Program Files будут hardcoded, и к жабе — вплоть до номера версии. И это всё там будет лет 10 без изменений, потому что всем пофигу — проще админов клиента нагнуть с криками «мы производитель, нам виднее, что всё наше должно работать под Энтерпрайз админом и ещё в группу Схема мастерс добавьте, не помешает, а то поглючивать будет». Они сами не знают, как оно у них работает, они Поглючиваний боятся. А тут — EMET.

      К слову, тот самый «нинужный непонятный» логотип на софте вида «Windows 7 Compat» включает в себя тесты на соответствие данным технологиям. Поэтому он очень даже нужный и является неплохим критерием для выбора ПО. Это значит, что в код хотя бы заглядывали, а не просто пересобрали под новую ОС и «вроде запускали, у нас вроде работает».

      EMET — не панацея. Это, скорее, комплекс прививок и мультивитаминов, который может превратить двухнедельную ангину с температурой под 40 в день шмыгания носом. Это armoring tool, который при грамотном применении резко поднимет нижнюю планку безопасности систем, при этом не требуя обслуживания и затрат на администрирование. Его цель в этом, с антивирусом он конкурировать не может, разные задачи. Но кроме него с задачей снижения угроз от неизвестных уязвимостей никто особо не справляется.

      1. Ну, надо сказать, что запрашиванием всех возможных и невозможных прав нанимаются не только русские программисты: только на днях закрыл тикет в Symanctec насчет NetNackup и SharePoint — добрый backup agent хочет обладать всеми правами начиная от Domain Admin, SA on SQL servers и заканчивая всеми ролями SharePoint admin. Причем если последнее еще хоть как-то поддается пониманию, то первые два требования просто абсурдны. Но нифига — права надо дать иначе имеем unsupported configuration.

    2. 123456qwertyu:

      > почему бы не интегрировать эту нужную и полезную программу в стандартный AV от MS?

      Добавлю к сказанному Русланом: такие вещи не интегрируют в стандартную поставку ещё и потому, чтобы у дурака (каковыми по дефолту являются 99.9999% юзеров и 50% админов) было поменьше возможностей выстрелить себе в ногу. А то сначала на Zver CD включат все технологии защиты, а потом, когда оно посинеет, лишний раз будут про «глючную винду» на каждом перекрёстке кричать…

  4. 123456qwertyu:

    Позитивная новость, спасибо.

    Однако, я бы не стал называть изменённые дефолтные настройки багами. Полагаю, на их изменение у MS были свои достаточно серьёзные причины. Даже догадываюсь, какие конкретно: они даже в режиме Maximum Security пытались сохранить стабильность работы в любых конфигурациях. Избавляют продукты от имиджа «непрерывно синеющих», что делать… приобрести этот имидж было куда легче, чем перебороть людскую память, помноженную на некомпетентность.

    1. Нет, там именно баг, т.к. даже в «разлоченом» состоянии, когда в реестре включен ASLR Always On он продолжает считать, что это не Max Security, а Custom Settings.

Обсуждение закрыто.