EMET: To be, or not to be, A Server-Based Protection Mechanism
大家好 – 我是平台PFE Dan Cuomo,来讨论一个在现场常见的问题: “我的客户正在部署EMET,想知道它是否支持服务器操作系统。” 表面上看,这个问题有一个简单的答案,但稍加探究,问题很快就变成了: “EMET能保护服务器工作负载吗?” 这是一个更复杂的问题,通常当我们告诉他们“这要看情况”时,会引发一些基于邮件的翻白眼。他们其实也不是想问这个问题,所以在进一步探究后,会发现许多不同的问题,所有这些问题都需要比典型的“是”或“否”问题更多的分析。因此,在接下来的几段中,我们将讨论这个问题的原因,以及如何与组织中的决策者进行这种对话。
EMET是否支持服务器操作系统?
服务器支持问题的简单答案是 emphatic “是!” 正如你在EMET支持文章(摘要如下)中看到的,EMET 5.2可以安装在大多数当前支持的操作系统(截至本文撰写时)及其衍生版本上。例如,客户端操作系统7、8和8.1都受支持,服务器操作系统2008、2008 R2、2012和2012 R2也受支持。(注意EMET 5.5 Beta提供对Windows 10的支持)
| 操作系统(最低支持) | EMET 5.2 |
|---|---|
| Windows 10 | N |
| Windows 8.1 | Y |
| Windows 8 | Y |
| Windows Server 2012 R2 | Y |
| Windows Server 2012 | Y |
| Windows 7 Service Pack 1 | Y |
| Windows Server 2008 R2 Service Pack 1 | Y |
| Windows Server 2008 Service Pack 2 | Y |
| Windows Vista Service Pack 2 | Y |
[简短而甜蜜]: 问:EMET是否支持服务器操作系统? 答:是的,EMET支持当前支持的服务器操作系统。
EMET能保护我的遗留服务器操作系统吗?
客户考虑部署EMET的一个原因是为了保护他们的遗留系统,如Windows XP(生命周期结束:2014年4月8日)和Server 2003(生命周期结束:2015年7月14日)。许多客户可能仍在想他们是否真的需要迁移,甚至如何开始。这个链接和这个Tech Ed视频“It’s the End of the World As You Know It…Windows Server 2003 End of Life”会给你大量有用的信息。如果你想要Cliffsnotes,是的,你真的需要迁移;你不会在这个页面上找到下载EMET的链接。
你可能想知道,如果你安装EMET,是否可以避免将遗留系统迁移到更新的、支持的操作系统。前面链接以及这个视频中缺少EMET应该清楚地表明答案是“不”。你仍然需要迁移出遗留操作系统。此外,一旦服务器操作系统停止支持,EMET在该平台上也不再受支持。例如,既然我们已经过了7月14日,你企业中任何剩余的2003系统都不再受支持。同样,这些系统上的EMET应用程序也不受支持。
EMET主要缓解针对Microsoft Office、Internet Explorer和Adobe Acrobat等应用程序的用户模式漏洞利用。因此,在迁移过程中,它可能会提供一些额外的保护,但它不会保护你免受所有针对此遗留平台的漏洞利用,并且它肯定不是企业安全的长期“银弹”。你最安全的行动方案是将这些遗留系统升级到更新的、支持的操作系统。
注意:刚刚读完最后一句话,你们中的许多人目前误解了我所说的,认为如果你有一个只在遗留操作系统上运行的关键任务应用程序,你就不需要升级。停止这种想法!!!
开玩笑 aside,我会告诉你,几乎我遇到的每个客户都认为他们是规则的例外。实际上,真正的例外很少。如果你不知道该怎么办或如何开始,我恳请你联系我们,看看我们如何帮助你。
[简短而甜蜜]: 问:EMET会保护你的遗留操作系统吗? 答:不会。虽然EMET可以缓解遗留系统上的一些潜在漏洞,但它不应被视为迁移到支持操作系统的长期替代方案。
我应该用EMET保护什么?
好的,让我们回顾一下。我们现在知道EMET可以安装在支持的服务器操作系统上。此外,在迁移出遗留操作系统时,它可以提供一定程度的保护。但是你应该配置EMET在这些环境中保护哪些应用程序?
在考虑应用程序保护策略时,请记住“代理”很可能已经遍布你的企业,消耗宝贵的系统资源。我经常听到客户说,“不是另一个代理!?”考虑到这一点,专注于基于风险管理的方法。这将包括以下应用程序:
- 最可能被利用的
- 从外部或不受信任的来源消费内容的
最可能被利用的:
除了是最不受欢迎的高中年鉴奖项,这个类别描述了攻击者高度针对的应用程序。这通常归结为应用程序的广泛使用。保护攻击者认为会带来高回报的应用程序(例如,那些影响许多人的应用程序)应被视为 essential。
一个例子是Microsoft Word或Adobe Acrobat。这两个应用程序都有庞大的用户群。攻击者会知道,如果成功,漏洞利用会影响许多客户。相比之下,针对“自制”LOB应用程序的漏洞利用会产生低回报。
从外部或不受信任的来源消费内容的应用程序
这个类别描述了消费或访问来自外部或不受信任来源(如互联网)的内容的应用程序。例如,Microsoft Word和Adobe Acrobat在用户从互联网下载并打开*.docx或*.pdf时处理“不受信任”的内容。然而,从内网SharePoint站点打开*.docx或*.pdf风险较低。另一个例子是任何可以访问互联网的Web浏览器。
当你首次配置EMET时,你会看到如下所示的向导: ](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/47/emet1.png)
如果你选择“使用推荐设置”选项(如上所示),你正在配置EMET使用安装程序附带的“Recommended Software.xml”保护配置文件。包含的应用程序(如下所示)由EMET产品组推荐,并经过测试以验证,大体上,所选的缓解措施将减少EMET产生的误报和不兼容性。
注意:误报和不兼容性很可能发生,因为许多应用程序使用了缓解措施旨在阻止的确切行为。请查看EMET缓解指南以获取已知应用程序缓解兼容性问题的列表。
还请查看Kurt Falde关于排除EMET缓解应用程序崩溃的文章,以获取当你发现不兼容的应用程序缓解措施时该怎么办的信息。
彻底测试你的配置是 imperative,确保试点包含目标系统的良好代表。例如,确保包括企业中将遇到的所有必要插件或附加组件,适用于客户端和服务器操作系统。
包含的保护配置文件是开始低风险的好方法。这些配置文件包含“低 hanging fruit”并提供最大的收益。推荐软件保护配置文件中包含的应用程序(如下所示)涵盖了一系列流行应用程序和那些消费外部或不受信任内容的应用程序。 ](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/47/emet2.png)
流行保护配置文件是推荐保护配置文件的超集。它添加了许多符合相同条件的额外应用程序。一旦你测试了推荐列表中的应用程序,就在代表你目标环境的一组机器上测试流行列表中的应用程序。
[简短而甜蜜]: 问:你应该用EMET保护什么? 答:坚持使用推荐和流行保护配置文件中的应用程序。这些包括经过测试、广泛使用并可能处理外部或不受信任内容的应用程序。
关于通用Microsoft进程呢?
不。从技术上讲,你可以要求EMET保护系统上运行的任何应用程序。但是,请记住,这些额外的应用程序未经测试,可能不会按预期行为。我们在EMET缓解指南中特别指出,“系统和网络服务也不在EMET的范围内。尽管技术上可以使用EMET保护这些服务,但我们不建议你这样做。”
这包括你真正关心的服务器,如域控制器。在你我之间,如果你正在考虑保护LSASS.EXE或MSExchangeIS.exe,这就是我们在“行业”中称之为“RGE”(简历生成事件)。放下鼠标,慢慢走开…
[简短而甜蜜]: 问:关于通用Microsoft进程呢? 答:不,坚持使用推荐和流行配置文件列表中的应用程序。
我还应该考虑什么?
你们中一些精明的读者可能对自己说, “现在等等,Dan。我们遵循非常严格的关于什么可以或不可以安装在服务器上的指南。我们有强制规则防止安装保护配置文件中列出的应用程序。” “事实上,我们甚至确保管理用户无法从服务器访问互联网。我们确信你之前提到的应用程序都不会到达我们的服务器。”
在完全丢弃EMET之前,重要的是要注意EMET确实提供其他你可能能够利用的功能,如证书信任固定。但是,如果你能诚实地告诉我,那些应用程序无法安装到你的系统上,并且它们永远无法接触不受信任的内容,你可能不需要在服务器上安装EMET。顺便说一句,如果你在寻找PFE,我知道有人会喜欢在那种环境中工作 J
对于这些客户,我通常推荐Microsoft安全风险评估(#ShamelessPlug)或其他安全评估,帮助确保你的 perception 是现实。我得到的一些最好建议是“信任,但验证”。
相反,也许你的团队太大或太分散。也许你没有必要的流程、程序或技术来消除服务器环境中的这种风险。在这种情况下,我建议将EMET部署到你的服务器基础设施中。
[简短而甜蜜]: 问:我还应该考虑什么? 答:看看你的IT团队结构。审查你的流程和程序。让第三方查看它们。在决定你不需要它之前,验证EMET不能帮助你!
总结
正如你现在所看到的,这个看似简单的问题很快演变成一个复杂的问题。EMET在服务器上受支持,并可用于增强广泛平台的安全性。使用内置保护配置文件作为基线,并在部署前彻底测试你的目标系统。
最后,如果你的服务器安全技术、流程和程序是万无一失的,那么请随意将精力集中在其他地方。否则,考虑将EMET作为你IT安全“流感疫苗”的一部分。花时间现在推出它,在你出现问题之前。
谢谢阅读, Dan Cuomo