Computer >> 컴퓨터 >  >> 체계 >> Windows

Microsoft EMET v4 검토 및 광범위한 자습서

지금까지 Microsoft Enhanced Mitigation Experience Toolkit이 Windows 운영 체제를 위한 최고의 보안 소프트웨어라는 것을 알고 계실 것입니다. 그 이유는 많습니다. 주로 설정이 간단하고 투명하며 어리석은 질문이 없습니다. 그것은 무료입니다. 그리고 그것이하는 일에 효과적입니다. 당신이 바보가 되는 것을 막는 것이 아니라 소프트웨어가 오작동하는 것을 막는 것입니다. 이것이 바로 이 서비스를 훌륭하게 만드는 이유이며 보안 비용을 지불하는 세계에서 거의 주목을 받지 못하는 이유입니다.

이제 최초의 공개 버전인 4.0이 공개되었습니다. 사실, 이전 버전도 사용할 수 있었지만 주로 괴짜를 대상으로 한 일종의 베타 슬래시 중간 에디션이었습니다. 이것은 일반 사람들도 사용할 수 있습니다. 보안 설정에서 EMET를 매우 쉽게 사용하고 구현하는 데 도움이 되는 다소 자세한 자습서와 개요를 제공하겠습니다. 나 후에.

설치

설치는 다소 사소하지만 한 가지 고려해야 할 사항이 있습니다. EMET v4에는 Microsoft .NET Framework v4가 필요합니다. 얼마나 시적인가. 실제로 최신 버전을 사용하려면 먼저 이 버전을 설치해야 합니다.

다음으로 세부 사항을 읽지 않고 가능한 한 빨리 마법사를 클릭하기만 하면 됩니다. 정말 쉽습니다. 주목해야 할 한 단계는 첫 번째 설치 후 마법사입니다.

구성 마법사를 사용하면 EMET를 처음 시작하기 전에 구성할 수 있으며 이는 실제로 대부분의 사용자에게 권장되는 단계입니다. 상태가 명확하기 때문에 이전 설치에서 응용 프로그램 설정을 재설정하고 Internet Explorer, Adobe Reader 및 Oracle Java를 포함하여 일반적으로 사용되고 일반적으로 대상이 되는 여러 프로그램에 대한 보호를 추가하고 완화를 트리거하지 않도록 인기 있는 온라인 서비스에 대한 신뢰 규칙을 추가합니다. 브라우저에서 마지막으로 시스템 로그 기능을 통해 자세한 보고를 활성화합니다. 내 제안은 이렇게 하는 것입니다. 왜냐하면 그것은 아프지 않을 것이고 대부분의 사람들은 어쨌든 이러한 동일한 설정을 수동으로 구성할 것이기 때문입니다. 또한 언제든지 마법사를 다시 실행할 수 있습니다.

첫 번째 단계 및 기본 구성

마법사가 완료되면 EMET가 시작됩니다. 사용자 인터페이스와 다양한 기능을 평가해 봅시다. 우리는 왼쪽에서 오른쪽으로, 위에서 아래로 갈 것입니다. 과거에 이미 EMET를 사용한 적이 있다면 설정이 익숙할 것이며 시각적으로만 다른 방식으로 정렬됩니다.

가져오기/내보내기 및 구성

가져오기 및 내보내기 버튼을 사용하여 기존 EMET 구성을 저장하고 검색할 수 있습니다. 설정 및 애플리케이션 규칙을 저장하는 XML 파일입니다. 전체 설정을 재설정할 수 있으므로 대폭 변경하거나 마법사를 다시 실행하기 전에 구성을 저장하는 것이 좋습니다. 3.5 TP 버전인 EMET의 이전 검토에서 가져오기/내보내기 규칙에 대해 논의했습니다. 모든 실질적인 목적을 위해 이것은 일반 소프트웨어와 동등한 저장/열기입니다.

앱 버튼은 프로그램을 구성할 수 있는 창을 엽니다. 나중에 자세히 알아보십시오. 신뢰 버튼은 온라인 서비스에 대한 인증서를 구성할 수 있는 창을 엽니다. 곧.

프로필 및 보고

프로필은 XML 형식으로 저장된 설정 모음일 뿐이며 컴퓨터에 대한 특정 규칙을 포함합니다. 그러나 적용 시 전체 시스템의 동작에 영향을 미칩니다. Custom으로 레이블이 지정된 기존 설정과 권장 및 최대로 레이블이 지정된 다른 두 설정 간에 전환할 수 있습니다.

권장 프로필은 Microsoft가 우수한 보안을 제공하면서 최소한의 중단으로 간주하는 방식으로 완화를 설정합니다. 최대 프로필은 모든 옵션을 켜고, 이는 호환되지 않는 소프트웨어가 손상되거나 충돌할 수 있음을 의미합니다.

사실 저는 Maximum 프로필이 너무 엄격하기 때문에 사용하지 말 것을 권하고 싶습니다. 너무 많은 애플리케이션이 안전하고 규정을 준수하는 것으로 간주될 수 있는 방식으로 코딩 및 컴파일되지 않았으며 완화 대상이 될 때 이상한 동작을 경험할 수 있습니다.

예를 들어 Google 크롬에서 Aw, Snap!이 발생할 수 있습니다. 오류. VLC Player는 모든 완화 기능을 켠 상태에서 자동 업데이트할 수 없습니다. 과거에 Microsoft가 인수하기 전에 Skype는 일부 옵션이 켜져 있으면 제대로 작동하지 않았습니다. 곧 어떤 종류의 설정이 있는지, 켜고 끌 때 어떤 설정을 할 수 있는지 또는 하지 않을 수 있는지에 대해 자세히 설명하겠습니다. 마지막으로 응용 프로그램 스킨을 변경할 수 있지만 어리석은 일입니다.

보고는 왼쪽에서 네 번째 범주이며 EMET가 실행될 때 표시될 수 있는 메시지를 다룹니다. 완화가 활성화되면 바탕 화면 팝업을 볼 수 있으며 이벤트 로그에서 항목을 찾을 수 있습니다. 참고로, 다음은 기능을 강조하는 이전 EMET 검토의 스크린샷입니다.

시스템 상태

이제 시스템 상태 필드에 대해 설명하겠습니다. 소프트웨어에 대한 네 가지 완화 유형이 나열됩니다. 기본적으로 아래와 같은 그림이 표시되며 이는 매우 관대합니다. 이는 DEP 및 ASLR을 사용할 수 있는 프로그램이 이를 사용하고 기본적으로 활성화된 SEHOP 보호가 없으며 인증서 신뢰가 활성화됨을 의미합니다.

이제 이 두문자어가 무엇을 의미하는지 물어볼 수 있습니다. 대답은 말하지 않겠다는 것입니다. 프로그래머가 아니거나 대학에서 컴퓨터 과학을 공부하지 않은 사람에게는 의미가 없기 때문입니다. 그 문제에 대해 커널, 스케줄러, 메모리 관리, 프로세스 공간 및 기타 모든 것에 대해 논의할 수 있습니다.

일반 사람들이 알아야 할 사항은 다음과 같습니다. 이러한 완화 조치는 궁극적으로 소프트웨어에 영향을 미칠 것입니다. 따라서 관심을 가져야 할 유일한 것은 시스템의 온전하고 올바른 기능입니다. 다양한 프로필에서 정의한 최대 설정과 허용 설정 사이에 사용할 수 있는 몇 가지 옵션이 있습니다.

완화가 비활성화로 설정된 경우 사용되지 않습니다. 옵트인은 특정 시스템 파일, 바이너리 및 기능에 대해서만 완화를 활성화하며 운영 체제, BIOS 및 응용 프로그램에서 지원하는 기능에 따라 달라집니다.

옵트아웃은 보다 엄격하며 지원되지 않거나 오작동하는 특정 프로그램에 대한 기능을 선택 취소하도록 특별히 선택하지 않는 한 모든 애플리케이션에 대해 모든 완화 조치를 사용하려고 시도합니다. 마지막으로 Always On은 완화 기능을 재설정하지 않고 활성화합니다. 책에 따르면 합법적인 프로그램에 대해 너무 많은 충돌이 발생할 수 있기 때문에 가장 안전하고 가장 골칫거리입니다.

제안:권장 프로필로 시작하거나 충분히 숙련된 경우 자체 구성으로 시작하십시오. 최대 설정은 EMET를 적절하고 확신 있게 사용하는 방법을 알아낼 때까지 남겨 두어야 합니다. 마지막으로 인증서 신뢰는 매우 간단하며 활성화 또는 비활성화됩니다.

실행 중인 프로세스

이 테이블은 프로세스 테이블과 EMET 적용 여부에 관계없이 각각의 상태를 보여줍니다. 이 단계에서는 그다지 중요하지 않지만 나중에 완화가 어떻게 작용하는지 검토할 것입니다.

애플리케이션

지금까지 시스템을 구성했습니다. 이를 통해 원하는 프로필을 선택하고 핵심 시스템 파일에 대한 특정 완화 및 해당 수준을 켜고 끄고 기본 동작을 정의합니다. 이제 애플리케이션을 구성할 차례입니다.

DEP, ASLR, SEHOP 및 기타 완화 조치가 적용되는 일반 동작 외에도 프로그램에 대한 애플리케이션 규칙으로 시스템 보호를 미세 조정할 수 있습니다. 프로그램 도구 모음의 앱 버튼으로 액세스할 수 있습니다.

다시 한 번 여기에 있는 내용을 간략하게 살펴보겠습니다. 선택한 항목 내보내기 및 내보내기를 사용하면 애플리케이션에 대한 규칙을 저장할 수 있습니다. 응용 프로그램 추가는 전체 경로로 특정 프로그램을 검색할 수 있는 마법사를 엽니다. Add Wildcard를 사용하면 일반적인 구문을 지정하기만 하면 일치하는 모든 프로그램이 적용됩니다.

예를 들어 Internet Explorer에는 32비트와 64비트의 두 가지 버전이 있습니다. 전체 경로를 사용하는 경우 두 가지 규칙을 나열해야 합니다. 와일드카드 옵션은 둘 다 포함합니다. 즉, 전체 경로 표시 옵션을 토글하여 규칙이 어떻게 보이는지 확인할 수 있습니다.

최초 마법사에 의해 활성화된 권장 설정은 모두 와일드카드를 사용하므로 배포 및 관리가 더 간단합니다. 우리는 곧 대량 행정에 대해 논의할 것입니다.

기본 동작은 응용 프로그램 동작을 제어합니다. 즉, 기록만 할지(예:감사) 또는 익스플로잇이 발견될 때 실행 중인 프로세스를 중지할지 여부입니다. 이는 반드시 맬웨어를 의미하는 것이 아니라 완화에 의해 금지된 모든 불법 명령을 의미합니다.

마지막으로 Mitigation Settings(완화 설정)에서 Deep Hooks(권장 프로필, 우회 방지 및 금지 기능에서 기본적으로 비활성화됨)를 비롯한 다양한 유형의 완화를 켜거나 끌 수 있습니다. 원한다면 이것들을 건전한 코딩 관행의 성배로 취급할 수 있습니다.

Mitigations 필드에는 마법사에서 수동으로 추가, 가져오기 또는 요리한 애플리케이션을 포함하여 적용되는 모든 애플리케이션이 나열됩니다. 메모리, ROP 및 기타를 포함하여 세 가지 유형의 완화가 있습니다. 다시 말하지만, 커널이 어떻게 작동하는지 모르거나 이해하지 못한다면 이러한 설명을 시도하는 것은 의미가 없습니다. 예를 들어 코드, 데이터 또는 힙이 무엇인지 알고 있습니까? 스택이란 무엇입니까? 시스템 콜이란 무엇입니까? x86 아키텍처에서 명령어 포인터가 어떻게 생겼는지 아십니까? 이 중 하나에 대한 대답이 '아니오'인 경우 이러한 완화의 내부를 알 필요가 없습니다.

프로그램의 동작에 영향을 미치는 설정 중 하나로 취급하십시오. 제대로 작동하면 문제가 있는 위치를 파악할 때까지 비활성화하지 않으면 하나씩 그대로 두십시오. 그러나 나중에 더 자세히 설명합니다.

Microsoft EMET v4 검토 및 광범위한 자습서

추가된 애플리케이션

여기에 나열되지 않을 수 있는 자신의 응용 프로그램을 추가한 후에는 프로그램을 다시 시작하여 EMET 후크로 로드해야 할 수 있습니다. 우리는 첫 번째 기사에서 이에 대한 예와 Process Explorer를 사용하여 이를 확인하는 방법을 보았습니다.

인증서 신뢰

이 섹션에서는 인증서가 적용되어야 하는 웹 사이트를 구성하여 웹 사이트의 동작을 신뢰할 수 있도록 하여 완화 조치가 시작되어 잘못된 긍정 작업으로 사용자의 물건을 죽이지 않도록 할 수 있습니다.

다시 말하지만 규칙을 내보낼 수 있습니다. 웹사이트를 추가하거나 제거할 수 있습니다. 구성하면 아래의 보호된 웹 사이트 표에 나열되고 고정 규칙도 포함됩니다. 즉, 규칙에 표시된 인증 기관에서 디지털 서명한 경우에만 사이트를 신뢰할 수 있습니다. 드롭다운 메뉴를 사용하여 규칙을 변경할 수 있지만 사용하지 않는 것이 좋습니다. 브라우저에서 디지털 인증서를 수동으로 조작하는 것과 같습니다.

고정 규칙을 사용하면 효과를 미세 조정할 수 있습니다. 예를 들어 만료 날짜, 적용 국가, 차단된 해시, 공개 키 일치 등이 있습니다. 대부분의 이러한 설정은 유효하지 않습니다. 즉, 필터링 없이 인증서 기본값이 사용됩니다. 나의 가장 따뜻한 추천은 이것들을 전혀 만지작거리지 말라는 것입니다.


안전한 관행

가장 까다로운 질문은 EMET를 현명하게 사용하는 방법입니다. 수동으로 변경하고 조정하면 보안 소프트웨어가 무효화됩니다. 체인에서 가장 약한 링크가 되기 때문입니다. EMET v4가 중단 없이 원활하게 실행되기를 원합니다. 완전히 투명해야 하며 VLC, Skype 등과 같이 여기저기서 예외가 발생하는 경우에만 관심을 가질 수 있습니다.

이전 제안으로 돌아가서 최초 마법사를 사용하십시오. 권장 설정을 사용하십시오. 자신의 프로그램을 추가하십시오. 모든 것이 예상대로 작동하고 실행되는지 확인하십시오. 잠시 끓입니다. 확신이 들면 한 번에 한 단계씩 조금씩 높이면서 모든 소프트웨어를 주의 깊게 검사할 수 있습니다. 프로그램이 충돌하거나 제대로 작동하지 않으면 완화가 제대로 실행될 수 있는 최소 수준에 도달할 때까지 한 번에 하나씩 완화를 비활성화하십시오.

지루할 수 있지만 낙심하지 마십시오. 내 경험에 따르면 한두 개의 프로그램만 가끔 조정이 필요할 수 있습니다. VLC, 크롬, 스카이프가 생각나는데, 잘 안되는 다른 프로그램은 본 적이 없습니다.

인증서 신뢰와 관련하여 이것은 웹과 앱의 병합과 로컬 호스트에서 콤보가 수행할 수 있는 작업에 맞춰진 새롭고 다소 실험적인 기능입니다. 즉, 앱 스토어를 통해 구입하거나 웹 앱으로 실행되는 소프트웨어는 시스템을 위험하게 변경하거나 제대로 코딩되지 않은 경우 쉽게 악용될 가능성이 있습니다. 반면 완화 조치가 너무 공격적이면 사용자 경험에 심각한 피해를 줄 수 있습니다. 여기서 신뢰라는 개념이 적용됩니다.

여기에서의 나의 짧은 경험은 기본 설정이 충분하다는 것을 보여줍니다. 또한 보안 확장 프로그램을 사용하여 브라우저 보안을 강화할 수 있습니다. 그러나 이것은 별도의 주제입니다. 요약하면 인증서 신뢰를 그대로 두고 필요한 경우 사이트를 천천히 신중하게 추가하고 고정 규칙을 변경하지 마십시오. 정말 이상하고 예기치 않은 동작이 발생할 수 있기 때문입니다.

엔터프라이즈 배포 및 프로필 심층 분석

EMET 버전 3에 대해 이야기할 때 보호 프로필에 대해 논의했습니다. 여기서 수행한 작업을 간략하게 요약하겠지만 주의 깊게 읽어야 합니다. 이 섹션에서는 더 쉬운 관리를 위한 그룹 정책 사용에 대해서도 다룹니다.

EMET 프로필은 기본 설치 디렉터리의 Deployment\Protection 프로필 아래에 XML 형식으로 저장됩니다. 기본적으로 CertTrust.xml, Recommended Software.xml 및 Popular Software.xml을 포함하여 세 가지 프로필이 있습니다.


여기에 추가된 모든 프로필 또는 프로필 변경은 다음에 EMET가 해당 규칙을 다시 읽을 때 애플리케이션에 대한 관련 완화 섹션을 만드는 데 사용됩니다. 프로필은 EMET로 달성하려는 모든 종류의 보안 세분화와 일치하도록 조정할 수 있습니다. 프로필은 예를 들어 다음과 같은 형식으로 제공됩니다.

<제품명="윈도우 미디어 플레이어">
<버전 경로="*\Windows Media Player\wmplayer.exe">


<완화 이름="EAF" 활성화="false" />



<제품명="스카이프">

<완화 이름="EAF" 활성화="false" />

여기에 무엇이 있습니까? XML이므로 결국 전체 프로필 논리를 형성하는 값-키 쌍의 계층 구조가 있습니다. 여기 Popular Software.xml 프로필에서 가져온 두 가지 샘플 규칙을 간단히 살펴보겠습니다.

Windows Media Player의 경우 이름 정의가 있습니다. 그런 다음 와일드카드와 함께 제공되는 경로가 있습니다. 그런 다음 세 가지 완화가 나열되고 해당 상태는 false/true입니다. SEHOP의 경우 이 완화를 사용할 수 있는 Windows NT 커널 버전인 최소 OS 버전도 있습니다. 따라서 Windows XP에서 이 프로필을 배포하면 작동하지 않습니다.

Skype의 경우 아키텍처인 Intel x86이라는 또 다른 새로운 필드가 있습니다. 즉, 예를 들어 ARM을 사용하는 Windows RT에서는 완화 규칙이 작동하지 않을 수 있습니다. 다시 말하지만 Microsoft는 문제를 일으킬 수 있다는 것을 알고 있기 때문에 일부 완화 기능이 해제되었습니다. 권장 설정에 대해 이야기하고 있으므로 확실히 변경할 수 있습니다.

또한 기본값도 있으므로 각각의 모든 응용 프로그램에 대해 모든 것을 다시 적용할 필요가 없습니다. XML 파일의 시작 부분에는 다소 긴 주석 섹션이 있는데, 이는 실제로 어떻게 작동하는지 철저한 괴짜 용어로 설명하지만 모든 것을 올바르게 파악하려면 이와 같은 보다 인도적인 가이드가 확실히 필요합니다. 그리고 댓글에는 많은 맞춤법 오류가 있습니다. 믿거 나 말거나.


마지막으로 그룹 정책의 경우 Deployment\Group Policy Files에서 EMET.adml 및 EMET.admx 템플릿을 가져오므로 도메인의 호스트 구성에 사용할 수 있습니다. 하지만 이 튜토리얼은 대부분 가정 사용자를 대상으로 하므로 이 설정을 건너뛰고 대중적인 수요가 많은 경우에만 다시 살펴보겠습니다.


더 읽어보기

아래 내용을 모두 주의 깊게 읽는 것이 가장 현명할 것입니다.

Microsoft EMET v3 개요

Microsoft EMET v2 항목

일반적인 안전한 웹 및 메일 보안 관행

옛날 옛적에 Windows 사용자를 위한 SuRun이 있었습니다.

결론

나는 내 말을 지킨다. Microsoft EMET는 가장 멋진 Windows용 보안 도구 상자이며 이 버전 4도 예외는 아닙니다. 실시간으로 메시지를 표시하지 않고 리소스를 사용하지 않으며 진실하고 입증된 보안을 제공하면서 어리석은 예/아니오 실수.

이 중요한 메시지와 함께 이 소프트웨어 및 관련 기술의 기능과 관련 기술, 그리고 시스템 및 응용 프로그램에 대해 EMET를 구성하는 방법을 자세히 설명하는 매우 상세한 자습서를 얻을 수 있으므로 눈에 거슬리지 않고 효율적인 보안 설정을 즐길 수 있습니다. . 나는 당신이 그것을 좋아 바랍니다. 알다시피, 나는 Microsoft에 대해 모두 부정적이지는 않습니다. 때때로 그들은 놀라운 제품을 만듭니다. 자.

건배.