Windows 10 Schutz mit EMET besser als ohne

Microsoft wird den Support für EMET zum 31.Juli 2018 einstellen. Wir hatten darüber berichtet. EMET (Enhanced Mitigation Experience Toolkit) schützt die älteren Versionen von Windows, aber auch Windows 10 vor Schwachstellen und Exploids.
Der systemweite Schutz von EMET bietet
Data Execution Prevention (DEP)
Structured Exception Handler Overwrite Protection (SEHOP)
Address Space Layout Randomization (ASLR)
Certificate Trust (Pinning)
Block Untrusted Fonts (Fonts)
Dazu kommt dann noch der anwendungsspezifische Schutz.

Gleich vorneweg: Es geht in dem Bericht nicht darum, dass der Schutz des Defenders und den anderen Sicherheitsmaßnahmen nicht ausreicht, sondern nur darum, dass EMET unter Windows 10 überflüssig ist.

Microsoft selber ist der Meinung dass:

"Windows 10 includes all of the mitigation features that EMET administrators have come to rely on such as DEP, ASLR, and Control Flow Guard (CFG) along with many new mitigations to prevent bypasses in UAC and exploits targeting the browser."

Hier hat dann die Carnegie Mellon University angesetzt und genau diese Aussage untersucht.

Zur Auswahl standen Windows 7, Windows 7 mit EMET, Windows 10 und Windows 10 mit EMET.

windows-10-emet-besser
Die Tabelle wurde auf die neue Windows 10 1607 aktualisiert und ist damit auf dem neuesten Stand.

Das kurze Fazit der Auswertung:

"Fact: Windows 10 supports DEP, ASLR, and Control Flow Guard (CFG).
Fiction: Windows 10 makes EMET irrelevant."

Das zeigt, dass EMET noch nicht vollständig in Windows 10 integriert ist. Hier sollte man aber noch die weitere Entwicklung von Windows 10 abwarten. Denn gerade beim Schutz hat Microsoft immer wieder Änderungen vorgenommen.

"Microsoft’s statement above overlooks the primary reason for someone to run EMET. In particular, users running EMET to protect applications that do not opt in to all of the exploit mitigations that it should. Even though the underlying Windows operating system supports a mitigation, doing so does not necessarily mean that it will be applied to an application…..
…For example, even Microsoft does not compile all of Office 2010 with the /DYNAMICBASE flag to indicate compatibility with ASLR. What is the impact? An attacker may be able to work around ASLR by causing a non-DYNAMICBASE library to be loaded into the process space of the vulnerable application, potentially resulting in successful exploitation of a memory corruption vulnerability. What do we do to protect ourselves against this situation? We run EMET with application-specific mitigations enabled!…"

Das Software Engineering Institute kommt zu dem Schluss, dass es nicht falsch ist auf Windows 10 umzusteigen. Aber auch der zusätzliche Schutz des kostenlosen EMET ist zu empfehlen.
Ist der Einsatz von EMET nicht möglich, lässt sich die systemweite Migration von DEP und ASLR trotzdem durchführen.

Beschrieben wird es durch den Eintrag über die Eingabeaufforderung bcdedit.exe /set {current} nx AlwaysOn

Der systemweite ASLR Schutz kann über die Registry aktiviert werden.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"MoveImages"=dword:ffffffff

Aber zu diesen Einstellungen, lest es euch erst auf der Seite richtig durch.

Windows 10 Schutz mit EMET besser als ohne
weitere Artikel zu diesem Thema
zu den aktuellen News

9 Kommentare zu “Windows 10 Schutz mit EMET besser als ohne

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.