maxkabakov - Fotolia

System und Anwendungen gegen Attacken schützen

Mit Hilfe von Microsofts EMET lassen sich Windows und Anwendungen wie beispielsweise Adobe Reader robuster gegenüber Attacken machen.

Das Microsoft Tool EMET (Enhanced Mitigation Experience Toolkit) wurde entwickelt, um das Ausnutzen von Sicherheitsrisiken in Software zu verhindern beziehungsweise zu erschweren. Derzeit ist EMET 5.5x aktuell, das nun auch Windows 10 unterstützt. Mit dem Tool lassen sich Anwendungen gegen gängige Sicherheitslücken härten. Natürlich gibt es damit keine vollständige Sicherheit, aber der Einsatz von EMET wird häufig auch von Drittherstellern empfohlen, beispielsweise wenn noch kein Patch für eine Sicherheitslücke bereitstellt. Gerne wird EMET auch als Empfehlung genannt, wenn ein Programm keinen Support mehr durch seinen Hersteller erfährt, um ein gewisses Maß an Sicherheit aufrecht zu erhalten. EMET lässt sich kostenfrei bei Microsoft herunterladen. Das Toolkit ist kein Ersatz für Antiviren-Software oder Firewall, sondern eine sinnvolle Ergänzung.

Mit EMET lassen sich auch Fremdanwendungen härten, ohne dass diese hierfür im Quellcode vorliegen müssen. Dafür verwendet das Sicherheitstool unter anderem folgende Sicherheitsfunktionen: Data Execution Prevention (DEP), Mandatory Address Space Layout Randomization (ASLR) und Anti Return Oriented Programming (ROP) in unterschiedlichen Ausprägungen. Bei der Data Execution Prevention, oder auch etwas sperrig Datenausführungsverhinderung, soll beispielsweise die sichere Verwendung des Systemspeichers sichergestellt werden. Verwendet ein Programm den Speicher in unzulässiger Weise, wird dies erkannt. ASLR (Speicherverwürfelung) soll Angriffe unterbinden, die sich einen Buffer Overflow zunutze machen. Return Oriented Programming kann dazu verwendet werden, eine Sicherheitslücke auszunutzen und dabei DEP zu umgehen. Hier bietet EMET unterschiedliche Schutzfunktionen an, um deartige Aufrufe und Manipulaitonen zu verhindern. Zudem unterstützt EMET eine Whitelist für Zertifikate bei SSL-Verbindungen via HTTP. Dort kann man für Domänen Zertifikatsaussteller hinterlegen. Damit sollen sich beispielsweise Man-in-the-middle-Angriffe via Zertifikate deutlich erschweren lassen. Administratoren können auf Anwendungsebene festlegen, welcher Schutzmechanismus bei welcher Applikation greifen soll.

Microsoft EMET
Abbildung 1: Das Sicherheitstool EMET von Microsoft soll es Angreifern deutlich erschweren Sicherheitsücken in Betriebssystem oder Anwendungssoftware auszunutzen. Einzelne Schutzmaßnahmen lassen sich auf Anwendungsebene konfigurieren.

Während der Installation kann man die vorgeschlagenen Einstellungen übernehmen, EMET übernimmt für die dem Programm bekannten Anwendungen bereits sinnvolle Einstellungen. Es empfiehlt sich durchaus erst Mal mit den Standardeinstellungen zu beginnen und dann nach und nach die gewünschten Justagen vorzunehmen.

Seit einiger Zeit bringt EMET die so genannte Attack Surface Reduction mit. Damit sollen sich die Sicherheitsrisiken minimieren lassen. So ist es in vielen Unternehmen unumgänglich das Adobe Flash oder das Oracle Java Plugin zum Einsatz kommen, weil ein bestimmtes Programm diese Plugins voraussetzt. Über EMET lässt sich beispielsweise festlegen, dass der Internet Explorer das Java Plugin nur bei Intranet-Anwendungen lädt, beziehungsweise die Nutzung der Plugins gezielter konfigurieren.

EMET und die Kompatibilität

Und ja, es kann bei EMET zu Kompatibiltätsproblemen kommen. Wenn eine Anwendung nicht mehr wie gewohnt funktioniert, kann man sie testweise wieder aus EMET entfernen beziehungsweise die Einstellungen ändern, um das Problem einzugrenzen. Das kann insbesondere dann passieren, wenn die Anwendung Operationen vornimmt, die von dem Sicherheitstool als verdächtig eingestuft sind beziehungsweise denen ähneln, die auch ein Exploit an den Tag legen würde. Wer hier die Stellschrauben zu stramm anzieht, erntet sehr schnell Probleme. Im Zweifel fährt man mit den vorgegebenen Einstellungen ganz solide. Das Zusammenspiel zwischen Anwendung und EMET sollte daher in jedem Fall getestet werden, bevor das Tool in einer Produktionsumgebung ausgerollt wird. Das Programm eignet sich daher auch nur bedingt für Endanwender. Wer hier in die Einstellungen eingreift, sollte wissen, was diese bedeuten. Und es empfiehlt sich, nicht mehrere Parameter auf einmal zu ändern, dies erschwert die Fehlersuche bei Problemen deutlich. Hilfreiche Informationen zu etwaigen Problemen mit bestimmten Applikationen finden sich im EMET-Support-Forum im TechNet.

 EMET unterstützt Gruppenrichtlinien

 Wenn Sie EMET unternehmensweit bereitstellen wollen: es werden Gruppenrichtlinien und auch der Microsoft System Center Configuration Manager unterstützt. EMET lässt sich auch per Kommandozeile konfigurieren. Administratoren können die Software so auch per Skript ausrollen und Einstellungen übergeben. Die Konfiguration wird als xml-Datei gespeichert und lässt sich auch importieren. Die Art und Weise wie Warnungen von EMET ausgegeben werden, kann man konfigurieren. Darüber hinaus lässt sich EMET vom Administrator so einrichten, dass es für den Endanwender nicht in der Taskbar erscheint.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close