2005006

Windows endlich sicher mit Emet

22.02.2015 | 10:09 Uhr |

Mit dem Microsoft-Programm EMET und weiteren Spezial-Tools sichern Sie Windows und Programme so ab, dass Viren keine Chance mehr haben. Die einmalige Konfiguration ist schnell erledigt und schützt dauerhaft.

Fast alle raffinierten Viren nutzen Schwachstellen in Programmen, um sich ins System einzuklinken. Betroffen sind aber meist nicht Programme von Microsoft, sondern Tools von anderen Herstellern, etwa der Adobe Reader oder Flash. Das hat der Sicherheitsspezialist Secunia ermittelt. Im Jahr 2013 fand Secunia in den 50 meistgenutzten Programmen 1208 Sicherheitslücken. Nur 24 Prozent davon steckten in Programmen von Microsoft. Es lohnt sich also, installierte Programme mit einem Zusatzschutz gegen Sicherheitslücken auszustatten. Microsoft hat genau für diesen Zweck das Programm EMET bereitgestellt. Hier erfahren Sie, wie Sie das Tool nutzen.

Hier geht's zum Download von EMET.

EMET 5: Zusätzlicher Schutz für bestimmte Programme

Windows-Programme können mittlerweile eine Vielzahl von Schutzfunktionen nutzen, um Angreifern das Leben schwer zu machen. Jedoch setzt nicht jede Software alle verfügbaren Möglichkeiten ein. Das liegt teilweise an Fehlern, die jedem Programmierer unterlaufen können. Zum andern gibt es viele ältere Software-Produkte, bei deren Erstellung die neuen Schutztechniken dem Programmierer noch gar nicht zur Verfügung standen. Mit EMET stellt Microsoft eine kostenlose Anwendung zur Verfügung, mit deren Hilfe Sie selber Programme besser gegen Viren absichern können. Sie liefern den Programmschutz einfach nach.

Darum lohnt sich der Einsatz von EMET

Ein Schadcode sollte eigentlich vom installierten Antivirenprogramm gestoppt werden. Meist funktioniert das auch. Doch gehen die Programmierer von Viren immer raffinierter vor. So testen sie ihre Viren meist gegen verbreitete Antivirenprogramme, bevor sie diese ins Internet entlassen. Erst wenn die Tools von beispielsweise McAfee oder Symantec den neuen Schädling nicht mehr melden, verbreiten sie den Code im Web oder per Mail.

Theoretisch könnten die Virenprogrammierer ihre Schädlinge auch gegen EMET optimieren. Doch das Spezialprogramm ist schlichtweg zu wenig verbreitet, als dass sich die Kriminellen darum kümmern. Wenn Sie aber EMET einsetzen, bauen Sie die Schutzmauer für Ihren PC ein ganzes Stück höher.

Der Einsatz von EMET lohnt sich vor allem für Programme, die Daten aus dem Internet laden oder über die Sie heruntergeladene Dateien öffnen. Beispiele sind etwa der Internet Explorer oder der Adobe Reader. Aber auch bei älteren Office-Versionen kann EMET für mehr Sicherheit sorgen. Das Tool stülpt Programmen nachträglich die neuen Schutzfunktionen über.

Der Nachteil von EMET: Es bringt nur für einige verbreitete Anwendungen vorkonfigurierte Regeln mit. Wollen Sie selber weitere Programme schützen, tun Sie unter Umständen zuviel des Guten und die Tools laufen dann nicht mehr stabil. Lösungsvorschläge für dieses Problem beschreiben wir weiter unten.

Die Schutzfunktionen des Microsoft-Tools EMET

Die Schutzfunktionen von EMET bieten etwas Besonderes. Sie wurden speziell gegen typische Methoden der Angreifer entwickelt. Ein Beispiel: Die Ausnutzung von Buffer-Overflows gehört zu den häufigsten Angriffsmethoden, mit denen Kriminelle versuchen, Schad-Software auf PCs zu bringen. Vereinfacht ausgedrückt, geht es bei diesen Fehlern immer darum, ein Programm mit mehr Daten zu füttern, als es erwartet oder verarbeiten kann. Der eigentlich vorgesehene Speicherbereich für die Anwendung reicht nicht aus. Darum werden Daten, darunter auch der feindliche Code, in ungeschützte Speicherbereiche geschrieben. Das führt in vielen Fällen zum Absturz des Programms. Bei einem erfolgreichen Angriff wird zudem der eingebrachte Schadcode ausgeführt und kann so ins System gelangen.

Für den Buffer-Overflow-Fehler ist der Programmierer des angegriffenen Tools verantwortlich. Er hat die Dateneingabe beziehungsweise die Länge der Daten nicht ausreichend geprüft. Buffer-Overflows gibt es in mehreren Varianten. Gegen die meisten Varianten hat Microsoft schon vor Längerem die Funktion „Data Execution Prevention (DEP)“ bereitgestellt. Sie ist in den Programmier-Tools von Microsoft und in Windows verfügbar. Sie verhindert, dass Code aus bestimmten Speicherbereichen ausgeführt wird. Gegen andere Varianten eines Buffer-Overflows schützt zum Beispiel die Funktion „Structure Exception Handler Overwrite Protection (SEHOP)“. Und die „Address space layout randomization (ASLR)“ sorgt für wechselnde Speicheradressen von Programmen. So kann ein Virenprogrammierer seinen Code schlechter in ungeschützte Bereiche gelangen lassen, da er nicht vorhersagen kann, wo diese sein werden.

Microsoft zählt insgesamt 14 Schutzfunktionen von EMET 5. auf. Sie finden ihre Bezeichnungen in der Tabelle auf der nächsten Seite. Technisch Interessierte finden dort auch Links zu ausführlichen, allerdings meiste englischsprachigen Beschreibungen. Die Texte sind teilweise anspruchsvoll, da sie komplexe Angriffs- und -verteidigungsstrategien beschreiben.

Neu in Version 5 von EMET:  In der neuen Version sind zwei Schutzfunktionen hinzugekommen. Es ist einmal die Attack Surface Reduction (ASR) und das Export Address Table Filtering Plus (EAF+), was eine Verbesserung der älteren Funktion EAF ist. ASR ist dafür zuständig, sicherheitskritische Plug-ins wie Java oder Flash abzusichern. So lässt sich nun mit EMET festlegen, dass im Internet Explorer das Java-Plug-in nur im Intranet ausgeführt wird, bei Web-Zugriffen aber blockiert wird. Das ist vor allem für Firmen interessant, die intern eine Java-Anwendung nutzen, sich aber vor Angriffen auf Java aus dem Internet schützen möchten. Weiterhin lässt sich etwa verbieten, dass Microsoft Word automatisch Flash-Inhalte lädt. Die neue Funktion Export Address Table Filtering Plus (EAF+) schränkt den Zugriff für Programme von Drittanbietern auf die Windows-API stark ein. Das erledigte schon die Funktion EAF, nun aber werden auch die DLL-Dateien NTDLL und KERNEL32 geschützt.

EMET nutzen: Schritt für Schritt zur geschützten Anwendung

Schritt 1:  EMET benötigt die Laufzeitumgebung .NET Framework 4.0 oder neuer. In der Regel ist diese auf aktuellen Windows-Systemen bereits installiert. Sie prüfen das über „Systemsteuerung -> Programme und Funktionen“ beziehungsweise „Systemsteuerung -> Programme Deinstallieren“.In der Software-Liste muss „Microsoft .NET Framework 4.0“ oder höher auftauchen. Sollte das nicht der Fall sein, installieren Sie das Programm nun.

Wählen Sie im Installationsassistent von EMET den Punkt „Use Recommended Settings“. Dann schützt das Programm gängige Tools wie Adobe Reader und Java sowie einige Microsoft-Programme wie den Internet Explorer automatisch.
Vergrößern Wählen Sie im Installationsassistent von EMET den Punkt „Use Recommended Settings“. Dann schützt das Programm gängige Tools wie Adobe Reader und Java sowie einige Microsoft-Programme wie den Internet Explorer automatisch.

Schritt 2:  Führen Sie die heruntergeladene EMET-Datei per Doppelklick aus. Der Installationsassistent bietet im Schritt „EMET Configuration Wizard“ den Punkt „Use Recommended Settings“ an. Wählen Sie diesen Punkt, damit EMET gängige Tools wie Adobe Reader und Java sowie einige Microsoft-Programme wie den Internet Explorer und Office automatisch in den EMET-Schutz mit aufnimmt. Nach der Installation ist in der Regel kein Neustart fällig.

Schritt 3:  Starten Sie EMET über „Windows-Symbol -> Enhanced Mitigation Experience Toolkit -> EMET GUI“. Das englischsprachige Tool zeigt Ihnen nach dem Start im unteren Bereich eine Liste mit allen laufenden Programmen und Prozessen an. In der Spalte „Running EMET“ erscheint ein grünes Symbol, sobald EMET dieses Programm beziehungsweise diesen Prozess schützt.

Möchten Sie ein bisher noch ungeschütztes Programm hinzunehmen, dann schließen Sie dieses zunächst. Klicken Sie in EMET auf die Schaltfläche „Apps“ und dann auf „Add Applikation“. Es öffnet sich ein gewohntes Dateiauswahlfenster. Die meisten Programme finden Sie unter „C:\Programme“. Ist das gewünschte Tool dort nicht zu finden, dann suchen Sie es über „Windows-Symbol -> Programme -> Programmname“. Doch statt es über die linke Maustaste zu starten, öffnen Sie mit der rechten das Kontextmenü des Programmeintrags. Über „Eigenschaften“ sehen Sie nun den Programmpfad des Tools.

Möchten Sie etwa Google Chrome zur Schutzliste von EMET hinzufügen, gehen Sie so vor: Klicken Sie in EMET auf die Schaltfläche „Apps“ und dann auf „Add Application“. Sie finden Chrome unter „C:\Benutzer\IhrBenutzername\AppData\Local\Google\Chrome\Application\Chrome.exe”. Damit Sie diesen Ordner sehen können, aktivieren Sie „Versteckte Ordner anzeigen“ . Das geht im Windows Explorer unter „Extras -> Ordneroptionen -> Ansicht“.

EMET zeigt Chrome im Fenster „Apps“ nun mit an. Das Tool wählt bei jedem von Ihnen hinzugefügten Programm die voraussichtlich besten Schutzfunktionen aus. Diese Einstellungen sollten Sie zunächst übernehmen und nicht sofort Haken bei allen Funktionen setzen. Denn dann läuft das geschützte Programm unter Umständen nicht mehr zuverlässig.

Schritt 4:  Starten Sie das in Schritt 3 konfigurierte Programm. In EMET taucht jetzt in der Spalte „Running EMET“ neben diesem Prozess ein grünes Symbol auf. Probieren Sie alle Funktionen des nun gesicherten Programms aus. In dem vorgestellten Fall Google Chrome taucht „Chrome.exe“ mehrmals auf, da der Browser für jeden Tab einen neuen Prozess startet. Falls bei Ihnen hinter einem Chrome-Prozess kein Haken bei „Running EMET“ erscheint, war dieser trotz geschlossenem Browser beim Hinzufügen zu EMET noch aktiv. Nach einem Windows-Neustart sollte sich das Problem erledigt haben.

Schritt 5:  Sollten beim Testen des Programms Probleme auftreten, klicken Sie in EMET erneut auf „Apps“, und markieren Sie das instabile Programm. Nun deaktivieren Sie eine der 14 Schutzfunktion. In den meisten Fällen können Sie nur raten, welche Schutzfunktion die Störung verursacht. Deaktivieren Sie also am besten von rechts nach links nacheinander eine Schutzfunktion nach der anderen. Jedes Mal, wenn Sie einen Haken entfernt haben, testen Sie das Programm erneut. Sollte es mit einem Programm gar nicht klappen, können Sie es unter „Apps“ markieren und mit „Remove Selected“ wieder aus EMET entfernen.

Hier geht's zum Download von EMET.

Virtualisierung: Schutz gegen ungewollte Systemänderungen

Mit der kostenlosen Software Time Freeze können Sie für Windows die Zeit anhalten. Denn alle Änderungen in Windows und an den Dateien der Systempartition kann Time Freez mit einem PC-Neustart rückgängig machen.
Vergrößern Mit der kostenlosen Software Time Freeze können Sie für Windows die Zeit anhalten. Denn alle Änderungen in Windows und an den Dateien der Systempartition kann Time Freez mit einem PC-Neustart rückgängig machen.

Mit dem Microsoft-Tool EMET (oben) schützen Sie Ihr System gegen raffinierte Virenangriffe. Mit einem Antivirenprogramm etwa Avira Free Antivirus blockieren Sie alle anderen Viren. Doch gegen ungewollte Systemänderungen durch schlecht programmierte Tools oder durch das versehentliche Verstellen von Optionen sind Sie noch nicht geschützt. Doch un­geniertes Ausprobieren von Tools oder anderer Einstellungen ist trotzdem möglich: Das kostenlose Tool Time Freeze liefert eine Art „Einfrierfunktion“ für Windows. Wenn Sie Time Freeze aktivieren, leitet es alle Änderungen an Windows und an den Dateien auf der Systempartition in eine Virtualisierung um. Alles, was Sie nun installieren oder ändern, ist nach dem Ausschalten von Time Freeze und einem Windows-Neustart wieder komplett aus dem System verschwunden.

Time Freeze nutzen:  Bei der Installation von Time Freeze können Sie die Standardeinstellungen des Assistenten übernehmen. Zum Abschluss ist ein PC-Neustart fällig. Starten Sie dann das Programm Time Freeze.

Es empfiehlt sich, einen Haken bei „Show Toolbar on your Desktop“ zu setzen. So bekommen Sie angezeigt, in welchem Modus Sie sich gerade befinden. Arbeitet das System normal, erscheint „OFF“. Den Modus fürs Ausprobieren von Programmen starten Sie über einen Klick auf „Start Time Freeze“. Das Desktop-Symbol wechselt von „OFF“ zu „ON“. Nun können Sie weitgehend gefahrlos experimentieren. Völlig ungehemmt sollten Sie dennoch nicht agieren. Wenn Sie etwa einen PC-Virus starten, der alle Dokumente verschlüsselt, dann wäre das zwar nach einem Neustart rückgängig gemacht, aber nur, wenn sich die verschlüsselten Dokumente auf der Systempartition befinden. Liegen Ihre Dokumente etwa auf dem Datenlaufwerk D:, dann sind sie nicht geschützt und bleiben nach dem Neustart verschlüsselt. 

0 Kommentare zu diesem Artikel
2005006