Microsoft: Windows 10 делает ненужным EMET. Исследование: Нет

Microsoft планирует прекратить поддержку своего набора Enhanced Mitigation Experience Toolkit в июле 2018 г., и не будет выпускать новую версию EMET.

Это делает EMET 5.51 последней версией программного обеспечения для защиты от эксплойтов для Windows. Причина, указанная Microsoft, заключалась в том, что Windows 10, новая операционная система Microsoft, включает в себя все функции смягчения, «на которые полагаются администраторы EMET», а также новые меры, которые не являются частью EMET.

Microsoft открыто заявила, что Windows 10 включает в себя функции безопасности, поэтому больше не нужно запускать EMET (и, таким образом, Microsoft поддерживает его).

Windows 10 и EMET

Защита EMET делится на общесистемную защиту и защиту для конкретного приложения.

Предотвращение выполнения данных (DEP), защита от перезаписи структурированного обработчика исключений (SEHOP),
Рандомизация адресного пространства (ASLR), доверие к сертификатам (закрепление) и блокировка ненадежных шрифтов (шрифты) попадают в первую группу.

Предотвращение выполнения данных (DEP), защита от перезаписи структурированного обработчика исключений (SEHOP), выделение пустых страниц (NullPage), выделение Heapspray (HeapSpray), фильтрация доступа к экспортной таблице адресов (EAF), дополнительная фильтрация доступа к таблице адресов экспорта (EAF +), обязательный адрес Рандомизация макета пространства (ASLR). Рандомизация снизу вверх (BottomUpASLR), смягчение ROP (LoadLib,
MemProt, Caller, SimExecFlow, StackPivot), Attack Surface Reduction (ASR) и Block Untrusted Fonts (Fonts) во второй группе.

Уилл Порман из Института программной инженерии Университета Карнеги-Меллона создан в следующей таблице перечислены все меры по снижению рисков, включенные ли они в Windows 7 или 10, либо в Windows 7 или 10 с установленным EMET.

Если вы посмотрите на таблицу, вы быстро заметите, что обычная Windows 10 не предлагает такой же уровень защиты, как Windows 10 с запущенным EMET.

То же самое можно сказать и о сравнении ванильной Windows 10 и Windows 7, на которой работает EMET.

Хотя верно, что Windows 10 поддерживает несколько средств защиты приложений из коробки, так сказать, DEP, SEHOP, ASLR и BottupASLR, если быть точным, ясно, что операционная система не включает все защитные функции, которые предлагает EMET. Защитные функции в этом отношении означают средства защиты приложений, такие как HeapSpray, EAF, MemProt или ASR.

Что касается поддерживаемых в Windows 10 параметров, они не включены по умолчанию и нужно включить в редакторе групповой политики.

Исследователь приходит к выводу, что утверждение Microsoft о том, что пользователям не нужен EMET, если они работают с Windows 10, не соответствует действительности.

Microsoft настоятельно подразумевает, что если вы используете Windows 10, то в EMET больше нет необходимости. Это утверждение неверно. Причина, по которой это неправда, заключается в том, что Windows 10 не предоставляет специфичных для приложений средств защиты, которые предоставляет EMET.

Кроме того, он отмечает, что Windows 10 действительно поставляется с дополнительными защитными мерами, но программы должны использовать их, и что это не учитывает всех защитных мер, которые предлагает EMET.

Он рекомендует использовать EMET, если это возможно, и если системные администраторы или пользователи настроили меры по снижению рисков для конкретных приложений. Если это невозможно по какой-либо причине, лучше всего настроить средства защиты, которые можно применить к Windows 10 без EMET. (через Deskmodder)

Альтернативы EMET: Malwarebytes Anti-Exploit (также доступно в Malwarebytes Premium), а также HitmanPro.Alert.

Теперь ваша очередь : Вы используете анти-эксплойтное программное обеспечение?