고급 Microsoft EMET (Enhanced Mitigation Experience Toolkit) 팁

• 범주: 튜토리얼

문제를 제거하기 위해 도구를 사용해보십시오

운영 체제를 선택하십시오 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 투영 프로그램을 선택하십시오 (선택적으로) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

당신의 문제를 설명하십시오

답을 얻으십시오

이메일로 저를 보내주세요 사이트에 표시하십시오

Microsoft Enhanced Mitigation Experience Toolkit (짧은 EMET)은 시스템 방어에 악용 완화를 추가하는 Microsoft Windows 운영 체제의 지원되는 모든 클라이언트 및 서버 버전에 대한 선택적 다운로드입니다.

기본적으로 안티 바이러스 솔루션과 같은 시스템 방어를 이미 위반 한 경우 공격이 성공적으로 수행되지 않도록 설계되었습니다.

방출 설치가 쉽고 기본적으로 실행되지만 프로그램을 최대한 활용하려면 시간을 들여 알고 구성해야합니다.

이 문서에서는 EMET를 최대한 활용하는 방법에 대한 팁을 제공합니다.

1. 중요한 프로세스 보호

EMET는 설치 후에 만 ​​핵심 Microsoft 및 소수의 타사 프로세스를 보호합니다. Java, Adobe Acrobat, Internet Explorer 또는 Excel과 같은 프로그램은 처리하지만 Firefox, Skype 또는 Chrome과 같이 수동으로 설치 한 프로그램은 보호하지 않습니다.

이론적으로는 모든 프로그램을 EMET에 추가 할 수 있지만 대신 응용 프로그램에 고위험 프로그램 만 추가하는 것이 좋습니다.

고위험 프로그램? 고위험 프로그램의 간략한 정의는 정기적으로 악용 (예 : Internet Explorer)하거나 인터넷 (웹 브라우저, 이메일 클라이언트)에서 다운로드 한 파일을 실행할 수 있거나 귀중한 데이터 (예 : 암호화 소프트웨어)를 저장한다는 것입니다.

이로 인해 Firefox, Chrome 및 Thunderbird의 가치가 높은 타겟이되고 메모장, 지뢰 찾기 및 페인트는 그렇지 않습니다.

EMET의 보호 목록에 응용 프로그램을 추가하려면

1. 시스템에서 EMET를 엽니 다.
2. 인터페이스에서 실행중인 프로세스 목록을 찾을 수 있습니다. 보호하려는 프로그램이 실행 중이 아니면 PC에서 시작하십시오.
3. 나중에 프로세스를 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 '프로세스 구성'을 선택하십시오.
4. 이렇게하면 선택한 프로세스가 EMET의 응용 프로그램 목록에 추가됩니다.
5. 나중에 확인을 선택하여 선택 사항을 저장하고 방금 EMET에 추가 한 프로그램을 다시 시작합니다.

팁 : EMET에 더 많은 프로세스를 추가하기 전에 각 응용 프로그램을 개별적으로 테스트하는 것이 좋습니다. 프로그램은 EMET가 제공하는 모든 악용 완화 기술과 호환되지 않을 수 있습니다.

2. 오작동 프로세스 디버깅

EMET에 프로그램을 추가 한 후 문제가 발생할 가능성이 다소 높습니다. 일부 프로그램은 완전히 시작되지 않는 반면 다른 프로그램은 시작된 직후에 열리고 닫힐 수 있습니다.

이는 일반적으로 하나 이상의 완화가 프로세스와 호환되지 않는 경우입니다. 여기서 주요 문제는 완화 조치가 문제를 일으킨 정보를받지 못한다는 것입니다.

문제가 있는지 확인

제대로 작동하지 않는 것이 있는지 확인하는 더 쉬운 방법 중 하나는 Windows 이벤트 로그에서 EMET 항목을 확인하는 것입니다.

1. Windows 키를 누르고 이벤트 뷰어를 입력 한 다음 Enter 키를 누르십시오.
2. 이벤트 뷰어 (로컬)> Windows 로그> 애플리케이션에서 EMET 항목을 찾을 수 있습니다.

날짜 및 시간별로 정렬하고 '응용 프로그램 오류'를 소스로 찾는 것이 좋습니다. 로그 항목 중 하나를 선택하면 일반 아래에서 문제의 원인으로 나열된 EMET.DLL을 찾을 수 있습니다.

당연히 EMET에서 애플리케이션에 대한 모든 보호를 제거하고 다시 실행하여 문제가 해결되는지 확인할 수도 있습니다.

문제 수정

Microsoft EMET와의 호환성을 강화하는 유일한 방법은 시행 착오입니다. EMET에서 보호 된 애플리케이션 목록을 다시 열고 모든 보호를 해제 한 다음 하나씩 다시 켜기 시작합니다.

각 스위치 후에 프로그램을 실행하여 작동하는지 확인하십시오. 그렇다면 프로그램 시작을 방해하는 완화 조치가 나올 때까지 다음 완화 조치를 켜서 프로세스를 반복하십시오.

해당 완화를 다시 비활성화하고 선택한 소프트웨어와 호환되는 모든 완화를 활성화 할 때까지 프로세스를 계속합니다.

예를 들어 Chrome은 새 프로세스에 대해 선택한 기본 완화를 사용하지 못했습니다. 브라우저가 호환되지 않는 유일한 완화 방법은 결과적으로 비활성화 한 EAF라는 것을 발견했습니다.

3. 시스템 전체 규칙

EMET는 기본 인터페이스에서 구성 할 수있는 4 개의 시스템 전체 규칙과 함께 제공됩니다. 인증서 고정, 데이터 실행 방지 및 구조적 예외 처리기 덮어 쓰기 방지는 시스템 전체 규칙으로 활성화되고 주소 공간 레이아웃 무작위 화는 대신 옵트 인으로 설정됩니다.

즉, 보호하려는 각 응용 프로그램에 대해 규칙을 활성화해야합니다. 예를 들어 시스템 전체에서 옵트 인 규칙을 시행하여 이러한 시스템 전체 규칙의 상태를 변경할 수 있습니다.

그러나 이로 인해 시스템에서 실행되는 프로그램에 문제가 발생할 수 있습니다. 활성화되면 모든 프로그램에 적용되기 때문에 시스템을 면밀히 모니터링하고 컴퓨터에서 응용 프로그램을 시작하거나 실행하는 데 문제가있는 경우 다시 옵트 인으로 전환 할 수 있습니다.

4. 규칙 가져 오기 및 내보내기

위에서 설명한 문제로 인해 응용 프로그램에서 보호되도록 EMET에서 프로그램을 구성하는 데 시간이 걸립니다.

좋은 소식은 EMET의 가져 오기 및 내보내기 기능을 사용할 수 있으므로 관리하는 다른 PC에서 프로세스를 반복 할 필요가 없다는 것입니다.

팁 : EMET에는 사용자가 프로그램에 추가 할 수있는 추가 규칙 세트가 함께 제공됩니다. 이러한 항목에 액세스하려면 EMET에서 가져 오기를 선택한 후 다음 중 하나를 선택합니다.

1. CertTrust-MS 및 타사 온라인 서비스에 대한 인증서 신뢰 고정의 EMET 기본 구성
2. 인기 소프트웨어-Internet Explorer, Microsoft Office, Windows Media Player, Adobe Acrobat Reader, Java, WinZip, VLC, RealPlayer, QuickTime, Opera와 같은 일반 소프트웨어를 보호합니다.
3. 권장 소프트웨어-Internet Explorer, Microsof Office, Adobe Acrobat Reader 및 Java와 같은 최소 권장 소프트웨어에 대한 보호를 활성화합니다.

옵션 3은 자동으로로드되는 기본 옵션입니다. 인기 소프트웨어 규칙을 가져 와서 다른 인기 프로그램을 EMET에 자동으로 추가 할 수 있습니다.

규칙 마이그레이션 및 정책

규칙을 내보내려면 EMET의 기본 인터페이스에서 내보내기 버튼을 선택합니다. 저장 대화 상자에서 xml 파일의 이름과 위치를 선택합니다.

그런 다음이 규칙 세트를 다른 시스템으로 가져 오거나 현재 시스템에서 보호 장치로 유지할 수 있습니다.

규칙은 XML 파일로 저장되므로 수동으로 편집 할 수도 있습니다.

관리자는 시스템에도 그룹 정책 지시문을 배포 할 수 있습니다. adml / admx 파일은 EMET 설치의 일부이며 설치 후 배포 / 그룹 정책 파일에서 찾을 수 있습니다.