최고 수준의 Windows 보안을 위해 기업을 EMET하십시오

Microsoft는 Windows 및 응용 프로그램에서의 취약점 악용을 방지하기 위해 ASLR, DEP 및 SAFESEH와 같은 많은 방어 기술을 Windows에 수년 간 투입했습니다. 그러나 Microsoft는 모든 Windows 사용자가 이러한 변경 작업을 수행하는 것에 대해 매우 보수적입니다. Microsoft가 Windows에 들어갈 수없는 다른 일도 있습니다.

대신, Microsoft는이를 Enhanced Mitigation Experience Toolkit (EMET – 두 개의 소프트 e로 발음)에 넣습니다. EMET은 Windows 시스템에 설치하는 도구로서 해당 시스템의 특정 응용 프로그램에 추가 제한을 가할 수 있습니다. Microsoft가 EMET을 사용하면이를 완화 할 수 있다고 발표하는 것이 일반적입니다.

가장 최근에는 Internet Explorer 용 12 월 누적 보안 업데이트 MS14-080에서 14 가지 취약점 중 11 가지가 메모리 손상 취약점이었으며 게시판은 “EMET은 EMET이 설치되고 구성되어있는 시스템에서 Internet Explorer의 이러한 취약점을 완화하는 데 도움이됩니다 Internet Explorer에서 작업하십시오. ”

내 시스템에서 EMET을 실행하지만 엔터프라이즈에서 수행 할 수 있습니까? Microsoft는

EMET는 엔터프라이즈 배포의 절대 필요성 중 하나를 충족시킵니다. Active Directory 그룹 정책 개체를 통해 배포 및 관리가 가능합니다. 미 국방부는 컴퓨터 시스템 및 GPO에서 EMET을 사용하여이를 관리하도록 규정하고 있습니다. Windows 7 STIG (보안 기술 구현 가이드 – STIG는 컴퓨터 시스템 용 구현 규칙)는 규칙, 정당성 및 일부 절차를 설명합니다. 자신의 계획에 대해이 문서를 시작하는 것보다 훨씬 더 나쁠 수 있습니다. 다른 Windows 버전 및 기타 여러 제품에 대한 STIG가 있습니다.

EMET 관리에 사용할 수있는 GPO

EMET을 사용하는 주된 단점은 공격적인 기술로 인해 응용 프로그램 호환성 문제가 발생할 수 있다는 것입니다. 응용 프로그램의 기술, 가능성이있는 버그로 인해 EMET에서 완화가 트리거 될 수 있습니다. 즉, 일반적으로 배포하기 전에 EMET을 사용하여 엔터프라이즈 응용 프로그램을 테스트해야합니다.

이를 위해 정교한 사용자 그룹을 선택하는 것이 가장 좋습니다. 문제가 발생하면 응용 프로그램에서 문제를 일으키지 않을 때까지 시스템에서 사용중인 완화 방법을 조정할 수 있습니다 (아래 화면 참조). 또한 EMET 탐지를 기록하고 조치를 취하지 않도록 선택할 수도 있습니다.

힙 스프레이 할당 : 일반적으로 익스플로잇은 코드 실행 가능성을 높이기 위해 공격중인 프로세스의 힙 (메모리의 프로그램 데이터 저장 영역)에 코드의 많은 복사본을 배치합니다. 필수 ASLR : ASLR은 ROP (Return Oriented Programming) 공격을 차단하기 위해 메모리에있는 프로그램의 위치를 ​​무작위로 지정합니다. 그러나 Windows에서 ASLR에 의해 보호받을 프로그램은 고의적으로 켜야합니다. ASLR로 설정되지 않은 한 프로그램에서 여러 개의 프로그램 또는 하나 또는 두 개의 DLL 만 찾을 수 있습니다. 필수 ASLR은 프로그램의 모든 모듈을 강제로 보호합니다. (DEP (Dynamic Execution Prevention)과 비슷한 설정이 있는데, 개발자가 옵트 인 요구 사항이 비슷합니다.) EAF / EAF (Export Address Table Access Filtering) : 공격 코드가 Windows API를 실행해야하는 경우, 일반적으로 API는 커널 DLL32의 내보내기 주소 테이블 (kernel32.dll, ntdll.dll 및 kernelbase.dll)을 검색하여 필요한 주소를 찾습니다. EAF는 액세스를 차단하려고 시도합니다 EAF +는이 문제에 대해보다 새롭고보다 적극적인 방법을 추가합니다. 위의 스크린 샷에서 EMET이 EAF +에 대해 기본적으로 꺼져 있음을 확인할 수 있습니다 .; 발신자 확인 : 이것은 또 다른 ROP 완화입니다 .EMET는 CALL 명령 또는 RET 명령을 통해 중요한 기능에 도달했습니다.

해당 화면의 열 머리글은 사용할 수있는 완화 조치이며 화면에는 기본 설정이 표시되므로 대다수의 기본값이 켜져 있음을 볼 수 있습니다. EMET 사용자 가이드는 개별 완화가 무엇인지에 대해 자세히 설명합니다.

Microsoft는 EMET을 “최신의 최첨단 보안 전술 및 기능에 대한 입증 근거”라고 부릅니다. 아마도 “현장 테스트”는 그 근거를 입증하는 것보다 나은 용어이지만, 특히 더 많은 기업이 채택 할 때 특히 유용한 도구입니다.

당신들 중에서 정말 야심 찬 것은 테스트 그룹을 사용하여 EMET에서보다 적극적인 설정을 기본값보다 많이 사용할 수 있습니다. 심층 방어 및 최소 권한의 정신으로 가능한 한 설정을 강화해야합니다. 응용 프로그램을 중지하는 것보다 적극적인 설정을 기록하여보다 안전하고 신뢰할 수 있습니다. 로그를 통해 개발자는 소프트웨어 개발자에게 흥미롭고 유용한 것을 제공 할 수 있습니다.

EMET의 또 다른 이점은 다음과 같습니다. 널리 배포 된 테스트 도구로서 개발자가 소프트웨어를 더욱 안전하게 사용할 수있는 잠재력이 있습니다. 나는 우리 모두가 그걸 배제 할 수 있다고 생각합니다.

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판