Scenarie
Et mellemstort dansk firma har brug for at øge sikkerheden på sine Windows-klienter for at imødegå øgede risici og sikre firmaet og dets forretning.
Den grafiske brugergrænseflade i EMET viser dig nøjagtigt, hvilke indstillinger der anvendes, og hvilke programmer der nyder gavn af den ekstra beskyttelse, som EMET giver.
Windows 7 indeholder en mængde sikkerhedsfunktioner, der ikke bare er gode at have, men direkte nødvendige. Det eneste minus er, at de ikke er slået til som standard.
Det betyder i praksis, at sikkerheden på en Windows 7-pc er den samme i et virksomhedsnetværk uden nogen specifik sikkerhedskonfiguration som i et hvilket som helst hjemmenetværk.
God sikkerhed består af flere lag af forskellige beskyttelsesforanstaltninger, og Windows 7 har mange indbyggede sikkerhedsfunktioner. Med disse og med nogle værktøjer, du kan downloade fra Microsoft, kan du forbedre sikkerheden på dine klienter betydeligt.
Højere sikkerhed med EMET
I en ideel verden ville alle programmer i udgangspunktet være uden sikkerhedshuller. Det gælder dine egenudviklede programmer såvel som de fra tredjeparter. Men sådan er virkeligheden desværre ikke.
Desuden er det de senere år blevet mere almindeligt, at angreb sker mod sårbare programmer i stedet for mod sikkerhedshuller i styresystemet.
Men det gratis værktøj fra Microsoft Enhanced Mitigation Experience Toolkit (EMET) kan give dine programmer ekstra beskyttelse blandt andet mod såkaldte 0-dagsangreb. Det bliver simpelthen sværere at udnytte sårbarheder i programmer.
Sådan gør du:
1. Download og installer EMET på en testmaskine. Distribuer herefter EMET Setup.msi til dine klienter med det værktøj, du normalt anvender til distribution af programmer.
2. For at aktivere EMET skal du konfigurere værktøjet. Det kan med fordel gøres ved at hente gruppepolitik-skabeloner fra EMET’s installationsmappe i C:\Program files\EMET\Deployment\Group Policy files og placere admx-filen i mappen PolicyDefinitions (enten i C:\Windows eller på SYSVOL) og adml-filen i den underliggende mappe en-us.
Når du har gjort det, dukker der en ny installationskategori op i policy-mappen Windows Components, hvorfra du kan indstille EMET og styre hvilke programmer, der skal beskyttes.
Her kan du også slå populære valgmuligheder til såsom at beskytte Adobe Reader, Oracle Java, Microsoft Office, Chrome, Firefox og en række andre udbredte programmer.
3. Det er dog ikke nok at konfigurere GPO-indstillingerne. Du er også nødt til med jævne mellemrum at køre kommandoen EMET_Conf –refresh, hvilket genindlæser konfigurationen af EMET. Opret kommandoen som en planlagt opgave.
4. Når du aktiverer EMET, kan du tjekke hvilke programmer, der beskyttes, enten med EMET_Conf –list eller via EMET GUI.
At slå EMET til vil uden tvivl øge sikkerheden på dine klienter betydeligt, men afhængigt af i hvilken grad, du låser systemet ned, kan det betyde, at visse programmer helt holder op med at fungere. Derfor er det vigtigt, at du tester dine programmer, efter du har slået EMET til.
Hvis du slår forhindring af datakørsel (også kaldet Data Execution Prevention, DEP) til, skal du være klar over, at det ændrer i indstillingerne for opstart, og hvis du har BitLocker slået til, kommer BitLocker til at gå i genoprettelsestilstand, hvilket betyder, at der kræves en BitLocker-genoprettelsesnøgle, før brugeren kan få adgang til computeren igen.
Artiklen fortsætter på næste side…
Leave a Reply