Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

EMET włączy dostępne w Windows zabezpieczenia

13 czerwca 2011

EMET (Enhanced Mitigation Experience Toolkit) albo, po polsku, Zestaw narzędzi rozszerzonego środowiska ograniczającego ryzyko to program, który w przyjazny użytkownikowi sposób włącza większość dostępnych w Windows technik chroniących przed atakami polegającymi na uruchomieniu złośliwego kodu w wyniku błędu w aplikacji. Mowa tu głównie o atakach typu przepełnienie bufora (buffer overflow), sterty (heap) czy atakach na tzw. format string. System już od wersji XP SP2 ma wbudowane funkcje ograniczające możliwość wykorzystania tych błędów w aplikacjach, a w Windows Vista zostały one znacznie rozbudowane. Niestety były one również dość skutecznie "ukryte" przed administratorem za pomocą dość hermetycznych opcji konfiguracyjnych - i ten właśnie problem rozwiązuje EMET.



Program nie zastąpi pisania bezpiecznych aplikacji ale pozwala ograniczyć ryzyko ataku dla aplikacji już napisanych, zwłaszcza takich, do których nie dysponujemy kodem źródłowym. Program działa na dwóch poziomach - systemu i aplikacji. Zabezpieczenia włączone na poziomie systemu operacyjnego działają dla wszystkich aplikacji. Techniki te można włączyć jako dostępne dla aplikacji chcących je wykorzystać (Opt-in), obowiązkowe dla wszystkich bez wyjątków (Mandatory) lub obowiązkowe ale z możliwością wyłączenia przez aplikację (Opt-out):

* Data Execution Prevention (DEP)
* Structure Exception Handler Overwrite Protection (SEHOP)
* Address Space Layout Randomization (ASLR)



Obszerniejszy jest katalog technik, które możemy włączać jako obowiązkowe tylko dla wybranych aplikacji, poza wymienionymi wyżej:

* Heapspray Allocations
* Null page allocation
* Export Address Table Access Filtering (EAF)
* Bottom-up randomization



Każda z tych technik ogranicza różne techniki atakowania aplikacji i dla każdej istnieją techniki umożliwiające ich obchodzenie - jednak im więcej zabezpieczeń zostanie włączone tym mniejsze prawdopodobieństwo ich równoczesnego obejścia. Aplikacja wymaga co najmniej Windows XP SP3 lub, w linii serwerowej, Windows 2003 Server SP1, jednak wszystkie techniki są dostępne dopiero w Windows Vista oraz Windows 7.

W praktycznych wykorzystaniach włączenie zabezpieczeń EMET może powodować różne nieprzewidywalne efekty w aplikacjach, które nie są napisane zgodnie z zasadami dobrych praktyk programistycznych - takie aplikacje mogą być podczas normalnej pracy "zabijane" przez EMET jako podejrzane o wykonywanie złośliwego kodu. Zazwyczaj za takie anomalie odpowiada tylko jedna z włączanych przez EMET technik, więc wystarczy je po kolei wyłączać by ustalić jaki zestaw jest bezpieczny dla danej aplikacji.

Największą wartość będą mieć zabezpieczenia włączone dla aplikacji sieciowych - czyli tych, które przetwarzają dane otrzymane z sieci, w przypadku systemów serwerowych. W przypadku systemów dla użytkowników końcowych EMET należy w pierwszej kolejności włączyć dla przeglądarek internetowych, programów pocztowych oraz aplikacji otwierających pliki pochodzące z sieci (Office, Adobe itd).