EMET设置指南

red_sc

EMET 3出来已经有一段时间，相信有不少人在用。微软建议在所有电脑上装EMET。而我Windows上必备的2款安全软件就是EMET和Sandboxie。EMET的介绍和操作教程，论坛里也有，见防御0Day漏洞的真正利器————EMET 。上面这篇文章已经介绍了基本的操作，但没有涉及到具体设置，并且是2.1版本的。我就写点杂项、具体设置指南（仅针对XP和WIndows 7）和3.0版本的变化，权做上文的补充。

EMET设置非常简单，下图是在Windows 7下的主界面。

整个界面就三个按钮，Configure System、Configure Apps和刷新，前两个分别对应系统全局设定和特定程序设定。界面分两部分，上部分显示系统状态，下部分显示进程状态。不同的系统主界面稍有不同，在Windows 7下你可以一目了然看到进程的DEP状态，但在XP下这栏是没有的。不过我们还可以借助工具Process Explorer来查看进程的DEP状态，后文会简单说明。

系统全局设定
系统全局的设定包含DEP、SEHOP和ASLR，DEP和ASLR同时启用系统会更安全，这些设定影响整个系统。在XP和Sever 2003下只能设置DEP，而Vista以后的系统三项都能够设置。见下表。Vista之后的系统在安全性上比XP增强了许多。如果你还停留在XP没试过Windows 7，不妨一试Windows 7。系统全局的设定变更后一般都需要重启计算机。


DEP
DEP有Application Opt In、Application Opt Out、Always On、Disabled 4个选项，DEP的设定可能会影响程序的兼容性。XP和Windows 7的系统默认DEP配置是OptIn。在系统中每个选项的作用如下：
OptIn     此设置为默认配置。如果系统中具有能够实现硬件实施 DEP 功能的处理器，则默认情况下将对限定的系统二进制文件和“选择启用”程序启用 DEP。使用此选项时，默认情况下，DEP 仅覆盖 Windows 系统二进制文件。
OptIn配置下，程序除了在Application Compatibility Database中声明选择启用会启用DEP外，还有其他方式确定是否为程序启用DEP。比如Vista以后的系统引入了/NXCOMPAT链接器选项。也正是因此，同样的OptIn配置下，Windows 7会比XP对更多的程序启用DEP。
OptOut     默认情况下，对所有进程启用 DEP。可以使用“控制面板”中的“系统”对话框手动创建未应用 DEP 的特定程序的列表。信息技术 (IT) 专业人员可以使用应用程序兼容性工具包“选择禁用”DEP 保护的一个或多个程序。用于 DEP 的系统兼容性修补程序和填充程序确实可以发挥作用。
OptOut配置下，例外列表中的程序显式声明自己选择禁用，这些程序不会启用DEP。
AlwaysOn     此设置将整个系统置于 DEP 保护范围内。所有进程始终在应用 DEP 的情况下运行。使特定程序不受 DEP 保护的例外列表不可用。用于DEP 的系统兼容性修补程序不起作用。使用应用程序兼容性工具包选择禁用的程序将在应用 DEP 的情况下运行。
AlwaysOff     无论硬件 DEP 是否支持，此设置都不会为系统的任何部分提供 DEP 保护。除非在 Boot.ini 文件中包括“/PAE”选项，否则处理器不会在 PAE 模式下运行。
其中OptIn与OptOut也可以通过系统高级属性中的数据执行保护来设置，如下图，和在EMET中设置是一样的。关于DEP的更多细节具体可参考微软KB875352。


SEHOP
SEHOP仅有Application Opt In与Application Opt Out 2个选项，SEHOP的设定可能会影响程序的兼容性。这里的Application Opt In与Application Opt Out 和DEP中的意义有些不一样，OptIn代表的是在系统中不启用SEHOP，OptOut 代表的是在系统中启用SEHOP。在Windows 7下默认不启用SEHOP，即OptIn。
在系统中启用SEHOP，会在注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]下建立"DisableExceptionChainValidation"的DWORD 项，值为0。
SEHOP也可以对单独程序设置，在注册表IEFO下建立"DisableExceptionChainValidation"的DWORD 项，值为0是启用（OptIn），1是禁用（OptOut）。比如要对MyExecutable.exe启用SEHOP，可以直接导入下面的注册表。

1. Windows Registry Editor Version 5.00
   
2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MyExecutable.exe]
   
3. "DisableExceptionChainValidation"=dword:00000000

复制代码

程序的设置会覆盖系统的设置。
如果你想手动设置系统和程序的SEHOP标志，有现成脚本Set SEHOP flags (DisableExcepti​onChainValidati​on) in registry，但不建议这么做。

ASLR
ASLR在3.0版本中只能看到Application Opt In与Disabled2个选项，AlwaysOn选项必须通过修改注册表才能看到。记得在2.1版本中是能直接看到这3个选项的。Vista以后的系统引入了/DYNAMICBASE链接器选项来确定程序是否OptIn。

建议设置
我建议在系统全局做如下设定，特别是初次使用EMET的朋友
DEP: Application Opt In
SEHOP: Application Opt In
ASLR: Application Opt In
这也是微软的建议安全设定（Recommended Security Settings）。这么设定也许你会觉得安全性降低了，默认只有小部分程序启用了保护，尤其是在XP下。我想说说理由，首先这样不会遇到兼容性问题。其次对于常用的程序可以在特定程序设定中对它添加启用保护。而万一遇到兼容性问题也只需要在特定程序设定中对程序禁止某项保护就行。那么未知程序呢，我有专门的沙盒运行它。
对于初次使用EMET的朋友，除非你没装什么第三方软件或者已经测试过，否则不要将DEP改成AlwaysOn 或是使用预设的最大安全设定（Maximum Security Settings）。在这个预设的配置下，DEP会总是启用（AlwaysOn ），这意味这所有程序都启用DEP保护，没有例外。有些程序在启用DEP保护后会无法启动或者经常崩溃，比如UltraISO在启用DEP保护后会无法启动。也不要将ASLR改成AlwaysOn，不然很可能会蓝屏无法进入系统。
在论坛里见到一些贴子说装了EMET并且使用预设的最大安全设定（Maximum Security Settings）后，出现部分程序无法启动的问题。卸载了EMET还是无法启动程序。记住，系统全局的设定是影响系统的。解决方法很简单，只要把DEP改回OptIn并且重启计算机即可。
理论上说安全性AlwaysOn>Application Opt Out>Application Opt In，但我个人并不太喜欢DEP设定成Application Opt Out。在DEP设定为Application Opt Out时，如果你排除了程序A，但是又在EMET里指定为程序A启用DEP保护，那么程序A最终是会启用DEP保护的，和我预想不符。另外我在DEP设定为Application Opt Out时使用Sandboxie会遇到兼容性问题，必须设置成Application Opt In。


特定程序设定
到了体现EMET价值的时候了，之前的系统全局设定不用EMET也能完成。只要系统设定不是Disabled，EMET能够对单独的程序提供保护。
以DEP为例，系统XP，DEP配置为Application Opt In。我们借助工具Process Explorer来查看进程的DEP状态。Process Explorer里要在Select Columns中勾选DEP Status。
在特定程序设定中没有添加对WinRAR的DEP保护，可以看到下图WinRAR.exe的DEP栏是空的，说明当前是没有启用DEP保护。

在特定程序设定中添加对WinRAR的DEP保护，可以看到下图WinRAR.exe的DEP已经启用DEP保护。

Process Explorer里也能够查看ASLR的状态。但如果你通过EMET为特定程序设置了ASLR保护，那么不要依赖Process Explorer去查看ASLR的状态，很可能不准。比如明明设置了保护，但Process Explorer中ASLR的状态栏却是空白。
EMET 3.0版本开始支持xml格式模板的导入导出。在安装目录Deployment\Protection Profiles下有3个预设的模板，模板内的程序和保护手段都经过测试，基本没有兼容性问题。你可以选择其中的xml模板导入，也可以根据预设模板创建自己的模板，在模板内添加自己常用的程序，比一个个点按钮添加方便多了。

建议设置
建议导入预设的All.xml，里面已经包含了部分常见的Office软件、浏览器、即时通讯工具、播放器等。然后创建个模板，添加你常用的但没有包含在All模板中的Office软件、邮箱客户端、浏览器、即时通讯工具、播放器。比如金山WPS、Foxit Reader、QQ等等。当然你也可以把你常用的软件都添加进去。


排错
如果在对某个程序启用了保护后遇到了兼容性问题，程序总是崩溃。那么一个一个取消保护手段并运行程序，直到程序不崩溃为止。找到影响程序兼容性问题的保护后，比如是DEP引起的，那么关闭对这个程序的DEP保护，仍然启用其他所有的保护。一般来说，出现兼容性问题基本都是DEP或EAF的缘故。注意，Windows7的调试模式和EAF有冲突。如果Windows7开启了调试模式，你有3个选择，关闭调试模式，关闭EAF或者为系统关联调试器。
3.0版本有个进步，系统栏里有个通知程序，当发生错误时会有提示，这比2.1时候要人性化。不象使用2.1版本时，出现问题不知道由哪个引起的。

如果想更深入了解DEP、SEHOP和ASLR等，可以看下Windows ISV Software Security Defenses和这篇文章中最后的链接

9878803

请先激活邮箱

邮箱必须是运营商邮箱（@139.com，@189.cn，@wo.com.cn），或者使用其他被证明非无限制可注册的邮箱，比如某些ISP提供的邮箱，某些大学的邮箱。
请于论坛右上角——设置——密码安全——Email，更改为符合条件的邮箱后，重新接收验证邮件。

飞霜流华

楼主请参照2楼激活下邮箱，这篇帖子很好啊

red_sc

9878803 发表于 2012-10-5 21:00
请先激活邮箱

邮箱状态，当前邮箱已经验证激活，不明白为什么提示请激活邮箱
本文系原创

9878803

red_sc 发表于 2012-10-5 21:17
邮箱状态，当前邮箱已经验证激活，不明白为什么提示请激活邮箱
本文系原创

如果确定是 用手机邮箱激活

请退出帐号 清理浏览器缓存 重新登录

飞霜流华

red_sc 发表于 2012-10-5 21:17
邮箱状态，当前邮箱已经验证激活，不明白为什么提示请激活邮箱
本文系原创

目前账号已激活，请楼主编辑帖子，补上网址等等，以便核对。

另外，本文是卡饭首发吗？楼主有没有在别的地方写过？

─╄0vЁ→宾

楼主，辛苦了

red_sc

飞霜流华 发表于 2012-10-5 21:39
目前账号已激活，请楼主编辑帖子，补上网址等等，以便核对。

另外，本文是卡饭首发吗？楼主有没有在别 ...

已补。卡饭首发，没在其他发表过
url标签没闭合，不敢闭合，一闭合发表出来完全乱掉，改了我2次
卡饭对初级用户的限制太多，并且邮箱验证太苛刻，怕垃圾贴的话没使用防水墙？

飞霜流华

防水墙是有的，主要防止广告。

http://bbs.kafan.cn/forum-213-1.html，楼主请去这里按照格式申请转正。

red_sc

文章已经编辑完。希望版主帮忙把帖子移动到安全区去