EMET sẽ không bật lên và đặt câu hỏi cho bạn, do đó, đó là giải pháp được thiết lập và quên khi bạn thiết lập. Dưới đây là cách bảo mật nhiều ứng dụng hơn với EMET và sửa chúng nếu chúng bị hỏng.
Biết nếu EMET đang phá vỡ một ứng dụng
Nếu một ứng dụng làm điều gì đó mà quy tắc EMET của bạn không cho phép, EMET sẽ tắt ứng dụng - dù sao thì đó là cài đặt mặc định. EMET đóng các ứng dụng hoạt động theo cách có khả năng không an toàn nên không thể khai thác được. Windows không thực hiện điều này cho tất cả các ứng dụng theo mặc định vì nó sẽ phá vỡ tính tương thích với nhiều ứng dụng Windows cũ đang được sử dụng hiện nay.
Nếu ứng dụng bị hỏng, ứng dụng sẽ ngay lập tức tắt và bạn sẽ thấy cửa sổ bật lên từ biểu tượng EMET trong khay hệ thống của bạn. Nó cũng sẽ được ghi vào nhật ký sự kiện Windows - các tùy chọn này có thể được tùy chỉnh từ hộp Báo cáo trên ruy-băng ở đầu cửa sổ EMET.
Sử dụng phiên bản Windows 64 bit
Các phiên bản Windows 64 bit an toàn hơn vì chúng có quyền truy cập vào các tính năng như ngẫu nhiên bố cục không gian địa chỉ (ASLR). Không phải tất cả các tính năng này đều khả dụng nếu bạn đang sử dụng phiên bản Windows 32 bit. Cũng giống như Windows, các tính năng bảo mật của EMET toàn diện và hữu dụng hơn trên các máy tính 64-bit.
Khóa xuống các quy trình cụ thể
Có thể bạn sẽ muốn khóa các ứng dụng cụ thể thay vì toàn bộ hệ thống của mình. Tập trung vào các ứng dụng có nhiều khả năng bị xâm nhập nhất. Điều này có nghĩa là trình duyệt web, trình cắm trình duyệt, chương trình trò chuyện và bất kỳ phần mềm nào khác giao tiếp với Internet hoặc mở tệp đã tải xuống. Các dịch vụ và ứng dụng hệ thống ở mức độ thấp chạy ngoại tuyến mà không cần mở bất kỳ tệp tải xuống nào đều ít rủi ro hơn. Nếu bạn có một số ứng dụng kinh doanh quan trọng - có lẽ là ứng dụng truy cập Internet - đó có thể là ứng dụng bạn muốn bảo mật nhất.
Để bảo mật một ứng dụng đang chạy, hãy định vị nó trong danh sách EMET, nhấn chuột phải vào nó và chọn Configure Process.
(Nếu bạn muốn bảo mật quá trình không chạy, hãy mở cửa sổ Ứng dụng và sử dụng nút Thêm ứng dụng hoặc Thêm thẻ đại diện.)
Nếu bạn không muốn hạn chế một ứng dụng, hãy chọn nó trong danh sách và nhấn nút Remove Selected để xóa các quy tắc của bạn và đưa ứng dụng trở lại trạng thái mặc định của nó.
Thay đổi quy tắc toàn hệ thống
Phần Trạng thái hệ thống cho phép bạn chọn các quy tắc toàn hệ thống. Có thể bạn sẽ muốn gắn bó với các giá trị mặc định, cho phép các ứng dụng chọn tham gia vào các biện pháp bảo vệ bảo mật này.
Bạn có thể chọn “Luôn bật” hoặc “Chọn không tham gia ứng dụng” cho các cài đặt này để bảo mật tối đa. Điều này có thể phá vỡ nhiều ứng dụng, đặc biệt là các ứng dụng cũ hơn. Nếu ứng dụng bắt đầu hoạt động sai, bạn có thể hoàn nguyên về cài đặt mặc định hoặc tạo quy tắc "chọn không tham gia" cho các ứng dụng.
Lưu ý rằng chúng tôi đã bật “Luôn bật” cho DEP ở trên, vì vậy, chúng tôi không thể tắt DEP cho bất kỳ quy trình nào trong cửa sổ Cấu hình ứng dụng bên dưới.
Quy tắc thử nghiệm ở chế độ “Chỉ kiểm tra”
Nếu bạn muốn kiểm tra các quy tắc EMET nhưng không muốn xử lý bất kỳ sự cố nào, bạn có thể bật chế độ "Chỉ kiểm tra". Nhấp vào biểu tượng Ứng dụng trong EMET để truy cập cửa sổ Cấu hình ứng dụng. Bạn sẽ tìm thấy phần Hành động mặc định trên ruy-băng ở đầu màn hình. Theo mặc định, nó được đặt thành Dừng khi khai thác - EMET sẽ tắt một ứng dụng nếu nó vi phạm quy tắc. Bạn cũng có thể đặt nó thành Chỉ kiểm toán. Nếu một ứng dụng phá vỡ một trong các quy tắc EMET của bạn, EMET sẽ báo cáo sự cố và cho phép ứng dụng tiếp tục chạy.
Điều này rõ ràng là loại bỏ các lợi thế bảo mật khi chạy EMET, nhưng đó là một cách tốt để kiểm tra các quy tắc trước khi đưa EMET trở lại chế độ “Dừng khi khai thác”.
Quy tắc xuất và nhập
Khi bạn đã tạo và thử nghiệm các quy tắc của mình, hãy đảm bảo sử dụng nút Xuất hoặc Xuất để chọn xuất các quy tắc của bạn vào một tệp. Sau đó, bạn có thể nhập chúng trên bất kỳ máy tính nào khác mà bạn sử dụng và đạt được sự bảo vệ an toàn giống nhau mà không có nhiều khó khăn hơn.
Trên các mạng công ty, các quy tắc EMET và EMET có thể được triển khai thông qua Group Policy.
Không ai trong số này là bắt buộc. Nếu bạn là người dùng gia đình không muốn giải quyết vấn đề này, chỉ cần cài đặt EMET và gắn với cài đặt mặc định được đề xuất.
