Windows Systeme absichern mit dem „Enhanced Mitigation Experience Toolkit“ – Teil 2

b87ad2a944b349a2b1df58b71512fa9a

Dies ist der zweite Teil der Artikelserie „Windows Systeme absichern mit dem „Enhanced Mitigation Experience Toolkit““, hier geht es zu Teil 1.

Einrichtung von EMET über Gruppenrichtlinien

Wie fast jedes Programm von Microsoft kann EMET über Gruppenrichtlinien gesteuert werden. Die erforderlichen Gruppenrichtlinien-Templates liegen nach der Installation von EMET im Unterordner des Installationsverzeichnisses „Deployment\Group Policy Files“.

Nach dem Import der Gruppenrichtlinien Vorlagen in den Vorlagenspeicher stehen die Administrativen Vorlagen zur Verfügung.

Screenshoot: Einstellungen in den Gruppenrichtlinien für EMET
Screenshoot: Einstellungen in den Gruppenrichtlinien für EMET

Verteilung von EMET per GPO

Normalerweise rate ich allen immer von Softwareverteilung per Gruppenrichtlinien ab. Wer es trotzdem machen möchte, kann dies mit EMET machen. Die Verteilung erfolgt wie bei Gruppenrichtlinien üblich.

Screenshoot: Softwarebereitstellung über Gruppenrichtlinien
Screenshoot: Softwarebereitstellung über Gruppenrichtlinien

Sinnvoll sind natürlich nur Computerkonfiguration, und somit eine Zugewiesene Bereitstellung.

Screenshoot: Softwarebereitstellungsart über Gruppenrichtlinien
Screenshoot: Softwarebereitstellungsart über Gruppenrichtlinien

Nach der Anwendung der Gruppenrichtlinien sollte der Computer optimaler Weise neugestartet werden um die Installation abzuschließen. Nach dem Neustart ist EMET installiert und konfiguriert. Wichtig ist das manche Änderungen an der Konfiguration einen Neustart Voraussetzen, bei größeren Änderungen also daran denken.

Screenshot: GUI EMET nach Konfiguration über Gruppenrichtlinen
Screenshot: GUI EMET nach Konfiguration über Gruppenrichtlinen

Die Konfiguration von „Certificate Trust (Pinning)“ über GPO wird noch nicht Unterstützt. Auch werden die Applikationen die über die GPO konfiguriert werden nicht in der EMET Gui angezeigt.

Um die Einstellungen der Gruppenrichtlinien zu überprüfen, hilft er Befehl „EMET_conf –list“. EMET_conf kann übrigens auch genutzt werden um Regeln für Anwendungen innerhalb von Skripten zu setzen. Das ist gerade für manche Softwareverteilungen eine interessante Möglichkeit dem Installationsskript direkt die EMET Konfiguration mitzugeben.

Ausgabe des Befehles "EMET_conf --list"
Ausgabe des Befehles „EMET_conf –list“

Hinzufügen von Programmeinstellungen

Um Programme zu EMET hinzuzufügen gibt es verschiedene Wege. Neben der lokalen Konfiguration über die GUI oder die lokale Konfiguration mit „EMET_conf“ für Skripte, gibt es noch den zentralen Weg über Gruppenrichtlinien. Ich persönlich bevorzuge normalerweise den Weg über Gruppenrichtlinien. Natürlich sollte man vorher die Programme getestet haben und die entsprechende Konfiguration ausprobiert haben. Mehr dazu im letzten Kapitel.

Hinzufügen von eigenen Programmeinstellungen per GPO (Theorie)

Um ein Programm zu Richtlinie hinzuzufügen, muss der Punkt „Application Configuration“ bearbeitet werden

Werbung
Screenshot: Gruppenrichtlinie "Application Configuration" von EMET
Screenshot: Gruppenrichtlinie „Application Configuration“ von EMET

Unter Anzeigen erscheint eine Liste in der jedes Programm in eine eigene Zeile eingetragen werden muss. Als Parameter werden die zu deaktivierenden Schutzmechanismen für das Programm mit einem „-“ eingetragen.

Das Problem ist nur das diese Einstellungen unter EMET 4.1 nicht funktionieren (Getestet auf Windows 7 und Windows 8.1, jeweils aktueller Patchstand), alle anderen Einstellungen in den Gruppenrichtlinien funktionieren aber.

Hinzufügen von eigenen Programmeinstellungen per Skript

Um per Script EMET zu konfigurieren, kann wieder das „EMET_conf“ Programm im EMET Programmverzeichnis genutzt werden. Zum Beispiel für SnagIT (5 Zeilen):

cd "\Program Files (x86)\EMET 4.1\"
EMET_conf --set "*\Snagit 11\Snagit32.exe" -Caller
EMET_conf --set "*\Snagit 11\snagiteditor.exe" -Caller
EMET_conf --set "*\Snagit 11\snagpriv.exe" -Caller
EMET_conf --set "*\Snagit 11\TSChelp.exe" -Caller

Die Befehle müssen auf jedem Client ausgeführt werden, mögliche Lösungen wären ein geplanter Task das beim Systemstart ein Skript von einer Freigabe zieht. Alternativ können auch nach dem setzten in der EMET GUI die Registry-Schlüssel in eine Gruppenrichtlinie übernommen werden.

Screenshot der Registry Einstellungen von EMET
Screenshot der Registry Einstellungen von EMET

Testen von Programmen

Für das Testen von neuen Programmen gibt es extra einen Audit Modus. In diesem Modus protokolliert EMET wenn normalerweise etwas geblockt würde. Durch diesen Mechanismus kann man erstmal alle Schutzmethoden aktivieren und das Programm testen. Anschließend muss nur im Eventlog nachgeschaut werden, welcher Schutz bei dem Programm ausgelöst hätte.

Ereignisanzeige von EMET im Audit-Modus
Ereignisanzeige von EMET im Audit-Modus

Wichtig ist, nach einer Konfigurationsänderung in EMET, muss das zu testende Programm neu gestartet werden.

Wenn sie eh schon für eine Softwareverteilung Pakete schnüren, installieren Sie auf dem Rechner EMET und testen die Applikationen im Audit Modus. Wenn Sie die richtigen Einstellungen haben, sollten keine neuen Einträge im Eventlog erscheinen.

Veröffentlicht:

Autor:

Fabian Niesen

Kategorien:

, , , , ,

Tags:

, , , , , , , , , , , , , , ,

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.