6 dicas avançadas para proteger os aplicativos em seu PC com EMET
O Enhanced Mitigation Experience Toolkit é o segredo de segurança mais bem guardado da Microsoft. É fácil instalar o EMET e rapidamente proteger muitos aplicativos populares, mas há muito mais que você pode fazer com o EMET.
O EMET não aparece e faz perguntas, por isso é uma solução "configure e esqueça" depois de configurá-lo. Veja como proteger mais aplicativos com o EMET e corrigi-los se eles quebrarem.
Saiba se o EMET está quebrando um aplicativo
Se um aplicativo faz algo que suas regras do EMET não permitem, o EMET desligará o aplicativo - essa é a configuração padrão, de qualquer maneira. O EMET fecha aplicativos que se comportam de maneira potencialmente insegura, para que não ocorram falhas. O Windows não faz isso para todos os aplicativos por padrão porque iria quebrar a compatibilidade com muitos dos aplicativos antigos do Windows em uso hoje.
Se um aplicativo quebrar, o aplicativo será desligado imediatamente e você verá um pop-up do ícone EMET na bandeja do sistema. Ele também será gravado no log de eventos do Windows - essas opções podem ser personalizadas na caixa Relatórios na faixa de opções na parte superior da janela do EMET..
Use uma versão de 64 bits do Windows
As versões de 64 bits do Windows são mais seguras porque têm acesso a recursos como ASLR (random space layout randomization). Nem todos esses recursos estarão disponíveis se você estiver usando uma versão de 32 bits do Windows. Como o próprio Windows, os recursos de segurança do EMET são mais abrangentes e úteis em PCs de 64 bits.
Bloqueie Processos Específicos
Você provavelmente desejará bloquear aplicativos específicos em vez de todo o seu sistema. Concentre-se nos aplicativos com maior probabilidade de serem comprometidos. Isso significa navegadores da Web, plug-ins do navegador, programas de bate-papo e qualquer outro software que se comunique com a Internet ou que abra arquivos baixados. Serviços de sistema de baixo nível e aplicativos executados offline sem abrir nenhum arquivo baixado correm menos riscos. Se você tiver algum aplicativo de negócios importante - talvez um que acesse a Internet - pode ser o aplicativo que você deseja proteger mais.
Para proteger um aplicativo em execução, localize-o na lista EMET, clique com o botão direito do mouse nele e selecione Configurar Processo..
(Se você quiser proteger um processo que não está em execução, abra a janela Aplicativos e use os botões Adicionar aplicativo ou Adicionar curinga.)
A janela Configuração do aplicativo será exibida com seu aplicativo destacado. Por padrão, todas as regras serão ativadas automaticamente. Basta clicar no botão OK aqui para aplicar todas as regras.
Se o seu aplicativo não estiver funcionando corretamente, você deverá voltar para aqui e tentar desativar algumas das restrições para esse aplicativo. Desative-os um por um até que o aplicativo funcione e você possa isolar o problema.
Se você não quiser restringir um aplicativo, selecione-o na lista e clique no botão Remover Selecionado para apagar suas regras e colocar o aplicativo de volta ao seu estado padrão..
Alterar regras para todo o sistema
A seção Status do sistema permite escolher regras para todo o sistema. Você provavelmente vai querer ficar com os padrões, que permitem que os aplicativos optem por essas proteções de segurança.
Você pode selecionar "Always On" ou "Application Opt Out" para essas configurações para máxima segurança. Isso pode quebrar muitos aplicativos, especialmente os mais antigos. Se os aplicativos começarem a se comportar mal, você poderá reverter para as configurações padrão ou criar regras de "desativação" para os aplicativos.
Para criar uma regra de exclusão, clique com o botão direito do mouse em um processo e selecione Configurar processo. Desmarque o tipo de proteção que você deseja desativar - por isso, se quiser desativar o ASLR do sistema, desmarque as caixas de seleção MandatoryASLR e BottomUpASLR para esse processo. Clique em OK para salvar sua regra.
Observe que ativamos "Always On" para DEP acima, por isso não podemos desabilitar a DEP para nenhum processo na janela Application Configuration abaixo.
Regras de teste no modo "Somente auditoria"
Se você quiser testar as regras do EMET, mas não quiser lidar com nenhum problema, poderá ativar o modo "Somente auditoria". Clique no ícone Aplicativos no EMET para acessar a janela Configuração do aplicativo. Você encontrará uma seção de ação padrão na faixa de opções na parte superior da tela. Por padrão, ele é definido como Parar na exploração - o EMET encerrará um aplicativo se ele quebrar uma regra. Você também pode configurá-lo para Auditoria apenas. Se um aplicativo quebrar uma das regras do EMET, o EMET informará o problema e permitirá que o aplicativo continue em execução.
Isso obviamente elimina as vantagens de segurança da execução do EMET, mas é uma boa maneira de testar as regras antes de colocar o EMET novamente no modo "Stop on exploit".
Regras de exportação e importação
Depois de criar e testar suas regras, use o botão Exportar ou Exportar Selecionado para exportar suas regras para um arquivo. Você pode, então, importá-los em qualquer outro PC que você usa e obter as mesmas proteções de segurança sem precisar mexer mais.
Em redes corporativas, as regras do EMET e o próprio EMET podem ser implantados por meio da Diretiva de Grupo.
Nada disso é obrigatório. Se você é um usuário doméstico que não quer lidar com isso, sinta-se à vontade para instalar o EMET e manter as configurações padrão recomendadas..