Новое в EMET 5.5, 5.51 и 5.52

EMET 5.52 - Windows 10 и Windows Server 2016 - новый функционал и улучшения

Привет.

Вышла новая клиентская ОС от Microsoft – Windows 10 – и всё готовится к выходу серверной ОС Windows Server 2016. Разумеется, Enhanced Mitigation Experience Toolkit не стоит в стороне и развивается – не только учитывая особенности новых ОС, но и расширяя функционал, применимый на ОС предыдущего поколения. Вышла beta-версия EMET 5.5, а теперь и RTM, и финальная EMET 5.52 – посмотрим, что в них нового. Если только знакомитесь с этим продуктом – то почитайте мои предыдущие статьи про EMET в нашей Knowledge Base.

Новое в EMET 5.5

  • Блокировка сторонних шрифтов (untrusted fonts)
  • Интерфейсные изменения и оптимизации
    • Тонкость по связи BitLocker и DEP
  • Изменения в хранении конфигурации в реестре
  • Отслеживание перекрытия локальных настроек глобальными (через group policy)
  • Оптимизация скорости работы
  • Промежуточная версия EMET 5.51
  • Финальная версия EMET 5.52

Начнём.

Блокировка сторонних шрифтов

Есть ненулевая вероятность, что при парсинге файла со сторонним шрифтом, подгружаемым при заходе на веб-страницу, при открытии письма или выполнении windows-приложения, получится использовать какую-либо уязвимость системы. Чтобы такое не было возможно, для всех шрифтов, которые являются для системы “внешними” – то есть не располагаются в каталоге %WINDIR%\Fonts – есть возможность включить или аудит их загрузки и использования.

Чтобы управлять этой защитной функцией, надо править параметр MitigationOptions, находящийся в HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ и имеющий тип QWORD64.

Со значениями данного параметра у Microsoft путаница – в Technet параметр документирован так:

  • Включено – 1000000000000
  • Выключено – 2000000000000
  • Режим аудита – 3000000000000

Понятное дело, что речь идёт о шестнадцатеричном поле и меняется только первый знак – т.е. если у не-первого знака значение будет ненулевым, то его нужно оставить.

Проблема в том, что у Windows 10 со всеми обновлениями на текущую дату (28 апреля 2016 года) фактические значения будут другими:

  • Включено – 5000000000000
  • Выключено – 6000000000000
  • Режим аудита – 2000000000000

И эти параметры работают именно так, как должны.

Данные настройки действуют на общесистемном уровне и для их применения необходима перезагрузка ОС. Если же надо исключить из действия этой защитной функции какое-либо приложение (например, хочется чтобы в Outlook всё же принимались письма со встроенными шрифтами и корректно отображались), то надо пойти в ключ реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и создать там подключ с именем приложения – в нашем примере это будет “outlook.exe”.

По факту же конечно проще установить в систему часто используемые сторонние шрифты (допустим, используемые в корпоративном стиле, и поэтому присутствующие в документах и на сайте) штатным способом – используя команду Install на файле шрифта.

Так вот, теперь этой функцией можно управлять через EMET, как глобальными настройками на уровне системы:

Так и включать-выключать защиту на уровне отдельного приложения (см. последнюю колонку Fonts):

Учтите, работает всё это только на Windows 10.

Интерфейсные изменения

Появился механизм доступа к редактированию групповых политик (вверху слева):

Данный механизм нужен, чтобы редактировать параметры EMET, настраиваемые через group policy, прямо с рабочей системы администратора. Если кликнуть на данный пункт, то появится окно выбора групповых политик (Default Domain Policy и Default Domain Controllers Policy там не покажут):

У нас новорожденный домен atraining.lab, поэтому создадим тестовую и, после выбора имени для неё, попадём в новый интерфейс настройки:

Интерфейс удобный – содержит только то, что управляемо в EMET через group policy. Для примера я изменю настройки DEP на “всегда включено”:

И можно убедиться, что всё это – лишь красивый интерфейс, который просто меняет параметр в обычной групповой политике:

Эффект налицо – настройки делать нагляднее и проще.

Тонкость по связи BitLocker и DEP

Текст ниже относится только к EMET 5.5 – версия от августа 2016го, EMET 5.51, решила этот вопрос и теперь DEP можно просто включить через привычный интерфейс EMET’а.

EMET 5.5 старается предупредить вас, если используется BitLocker:

Это предупреждение выдаётся даже в том случае, если у вас в системе просто установлены инструменты и утилиты управления BitLocker’ом. При этом бедный EMET пытается выключить несуществующий BitLocker, ошибочно предполагая, что он установлен:

И предсказуемо отказывается это сделать, поэтому запрещает изменять настройки DEP с аргументом “ведь у вас BitLocker, а значит, вы не сможете загрузиться после включения DEP”.

Суть проблемы проста – если у системы используется BitLocker для защиты загрузочной записи, то модификация DEP приводит к изменениям в PCR 10 (Platform Configuration Register). Можно выключить мониторинг этого регистра в BitLocker, но это не очень хорошо – проще, увидев что-то типа:

Windows Bitlocker Drive Encryption Information
The Boot Configuration Data (BCD) settings for the following boot application have changed since Bitlocker was enabled.
Boot Application: Windowssystem32winload.exe Changed Setting: 0x25000020
You must supply a Bitlocker recovery key to start this system.
Confirm that the changes to the BCD settings are trusted.
If the changes are trusted then suspend and resume Bitlocker. This will reset Bitlocker to use the new BCD settings.
Otherwise restore the original BCD settings.

сделать обновление BitLocker:

Manage-BDE -protectors -Disable C:

EMET_Conf.exe –refresh

Manage-BDE -protectors -Enable C:

Всё это нужно только при смене режима “системного”, глобального DEP – впрочем, на данный момент его нужно держать в Always On по умолчанию.

На форумах, включая технет, попадаются неправильные советы, как это исправить – например, изменив тип запуска сервиса EMET с отложенного на обычный автоматический:

Это не помогает и не нужно.

Вы можете так же наткнуться на неправильный совет, что дескать “раз DEP не включается через EMET GUI, надо через его утилиту командной строки”. На самом деле, если он не включается, ссылаясь на bitlocker, команда emet_conf --system --force DEP=AlwaysOn просто зависнет на выполнении. Проще попробовать её аналог, только встроенный в операционную систему – bcdedit.exe /set nx AlwaysOn.

Изменения в хранении конфигурации в реестре

EMET 5.5, чтобы было проще управлять им через group policy, начал хранить свои настройки в других ключах реестра. Поэтому, кстати, не забудьте после установки EMET 5.5 (именно RTM, а не бета-версии, эти изменения произошли именно в RTM) обновить файлы EMET.admx и EMET.adml в каталоге /PolicyDefinitions в SYSVOL. Эти файлы прилично отличаются – например, в .admx от EMET 5.5 RTM убраны настройки untrusted fonts, потому что они теперь есть в шаблонах у Windows 10, и, соответственно, дублировать их в шаблонах group policy, которые с собой приносит EMET, нет смысла:

Чтобы упростить миграцию настроек с предыдущих версий (5.5 Beta и более старые), Microsoft выпустила скрипт, который сделает выгрузку настроек в полувтоматическом режиме. Схема работы проста – этот скрипт выгружает настройки старых версий EMET в reg-файл, который вы можете импортировать после установки EMET 5.5 и получить все те же настройки, что и ранее.

Отслеживание перекрытия локальных настроек глобальными (через group policy)

EMET теперь помогает администраторам больших сетей понимать, какие настройки применяются на локальном хосте. Вот так выглядит подсказка про то, что часть локальных настроек перекрыта глобальными:

Та же пиктограмма, что и у значка Group Policy, появилась у DEP / ASLR – это наглядно показывает, что несмотря на локальные настройки, применяться будут те, которые заданы в групповых политиках.

Оптимизация скорости работы

Microsoft пишет об улучшениях в скорости работы механизмов EAF/EAF+ (про них лучше глянуть мою большую статью по EMET 4.0), но проверить это сложно, так что поверим на слово.

Промежуточная версия EMET 5.51

Данная версия исправляет одиночный баг, связанный с ошибкой при загрузке GUI, и убирает вышеописанное некорректное предупреждение о работающем BitLocker (в сценариях, когда он не работает). В остальном у неё – ничего нового, она явно “по просьбам трудящихся”, которым неудобно переключать DEP через одно место.

На этом всё – можно резюмировать, что EMET 5.51 – промежуточный билд, цель которого – включить в арсенал средств EMET то, что встроено в новой ОС Windows 10, упростить использование в корпоративных сценариях и внести оптимизации. Всё логично – так что заменять EMET 5.2 на EMET 5.51 – нужно.

Доработки в EMET 5.52

Версия 5.52 – по факту, последняя версия EMET – исправляет мелкие ошибки в интерфейсе и стандартных настройках приложений, а также содержит исправление MSI-пакета, позволяющее разворачивать EMET 5.52 поверх предыдущих версий в unattended-режиме.

Где скачать EMET 5.52

Скачать EMET 5.52 можно по привычной короткой ссылке – www.microsoft.com/emet.

Удачного применения!

Финал истории EMET

Увы, история EMET заканчивается – Microsoft официально объявила о прекращении поддержки и выпуска новых версий:

Конец истории EMETКонец истории EMET
(кликните для увеличения до 1356 px на 701 px)
Учебный центр Advanced Traininginfo@atraining.ru

Что ж, можно много написать о том, что в этом плохого.

С одной стороны, понятна позиция компании Microsoft – данный инструмент “удорожает” поддержку, т.к. от специалистов техсаппорта требуется большая квалификация в работе – ведь EMET не из тех приложений, которые “накатил с настройками по дефолту и норм”. С EMET также увеличивается вариативность сценариев техподдержки – что тоже усложняет, а следовательно увеличивает время и стоимость работ.

С другой – весь функционал EMET можно давно было встроить в ОС, как встроено базовое управление DEP, к примеру.

Но фирмой Microsoft взят курс от IT-компании к компании “развлекательных устройств и сервисов” – плюс стоит задача “как можно больше систем и инфраструктур клиентов перетащить в наше Microsoft’овское облако” – поэтому снижение безопасности on-premise систем имеет много плюсов. Ведь чем меньше возможностей по части защиты и администрирования локальных инсталляций ПО – тем выше вероятность решения “давайте всё перетащим в облако Microsoft и будем платить абонентку”.

Что ж, всему своё время и место.

Те, у кого хватит квалификации, продолжат использовать данный продукт, т.к. последние операционные системы – Windows 10 и Windows Server 2016 – полноценно поддерживаются EMET’ом, и его актуальность никак не уменьшается. Он всё так же значительно снижает возможности атак и нанесения ущерба, блокируя целые классы атак и снижая негативные последствия от других, при этом – никак не мешая штатной работе ПО и не замедляя систему (в отличии от антивирусных решений).

Ну а для тех, у кого на всё ответ “давайте перенакатим виртуалку с нуля, что-то поглючивать стало” – конечно же, продукт останется сложным и непонятным.

Возможно, вам будет также интересно почитать другие статьи про EMET на нашей Knowledge Base

Ruslan V. Karmanov

Зайдите на сайт под своей учётной записью, чтобы видеть комментарии под техническими статьями. Если учётной записи ещё нет - зарегистрируйтесь, это бесплатно.