> >

Новое в EMET 5.5 и EMET 5.51

EMET 5.5 и 5.51 - Beta и RTM, плюс Windows 10 и Windows Server 2016 - новый функционал и улучшения

//cdn.atraining.ru/i/at300x300.jpg300300

Привет.

 

Вышла новая клиентская ОС от Microsoft – Windows 10 – и всё готовится к выходу серверной ОС Windows Server 2016. Разумеется, Enhanced Mitigation Experience Toolkit не стоит в стороне и развивается – не только учитывая особенности новых ОС, но и расширяя функционал, применимый на ОС предыдущего поколения. Вышла beta-версия EMET 5.5, а теперь и RTM – посмотрим, что в них нового. Если только знакомитесь с этим продуктом – то почитайте мои предыдущие статьи про EMET в нашей Knowledge Base.

Новое в EMET 5.5

  • Блокировка сторонних шрифтов (untrusted fonts)
  • Интерфейсные изменения и оптимизации
    • Тонкость по связи BitLocker и DEP
  • Изменения в хранении конфигурации в реестре
  • Отслеживание перекрытия локальных настроек глобальными (через group policy)
  • Оптимизация скорости работы
  • Промежуточная версия EMET 5.51

Начнём.

Блокировка сторонних шрифтов

Есть ненулевая вероятность, что при парсинге файла со сторонним шрифтом, подгружаемым при заходе на веб-страницу, при открытии письма или выполнении windows-приложения, получится использовать какую-либо уязвимость системы. Чтобы такое не было возможно, для всех шрифтов, которые являются для системы “внешними” – то есть не располагаются в каталоге %WINDIR%\Fonts – есть возможность включить или аудит их загрузки и использования.
 
Чтобы управлять этой защитной функцией, надо править параметр MitigationOptions, находящийся в HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ и имеющий тип QWORD64.
 
Со значениями данного параметра у Microsoft путаница – в Technet параметр документирован так:

  • Включено – 1000000000000
  • Выключено – 2000000000000
  • Режим аудита – 3000000000000

Понятное дело, что речь идёт о шестнадцатеричном поле и меняется только первый знак – т.е. если у не-первого знака значение будет ненулевым, то его нужно оставить.
 
Проблема в том, что у Windows 10 со всеми обновлениями на текущую дату (28 апреля 2016 года) фактические значения будут другими:

  • Включено – 5000000000000
  • Выключено – 6000000000000
  • Режим аудита – 2000000000000

И эти параметры работают именно так, как должны.
 
Данные настройки действуют на общесистемном уровне и для их применения необходима перезагрузка ОС. Если же надо исключить из действия этой защитной функции какое-либо приложение (например, хочется чтобы в Outlook всё же принимались письма со встроенными шрифтами и корректно отображались), то надо пойти в ключ реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и создать там подключ с именем приложения – в нашем примере это будет “outlook.exe”.
 
По факту же конечно проще установить в систему часто используемые сторонние шрифты (допустим, используемые в корпоративном стиле, и поэтому присутствующие в документах и на сайте) штатным способом – используя команду Install на файле шрифта.
 
Так вот, теперь этой функцией можно управлять через EMET, как глобальными настройками на уровне системы:
 

Управление блокировкой сторонних шрифтов через EMET
(изображение ‘Управление блокировкой сторонних шрифтов через EMET’, кликните на картинку для увеличения, оригинальный размер 660 px на 650 px)

 
Так и включать-выключать защиту на уровне отдельного приложения (см. последнюю колонку Fonts):
 

Управление блокировкой сторонних шрифтов через EMET
(изображение ‘Управление блокировкой сторонних шрифтов через EMET’, кликните на картинку для увеличения, оригинальный размер 950 px на 647 px)

 
Учтите, работает всё это только на Windows 10.

Интерфейсные изменения

Появился механизм доступа к редактированию групповых политик (вверху слева):
 

Доступ к групповым политикам, содержащим настройки EMET
(изображение ‘Доступ к групповым политикам, содержащим настройки EMET’, кликните на картинку для увеличения, оригинальный размер 660 px на 650 px)

 
Данный механизм нужен, чтобы редактировать параметры EMET, настраиваемые через group policy, прямо с рабочей системы администратора. Если кликнуть на данный пункт, то появится окно выбора групповых политик (Default Domain Policy и Default Domain Controllers Policy там не покажут):
 

Редактирование групповых политик, в которых находятся настройки EMET
(изображение ‘Редактирование групповых политик, в которых находятся настройки EMET’, кликните на картинку для увеличения, оригинальный размер 620 px на 721 px)

 
У нас новорожденный домен atraining.lab, поэтому создадим тестовую и, после выбора имени для неё, попадём в новый интерфейс настройки:
 

Редактирование групповых политик, в которых находятся настройки EMET
(изображение ‘Редактирование групповых политик, в которых находятся настройки EMET’, кликните на картинку для увеличения, оригинальный размер 620 px на 642 px)

 
Интерфейс удобный – содержит только то, что управляемо в EMET через group policy. Для примера я изменю настройки DEP на “всегда включено”:
 

Включаем глобальный DEP через новый интерфейс редактирования групповых политик EMET
(изображение ‘Включаем глобальный DEP через новый интерфейс редактирования групповых политик EMET’, кликните на картинку для увеличения, оригинальный размер 620 px на 642 px)

 
И можно убедиться, что всё это – лишь красивый интерфейс, который просто меняет параметр в обычной групповой политике:
 

Смотрим результат включения глобального DEP через новый интерфейс редактирования групповых политик EMET
(изображение ‘Смотрим результат включения глобального DEP через новый интерфейс редактирования групповых политик EMET’, кликните на картинку для увеличения, оригинальный размер 768 px на 537 px)

 
Эффект налицо – настройки делать нагляднее и проще.

Тонкость по связи BitLocker и DEP

 
Текст ниже относится только к EMET 5.5 – версия от августа 2016го, EMET 5.51, решила этот вопрос и теперь DEP можно просто включить через привычный интерфейс EMET’а.
 
EMET 5.5 старается предупредить вас, если используется BitLocker:
 

EMET 5.5 предупреждает об использовании BitLocker
(изображение ‘EMET 5.5 предупреждает об использовании BitLocker’, кликните на картинку для увеличения, оригинальный размер 463 px на 137 px)

 
Это предупреждение выдаётся даже в том случае, если у вас в системе просто установлены инструменты и утилиты управления BitLocker’ом. При этом бедный EMET пытается выключить несуществующий BitLocker, ошибочно предполагая, что он установлен:
 

EMET 5.5 пытается выключить несуществующий BitLocker
(изображение ‘EMET 5.5 пытается выключить несуществующий BitLocker’, кликните на картинку для увеличения, оригинальный размер 428 px на 137 px)

 
И предсказуемо отказывается это сделать, поэтому запрещает изменять настройки DEP с аргументом “ведь у вас BitLocker, а значит, вы не сможете загрузиться после включения DEP”.
 

EMET 5.5 не осилил выключение BitLocker
(изображение ‘EMET 5.5 не осилил выключение BitLocker’, кликните на картинку для увеличения, оригинальный размер 463 px на 130 px)

 
Суть проблемы проста – если у системы используется BitLocker для защиты загрузочной записи, то модификация DEP приводит к изменениям в PCR 10 (Platform Configuration Register). Можно выключить мониторинг этого регистра в BitLocker, но это не очень хорошо – проще, увидев что-то типа:
 

Windows Bitlocker Drive Encryption Information
 
The Boot Configuration Data (BCD) settings for the following boot application have changed since Bitlocker was enabled.
 
Boot Application: Windowssystem32winload.exe
Changed Setting: 0x25000020
 
You must supply a Bitlocker recovery key to start this system.
 
Confirm that the changes to the BCD settings are trusted.
 
If the changes are trusted then suspend and resume Bitlocker. This will reset Bitlocker to use the new BCD settings.
 
Otherwise restore the original BCD settings.
 

сделать обновление BitLocker:
Manage-BDE -protectors -Disable C:
 
EMET_Conf.exe –refresh
 
Manage-BDE -protectors -Enable C:
 
Всё это нужно только при смене режима “системного”, глобального DEP – впрочем, на данный момент его нужно держать в Always On по умолчанию.
 
На форумах, включая технет, попадаются неправильные советы, как это исправить – например, изменив тип запуска сервиса EMET с отложенного на обычный автоматический:
 

Сервис EMET 5.5 теперь в delayed start
(изображение ‘Сервис EMET 5.5 теперь в delayed start’, кликните на картинку для увеличения, оригинальный размер 419 px на 472 px)

 
Это не помогает и не нужно.
 
Вы можете так же наткнуться на неправильный совет, что дескать “раз DEP не включается через EMET GUI, надо через его утилиту командной строки”. На самом деле, если он не включается, ссылаясь на bitlocker, команда emet_conf --system --force DEP=AlwaysOn просто зависнет на выполнении. Проще попробовать её аналог, только встроенный в операционную систему – bcdedit.exe /set nx AlwaysOn.

Изменения в хранении конфигурации в реестре

EMET 5.5, чтобы было проще управлять им через group policy, начал хранить свои настройки в других ключах реестра. Поэтому, кстати, не забудьте после установки EMET 5.5 (именно RTM, а не бета-версии, эти изменения произошли именно в RTM) обновить файлы EMET.admx и EMET.adml в каталоге /PolicyDefinitions в SYSVOL. Эти файлы прилично отличаются – например, в .admx от EMET 5.5 RTM убраны настройки untrusted fonts, потому что они теперь есть в шаблонах у Windows 10, и, соответственно, дублировать их в шаблонах group policy, которые с собой приносит EMET, нет смысла:
 

Различия между EMET 5.5 Beta и EMET 5.5 RTM
(изображение ‘Различия между EMET 5.5 Beta и EMET 5.5 RTM’, кликните на картинку для увеличения, оригинальный размер 1436 px на 853 px)

 
Чтобы упростить миграцию настроек с предыдущих версий (5.5 Beta и более старые), Microsoft выпустила скрипт, который сделает выгрузку настроек в полувтоматическом режиме. Схема работы проста – этот скрипт выгружает настройки старых версий EMET в reg-файл, который вы можете импортировать после установки EMET 5.5 и получить все те же настройки, что и ранее.
 

Отслеживание перекрытия локальных настроек глобальными (через group policy)

EMET теперь помогает администраторам больших сетей понимать, какие настройки применяются на локальном хосте. Вот так выглядит подсказка про то, что часть локальных настроек перекрыта глобальными:
 

EMET 5.5 показывает, какие параметры взяты из групповых политик
(изображение ‘EMET 5.5 показывает, какие параметры взяты из групповых политик’, кликните на картинку для увеличения, оригинальный размер 646 px на 293 px)

 
Та же пиктограмма, что и у значка Group Policy, появилась у DEP / ASLR – это наглядно показывает, что несмотря на локальные настройки, применяться будут те, которые заданы в групповых политиках.

Оптимизация скорости работы

Microsoft пишет об улучшениях в скорости работы механизмов EAF/EAF+ (про них лучше глянуть мою большую статью по EMET 4.0), но проверить это сложно, так что поверим на слово.

Промежуточная версия EMET 5.51

Данная версия исправляет одиночный баг, связанный с ошибкой при загрузке GUI, и убирает вышеописанное некорректное предупреждение о работающем BitLocker (в сценариях, когда он не работает). В остальном у неё – ничего нового, она явно “по просьбам трудящихся”, которым неудобно переключать DEP через одно место.
 
На этом всё – можно резюмировать, что EMET 5.51 – промежуточный билд, цель которого – включить в арсенал средств EMET то, что встроено в новой ОС Windows 10, упростить использование в корпоративных сценариях и внести оптимизации. Всё логично – так что заменять EMET 5.2 на EMET 5.51 – нужно.

Где скачать EMET 5.51

Скачать EMET 5.51 можно по привычной короткой ссылке – www.microsoft.com/emet.
 
Удачного применения!
 

Автор

@
info@atraining.ruAdvanced Training
//cdn.atraining.ru/i/at300x300.jpg300300

Полезные статьи

Возможно, вам будет также интересно почитать другие статьи про EMET на нашей Knowledge Base: