Der Einsatz von EMET lohnt sich vor allem für Programme, die Daten aus dem Internet laden oder über die Sie heruntergeladene Dateien öffnen. Beispiele sind etwa der Internet Explorer oder der Adobe Reader, aber auch bei älteren Office-Versionen kann EMET für mehr Sicherheit sorgen. Das Tool stülpt Programmen nachträglich Schutzfunktionen über, die Auswirkungen von Sicherheitslücken begrenzen oder verhindern. Welche Schutzfunktionen das sind, lesen Sie im Kasten auf dieser Seite.
EMET konfigurieren: Die Verwendung von EMET ist relativ einfach. Nach der Installation starten Sie das Tool und klicken auf „Configure Apps“ und dann auf „Add“. Geben Sie die EXE-Datei des Programms an, das Sie schützen möchten, beispielsweise „C:Program FilesInternet Exploreriexplore.exe“, und klicken Sie danach auf „Öffnen“. EMET aktiviert für das gewählte Programm alle verfügbaren Schutzfunktionen. Bestätigen Sie nun die Einstellungen mit „OK“.
Starten Sie den Internet Explorer und klicken Sie in EMET auf die Schaltfläche neben „Running Processes“. Damit aktualisieren Sie die Prozessliste. In der Spalte „Running EMET“ erscheint jetzt ein grünes Icon, das den aktivierten Schutz signalisiert.
EMET startet dann automatisch mit Windows und zeigt ein Icon im Systray („EMET Notifier“). Sollte eine Anwendung aufgrund einer Verletzung der Sicherheitsregeln beendet werden, zeigt der Notifier eine Warnmeldung. Informationen über Warnungen und Fehler schreibt das Tool zusätzlich auch in eine Protokolldatei, die Sie in der Ereignisanzeige (Eventvwr.exe) unter „Windows-Protokolle ➞ Anwendung“ einsehen können.
20 Tools für mehr Sicherheit am PC
Bei einigen Programmen kann EMET unerwünschte Nebenwirkungen haben. Sollte eine Software unter der Kontrolle von EMET nicht einwandfrei funktionieren, klicken Sie erneut auf „Configure Apps“ und entfernen zuerst das Häkchen in der Spalte „DEP“. Klicken Sie auf „OK“ und testen Sie das Programm erneut. Wenn es nun immer noch Fehler zeigen sollte, deaktivieren Sie weitere Funktionen. Hinweise auf die passende Konfiguration für einige Microsoft-Programme finden Sie in der Datei All.xml. Sie liegt im EMET-Installationsverzeichnis im Ordner „DeploymentProtection Profiles“. Öffnen Sie die XML-Datei in einem Texteditor. Wenn bei einem Programm beispielsweise die Zeile „
Diese Schutzfunktionen bietet EMET
Data Execution Prevention (DEP): Programme sollten Code eigentlich nur in den dafür vorgesehenen Speicherbereichen ausführen. Hackern kann es jedoch gelingen, durch Fehler im Programm einen Pufferüberlauf zu erzeugen und Code in den Datenbereich zu schreiben. DEP soll verhindern, dass dieser Code aktiv werden kann. Die Technik ist auch unter dem Namen NX-Bit (No Execute), XD-Bit oder Enhanced Virus Protection (EVP) bekannt.
Structure Exception Handler Overwrite Protection (SEHOP): Wenn ein Programm mit ungültigen Informationen gefüttert wird, muss es darauf reagieren. Der Anwender erhält eine Fehlermeldung, wenn der Programmierer das Verhalten vorausgesehen hat. Technisch gesehen verzweigt das Programm auf ein Unterprogramm, das den Fehler auswertet und eine Meldung ausgibt (Exception Handling). Angreifer können die Liste der Fehlerbehandlungsroutinen manipulieren und bei Programmfehlern auf Schadcode verzweigen. SEHOP soll diese Liste schützen.
Heap Spray: Bei fast allen Angriffen versuchen Hacker, Schadcode in den Speicher zu kopieren und zu starten. Es ist allerdings nicht sicher, dass der Schadcode tatsächlich an der gewünschten Speicheradresse landet. Deshalb wird der Code an mehrere Stellen kopiert. Der Hacker hofft dann darauf, dass der Code sich wenigstens aus einem Bereich tatsächlich starten lässt. EMET versucht, Speicherseiten, die häufig für Angriffe genutzt werden, zu blockieren und damit den Start des Schadcodes zu verhindern.
Null Page: Diese Schutzfunktion arbeitet ähnlich, wie bei Heap Spray beschrieben, bezieht sich aber auf die Speicherseite „Null“. Laut Microsoft gibt es bisher keine bekannten Möglichkeiten, diese potenzielle Sicherheitslücke auszunutzen.
Export Address Table Access Filtering (EAF): Schadcode muss in der Regel nach sinnvollen Systemfunktionen in den geladenen Modulen suchen, um tatsächlich wirksam zu werden. EAF sorgt über eine Filterfunktion dafür, dass die Suche fehlschlägt.
Madantory Address space layout randomization (ASLR): Über ASLR sorgt EMET dafür, dass einzelne Programm-Module immer an unterschiedlichen Adressen im Speicher landen (Adressverwürfelung). Angreifer können dann nicht wissen, auf welcher Speicheradresse ihr Schadcode verzweigen muss.
Bottom Up ASLR: ASLR wirkt sich nicht auf den gesamten Speicherbereich aus, der einem Programm zur Verfügung steht. Einzelne Speicherbereiche, die über spezielle Programmfunktionen („VirtualAlloc“, „VirtualAllocEx“) reserviert werden, befinden sich nach wie vor an voraussagbaren Positionen. Mithilfe von Bottom Up ASLR „verwürfelt“ EMET auch diese Adressen und erschwert Angriffe damit zusätzlich.
Autor: Thorsten Eggeling
Thorsten Eggeling schreibt seit gut 20 Jahren Artikel für die PC-WELT.