ピーク時Windowsセキュリティのために企業をEMET

マイクロソフトは、ASLR、DEP、SAFESEHなどの多くの防御テクノロジを、Windowsとアプリケーションの脆弱性の悪用を軽減するためにWindowsに数年間入れています。しかし、Microsoftは、すべてのWindowsユーザーにこのような変更を加えることについて正当な責任を負いません。マイクロソフトでは、Windowsに移行するのに適していないこともあります。

代わりに、マイクロソフトはこれらをEnhanced Mitigation Experience Toolkit(EMET – 2つのソフトeで発音)に置きます。 EMETは、Windowsシステムにインストールするツールで、そのシステム上の特定のアプリケーションに追加の制限を課すことができます。マイクロソフトが脆弱性を明らかにしたとき、EMETを使用することでその脆弱性が緩和されると発表するのは一般的です。

最近では、MS14-080の12月のInternet Explorer用累積セキュリティアップデートでは、14個の脆弱性のうち11個がメモリ破損の脆弱性であり、EMETはEMETがインストールされて構成されているシステムでInternet Explorerのこれらの脆弱性を緩和するのに役立ちますInternet Explorerで動作します。

自分のシステムでEMETを実行しますが、エンタープライズで実行しますか?マイクロソフトでは、

EMETはエンタープライズ展開の絶対必要性の1つを満たしています。これは、Active Directoryのグループポリシーオブジェクトを通じて展開および管理が可能です。米国国防総省は、コンピューターシステムとGPOでEMETを使用してそれを管理することを義務づけています。 Windows 7 STIG(セキュリティテクニカル実装ガイド – STIGはコンピュータシステムの実装規則です)では、規則、根拠、およびいくつかの手順について説明しています。あなたは自分の計画のためにこの文書を始めるよりもずっと悪いことがあります。他のWindows版やその他の多くの製品にはSTIGがあります。

EMETの管理に使用できるGPO

EMETを使用することの主な欠点は、攻撃的な手法がアプリケーション互換性の問題の可能性を高めていることです。アプリケーションのバグである可能性のある手法がEMETの緩和を引き起こす可能性があります。つまり、EMETを使用してエンタープライズアプリケーションをテストしてから、一般的に展開する必要があります。

このために洗練されたユーザーのテストグループを選択するのが最善でしょう。問題が発生すると、アプリケーションで問題が発生する可能性が少なくなるまで、システムでの使用中の軽減策を調整できます(下の画面を参照)。また、EMET検出をログに記録するだけで、アクションを取らないようにすることもできます。

ヒープスプレーの割り当て:エクスプロイトは、コード実行の可能性を高めるために、通常攻撃のプロセスのヒープ(メモリ内のプログラムデータ格納領域)に多数のコードのコピーを配置します。必須のASLR:ASLRは、ROP(Return Oriented Programming)攻撃をブロックするためにメモリ内のプログラムの場所をランダム化します。しかし、WindowsのASLRによって保護されるプログラムは、開発者が故意にそれをオンにする必要があります。 ASLRに設定されていない多くのプログラム、あるいはおそらくは1つまたは2つのDLLがプログラム内にあります。必須ASLRは、プログラム内のすべてのモジュールを強制的に保護します。 (DEP(Dynamic Execution Prevention)にも同様の設定があり、開発者がオプトインに似ている必要があります);エクスポートアドレステーブルアクセスフィルタリング(EAF / EAF +):攻撃コードがWindows APIを実行する必要がある場合、一般に、攻撃は、必要なものが見つかるまで、kernel32.dll、ntdll.dll、およびkernelbase.dllを意味する主要なWindows DLLのエクスポートアドレステーブルを検索することによってこれを行います。 EAF +はこの問題に新たな、より積極的な方法を追加しています。上のスクリーンショットから、EMETはEAF +のデフォルト値をoffにするのが一般的ですが、呼び出し側のチェック:これは別のROP軽減です。 CALL命令またはRET命令によって重要な機能に到達しました。

この画面の列見出しは利用可能な軽減策であり、画面には既定の設定が表示されるため、大多数の既定がオンになっています。 EMETユーザーガイドには個々の緩和策の詳細がいくつか掲載されていますが、ここにはいくつかの例があります

マイクロソフトは、EMETを「新しい最先端のセキュリティ戦略と機能の証明の土台」と呼びます。おそらく “フィールドテスト”は地面を確認するよりも良い言葉ですが、特にそれが採用される企業が増えるにつれて特に適しています。

本当に野心的なのは、テストグループを使用してEMETでより積極的な設定をデフォルト設定よりも使用することができます。徹底的な防衛と最小限の特権の精神で、可能な限り設定を強化する必要があります。アプリケーションを停止するのではなく、積極的な設定を記録することで、より安全かつ安全にこれを行うことができます。ログは、ソフトウェアの開発者に興味深く役立つ何かを与えるかもしれません。

それはEMETのもう一つの利点をもたらします:テストツールとして広く展開されているため、開発者がソフトウェアをより安全にするのに役立つ可能性があります。私たちはすべてそれを取り戻すことができると思う。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン