Microsoft
Mit Microsoft EMET Windows-Systeme absichern
Mit Hilfe des kostenlosen Microsoft-Tools EMET können Admins Windows-Systeme und Anwendungen deutlich weniger anfällig für Angriffe machen.
Ein effektiver Schutz vor Malware ist die effizienteste Art und Weise mit der Admins menschlichen und technischen Schwachstellen begegnen können. Auch wenn man Anwendern gebetsmühlenartig predigt, nicht auf Links zu klicken oder Anhänge zu öffnen, wird dies trotzdem immer wieder geschehen. Darum ist es empfehlenswert, die Angriffsfläche zu reduzieren und die Systeme zu härten. Hierfür eignet sich unter anderem Microsofts kostenloses Tool EMET (Enhanced Mitigation Experience Toolkit) ganz trefflich.
Microsoft EMET
Das Enhanced Mitigation Experience Toolkit unterstützt Administratoren dabei, die Sicherheitsrisiken von Software zu reduzieren. EMET unterstützt neben den aktuellen Windows-Versionen auch noch viele Vorgängerversionen wie etwa Windows Server 2008 SP2. Das Tool fügt eine zusätzliche Sicherheitsschicht ein, um die Ausnutzung bekannter wie auch Zero-Day-Schwachstellen zu verhindern. Das gilt nicht nur für Microsoft Betriebssysteme oder Anwendungen, sondern auch für Software von Drittanbietern.
Hierfür bringt EMET einige ausgefeilte Techniken mit, um die Sicherheit zu erhöhen:
Reduzierung der Angriffsfläche: Admins können Richtlinien implementieren, um die Sicherheitsrisiken von Plug-ins wie Adobe Reader oder Java beziehungsweise deren Sicherheitslücken zu minimieren. Etwa, dass diese nur in einem bestimmten Kontext ausgeführt werden.
Address Space Layout Randomization (ASLR): Diese Speicherverwürfelung, bei der Module in zufällige Speicherplätze geladen werden, soll Angreifern die Vorhersagbarkeit erschweren. Damit soll Angriffen entgegengewirkt werden, die sich einen Buffer Overflow zunutze machen wollen.
Heap Spray Allocation Security Mitigation: Hierbei wird verhindert, dass bekannter Code geladen wird. Bei Heap-Spray-Attacken schreibt der Angreifer etwas in den Heap des Speichers eines laufenden Programms, um dann weitere Sicherheitslücken auszunutzen.
Load Library Check: EMET überwacht alle Aufrufe von Bibliotheken, die via LoadLibrary-API erfolgen und verhindert das Laden von Bibliotheken, die auf UNC-Pfaden liegen.
Memory Protection Check: Verhindert, dass der Stapelspeicher ausführbar ist und vermindert so die Chancen für Angreifer.
Admin können EMET einzeln installieren oder auch per Gruppenrichtlinie ausrollen, auch der Microsoft System Center Configuration Manager wird unterstützt. Einstellungen können ebenfalls per Kommonadozeile vorgenommen werden, daher lässt sich das Tool auch trefflich per Skript ausrollen. Daher eignet es sich durchaus für alle Unternehmensgrößen.
Wie bei vielen anderen Sicherheitslösungen auch ist bei EMET nicht mit einem Klick alles geregelt. Der Einsatz von EMET kann das Risiko eines erfolgreichen Angriffs reduzieren, aber natürlich nicht vollständig verhindern. Und es entbindet nicht von der Pflicht, Sicherheitslücken in der Software zu patchen. Und eines sei nicht verschwiegen: Die Einstellungen in EMET können schnell zu Kompatibilitätsproblemen führen. Wer tiefgreifende Änderungen vornehmen will, sollte dies zunächst ausgiebig mit den verwendeten Anwendungen testen.
Im November 2016 hat Microsoft die Version 5.52 von EMET bereitgestellt.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
