EMET non apparirà e ti farà delle domande, quindi è una soluzione set-it-and-forget-it una volta che lo hai impostato. Ecco come proteggere più applicazioni con EMET e risolverle se si rompono.
Scopri se EMET sta rompendo un'applicazione
Se un'applicazione fa qualcosa che le tue regole EMET non consentono, EMET spegne l'applicazione - questa è l'impostazione predefinita, comunque. EMET chiude le applicazioni che si comportano in un modo potenzialmente pericoloso in modo che non possano verificarsi exploit. Per impostazione predefinita, Windows non esegue questa operazione per tutte le applicazioni in quanto interromperà la compatibilità con molte delle vecchie applicazioni Windows in uso oggi.
Se un'applicazione si rompe, l'applicazione si spegnerà immediatamente e vedrai un pop-up dall'icona EMET nella barra delle applicazioni. Sarà anche scritto nel registro eventi di Windows - queste opzioni possono essere personalizzate dalla casella Report sulla barra multifunzione nella parte superiore della finestra EMET.
Utilizzare una versione di Windows a 64 bit
Le versioni a 64 bit di Windows sono più sicure perché hanno accesso a funzionalità come la randomizzazione del layout di spazio degli indirizzi (ASLR). Non tutte queste funzionalità saranno disponibili se utilizzi una versione di Windows a 32 bit. Come per Windows, le funzionalità di sicurezza di EMET sono più complete e utili su PC a 64 bit.
Blocca processi specifici
Probabilmente vorrai bloccare applicazioni specifiche invece dell'intero sistema. Concentrati sulle applicazioni che hanno maggiori probabilità di essere compromesse. Ciò significa browser Web, plug-in del browser, programmi di chat e qualsiasi altro software che comunica con Internet o apre i file scaricati. I servizi di sistema di basso livello e le applicazioni che funzionano offline senza aprire alcun file scaricato sono meno a rischio. Se hai qualche applicazione aziendale importante, forse quella che accede a Internet, potrebbe essere l'applicazione che desideri proteggere maggiormente.
Per proteggere un'applicazione in esecuzione, individuarla nell'elenco EMET, fare clic con il tasto destro del mouse e selezionare Configura processo.
(Se si desidera proteggere un processo che non è in esecuzione, aprire la finestra App e utilizzare i pulsanti Aggiungi applicazione o Aggiungi caratteri jolly).
Se non si desidera limitare alcuna applicazione, selezionarla nell'elenco e fare clic sul pulsante Rimuovi selezionati per cancellare le regole e riportare l'applicazione allo stato predefinito.
Modifica le regole del sistema
La sezione Stato del sistema consente di scegliere regole valide per tutto il sistema. Probabilmente vorrete attenervi ai valori predefiniti, che consentono alle applicazioni di optare per queste protezioni di sicurezza.
È possibile selezionare "Sempre attivo" o "Disattivazione applicazione" per queste impostazioni per la massima sicurezza. Questo potrebbe rompere molte applicazioni, specialmente quelle più vecchie. Se le applicazioni iniziano a comportarsi in modo anomalo, è possibile ripristinare le impostazioni predefinite o creare regole di "disattivazione" per le applicazioni.
Tieni presente che abbiamo attivato "Sempre attivo" per DEP sopra, quindi non possiamo disabilitare DEP per i processi nella finestra Configurazione dell'applicazione riportata di seguito.
Test regole in modalità "Solo Audit"
Se desideri testare le regole EMET ma non vuoi risolvere alcun problema, puoi abilitare la modalità "Solo audit". Fai clic sull'icona App in EMET per accedere alla finestra Configurazione dell'applicazione. Troverai una sezione Azione predefinita sulla barra multifunzione nella parte superiore dello schermo. Per impostazione predefinita, è impostato su Interrompi in caso di exploit. EMET interromperà un'applicazione se interrompe una regola. Puoi anche impostarlo solo su Audit. Se un'applicazione interrompe una delle regole EMET, EMET segnala il problema e consente all'applicazione di continuare a essere in esecuzione.
Questo ovviamente elimina i vantaggi di sicurezza di EMET, ma è un buon modo per testare le regole prima di rimettere EMET in modalità "Stop in exploit".
Esportare e importare le regole
Una volta che hai creato e testato le tue regole, assicurati di utilizzare il pulsante Esporta o Esporta selezione per esportare le tue regole in un file. È quindi possibile importarli su qualsiasi altro PC che si utilizza e ottenere le stesse protezioni di sicurezza senza più giocherellare.
Nelle reti aziendali, le regole EMET e EMET possono essere implementate tramite i Criteri di gruppo.
Niente di tutto ciò è obbligatorio. Se sei un utente domestico che non vuole occuparsene, sentiti libero di installare EMET e attenersi alle impostazioni predefinite consigliate.
