www.MegaLab.it

Enhanced Mitigation Experience Toolkit (in breve, EMET) è un interessante strumento gratuito, distribuito da Microsoft, che permette di migliorare il livello di sicurezza del proprio computer mediante un hardening dei processi in esecuzione.

In termini meno tecnici, possiamo dire che il software si occupa di fare in modo che risulti più difficile, da parte dei malware, sfruttare eventuali difetti di programmazione presenti nelle applicazioni protette. L'applicativo consegue questo obiettivo attivando una serie di protezioni aggiuntive relative alla gestione della memoria (e non solo) per tutti i processi protetti.

Qualche tempo fa il software è stato oggetto di un aggiornamento, che ne ha portato il numero di versione a 3.0, introducendo alcune novità interessanti.

Una delle più rilevanti per il pubblico consumer è l'introduzione di EMET Notifier, un componente che, avviandosi automaticamente all'accensione del computer e inserendosi nella barra dell'orologio, si occupa di registrare tutti gli interventi effettuati dal software a protezione delle varie applicazioni e di notificare quando un applicativo viene terminato per via della violazione di una delle politiche di sicurezza stabilite dal programma.

La funzionalità offerta da questo componente risulta molto interessate, e di particolare utilità per quei casi in cui un programma non funziona correttamente proprio a causa di EMET (situazione non troppo rara, considerato che anche software molto noti come Skype e eMule presentano dei problemi qualora siano utilizzati in combinazione con il programma), e non si riesce a determinare la reale causa del problema e a risolverlo.

Tuttavia, gli utenti più attenti alle prestazioni potrebbero voler evitare di allungare il processo di avvio del sistema di qualche secondo e di dedicare una porzione della RAM al processo relativo. Questo risulta particolarmente interessante considerando che l'attuale versione 3.0.0 del programma non è molto efficiente nell'uso della memoria di sistema (come si può vedere nell'immagine sotto, ripresa da Process Explorer, dove si nota una occupazione della memoria virtuale pari a ben 500 MB, sebbene la memoria effettivamente occupata dal software sia di circa 35 MB).

Fortunatamente è però possibile disattivare il componente, sebbene la procedura necessaria per farlo richieda di agire dal registro di sistema, in quanto non è presente alcuna voce in merito nell'interfaccia del programma. Per questo motivo, raccomando di fare particolare attenzione nei passaggi che seguono, in quanto il rischio di apportare danni al funzionamento sistema è concreto.

La procedura che permette di farlo, e che segue, è stata da me verificata su Windows 7 64 bit Service Pack 1, ma non dovrebbero esserci differenze di rilievo facendo uso di un sistema differente.

Per prima cosa, avviamo l'Editor del Registro di sistema con i privilegi di amministratore. Per farlo, apriamo il menu Start, cerchiamo regedit, clicchiamo con il tasto destro sulla prima voce presente e poi su Esegui come amministratore. Se viene visualizzata una finestra di Controllo Account Utente, inseriamo la password e/o confermiamo.

Nella finestra che viene visualizzata, portiamoci sulla chiave HKLM\SOFTWARE\Microsoft\EMET, clicchiamo con il tasto destro in un punto vuoto nell'area di destra e successivamente su Nuovo -> Valore DWORD (32 bit).

Scegliamo NotifierLogLevel come nome della voce, e impostiamo il suo valore a 0, se non già così.

Così facendo abbiamo disabilitato il servizio di salvataggio degli eventi di EMET, che si occupa di tenere traccia di ogni azione del software, salvando una voce nel Registro Eventi del sistema operativo. Per completare l'opera, e disattivare anche EMET Notifier, dobbiamo procedere a rimuoverlo dall'avvio automatico del sistema. Per farlo, utilizzeremo l'Utilità di Configurazione di Sistema, inclusa in tutti i sistemi operativi Microsoft da Windows XP in poi. Va da se che, se preferite, potete utilizzare qualunque altro software atto allo scopo, come il sempre ottimo Autoruns di Microsoft.

Premiamo la combinazione di tasti Win+R, inseriamo msconfig nella finestra che ci viene presentata e diamo Invio. Se viene visualizzata una richiesta di Controllo Account Utente, inseriamo la password e/o confermiamo.

A questo punto, verrà visualizzata una finestra con varie schede: quella che ci interessa è Avvio; aprendola ci troviamo di fronte all'elenco dei software che vengono avviati automaticamente all'accesso al sistema. Qui localizziamo la voce Enhanced Mitigation Experience Toolkit e togliamo la spunta dalla relativa casella.

Clicchiamo su OK e riavviamo il sistema.

Al riavvio, EMET Notifier risulterà correttamente disattivato, mentre le altre componenti di EMET continueranno a svolgere il loro compito come di consueto. Questa modifica può comportare alcuni effetti collaterali di cui tenere conto: in particolare, in caso un software venga terminato da EMET, non sarà più possibile esserne notificati immediatamente, quindi la risoluzioni di eventuali problemi di compatibilità potrebbe risultare più complicata.

Nonostante abbia eseguito diverse prove, anche su PC differenti, non posso garantire che non ci siano altri effetti collaterali legati alla disattivazione di EMET Notifier: in caso doveste scoprirne qualcuno, non esitate a segnalarlo nei commenti, così da poter aggiornare l'articolo di conseguenza. In ogni caso, raccomando di procedere con la disattivazione solo nel caso in cui lo si ritenga necessario.

In caso si decidesse di riattivare il programma, sarà sufficiente rimuovere la chiave di registro creata in precedenza e riabilitare l'avvio automatico.