www.MegaLab.it

[developerwinme]

Non mi è chiaro una cosa. Questo sistema protegge da attacchi che partono da quel processo (come credo) oppure che quel determinato processo possa essere attaccato? Conviene anche inserire VLC e flashplayer nella lista ?

Cercando di semplificare al massimo (quindi senza troppo rigore tecnico), possiamo dire che il programma in questione consente di "impedire" che un problema (bug) nella gestione della memoria di un programma (es. Firefox, Internet Explorer, VLC) possa essere sfruttato per eseguire codice nocivo.

Per quanto riguarda la questione Flash Player, mi accodo a sampei, dicendo come, poiché Flash Player non ha un eseguibile, ma è installato sotto forma di "libreria", che ogni programma che ne ha bisogno (come il browser) carica, allora non è possibile attivare EMET direttamente per Flash, ma è possibile farlo per vari programmi che lo possono utilizzare (come i browser).

Spero di essere stato chiaro.

[Neo123]

Developerwinme ti ringrazio per la risposta solo forse mi sbaglio (premesso che non ho ancora avuto modo di usare una sandbox) ma dal mio punto di vista dato che la sandbox e' un "luogo" chiudo o isolato dal sistema non capisco che utilità avrei applicando anche questo controllo.
In generale anche se qualcuno trovasse un bug di un programma da attaccare o venissi infettato mentre uso ad es. Opera dentro una sandbox il tutto dovrebbe restare isolato dal resto del sistema o no?
Sinceramente come ho detto, non ho ancora provato ad usare una sandbox, ma dall'articolo che ho letto tempo fa mi pare di aver capito che erano questi i vantaggi.

[deepdark]

Grazie per le risposte

comunque penso di inserire tutti i processi tranne quelli che mi danno problemi, perché ormai tutti accedono/possono accedere a internet (vedi Office) e tutti hanno dei bug che vengono scoperti giorno per giorno o comunque falle sfruttabili di un certo tipo (vedi i virus che partono senza necessità di essere in account admin). Vediamo cosa succede

Non è che qualcuno ha riscontrato problemi con qualche programma?

[sampei.nihira]

Grazie per le risposte

comunque penso di inserire tutti i processi tranne quelli che mi danno problemi, perché ormai tutti accedono/possono accedere a internet (vedi Office) e tutti hanno dei bug che vengono scoperti giorno per giorno o comunque falle sfruttabili di un certo tipo (vedi i virus che partono senza necessità di essere in account admin). Vediamo cosa succede

Non è che qualcuno ha riscontrato problemi con qualche programma?

Certo,io sono ad esempio uno di quelli.
Ho anche scritto le soluzioni ai 3 sw che mi hanno dato problemi.
Mentre un quarto ho preferito, anche per altri motivi, sostituirlo.
Quali ?
Basta cercare....

[developerwinme]

Non è che qualcuno ha riscontrato problemi con qualche programma?

Io posso testimoniare di aver avuto problemi con Skype e E-Mule, anche se per risolvere è sufficiente disattivare alcune funzioni (mi sembra DEP, ma non ne sono sicuro).

Developerwinme ti ringrazio per la risposta

...

Hai visto giusto, ma poiché la Sandbox non è insuperabile (come ogni software può avere dei bug e dei limiti), è comunque consigliabile applicare EMET come protezione in più, a patto che non crei problemi di funzionamento.

[farbix89]

Io posso testimoniare di aver avuto problemi con Skype e E-Mule, anche se per risolvere è sufficiente disattivare alcune funzioni (mi sembra DEP, ma non ne sono sicuro).

Confermo,ho avuto problemi con il browser,non dà accesso fisico alla cartella di destinazione (limitazione che può dar fastidio a emule e skype)

[Rumez]

Fatto una prova veloce pure io..( windows 7 32 bit )

Con protezione massima ho avuto problemi con l'aggiornamento di java..

[Giascar]

Io lo sto provando su Windows 7 a 64-bit.
Con impostazione massima java non ne voleva sapere di aggiornarsi, ho risolto riportando momentaneamente su Reccomended. Sono in attesa di vedere come si comporterà con l'aggiornamento di altri software, magari sfruttando le impostazioni consigliate da sampei (cioè DEP: Opt-out, SEHOP: Opt-out ASLR: Opt-in)
Per quanto riguarda l'uso quotidiano, niente da segnalare.

[Sabbb]

A me EMET mi inibisce l'uso del programma UltraIso (si apre solo per un secondo,per poi chiudersi da solo-UltraIso)
(Settato con protezione max)

[developerwinme]

a 64-bit

Non vorrei ricordare male, ma mi sembra che su Windows a 64 bit, DEP sia sempre su Always Enabled.

[Giascar]

Non vorrei ricordare male, ma mi sembra che su Windows a 64 bit, DEP sia sempre su Always Enabled.

Onestamente non lo so, però modificando solo quel parametro gli aggiornamenti Java hanno ricominciato a funzionare.

[Giascar]

Andando a frugare per la rete ho trovato questo:

http://blogs.technet.com/b/srd/archive/2009/06/05/understanding-dep-as-a-mitigation-technology-part-1.aspx

In pratica la DEP è sempre attiva per i processi a 64-bit. Nei processi a 32 bit può essere scelta la modalità che si desidera. Java è a 32 bit, quindi l'impostazione della DEP influisce sugli aggiornamenti (e, mi pare, solo su quelli).

[sampei.nihira]

Chill Out, altrove, ci informa che è disponibile la nuova versione 2.1:

http://blogs.technet.com/b/srd/archive/ ... lable.aspx

che è liberamente sovrascrivibile (ho già provato) alla vecchia versione.
Anche per coloro che hanno XP nella configurazione applicazioni sarà disponibile la nuova lista "Bottom-up Rand" direttamente dopo l'installazione.

Quindi aggiornate.

[developerwinme]

Grazie per la segnalazione, sampei, provvedo ad aggiornare quanto prima.

[developerwinme]

Disponibile la versione 3.0 -> http://www.MegaLab.it/8045/disponibile- ... olkit-emet

[Nichi]

Le impostazioni da adottare in "configure system" che dovrebbero evitare problemi a tutti sarebbero:

Data Execution Prevention (DEP): Opt-out
Structured Exception Handling Overwrite Protection (SEHOP): Opt-out
Address Space Layout Randomization (ASLR): Opt-in

Volevo sapere se queste impostazioni sono ancora valide, e se sul s.o. xp il DEP (unica opzione modificabile) deve essere impostato su Opt-out?

[developerwinme]

Le impostazioni da adottare in "configure system" che dovrebbero evitare problemi a tutti sarebbero:

Data Execution Prevention (DEP): Opt-out
Structured Exception Handling Overwrite Protection (SEHOP): Opt-out
Address Space Layout Randomization (ASLR): Opt-in

Volevo sapere se queste impostazioni sono ancora valide, e se sul s.o. xp il DEP (unica opzione modificabile) deve essere impostato su Opt-out?

Se non hai problemi con qualche applicazione, puoi tranquillamente impostare come suggerito da sampei.

[sampei.nihira]

Solitamente non intervengo mai (spero sia una mia dote apprezzata ) sopra i consigli altrui ma in questo caso lo ritengo "necessario".

Con XP a livello di "configure system" l'unica opzione disponibile è il DEP ma la sua modifica o meno dipende, secondo me, dal FS.
Quindi la risposta per l'aspetto configure system, quando possibile, è si.
Ricordo che con XP occorre installare il NET framework 2 per usufruire della funzionalità di EMET.

[Minosse]

Scusate, è possibile usare "Maximum Security Settings" escludendo alcuni software? ho fatto massima sicurezza e per due giorni, mi sono dannato per un gioco che non voleva partire
Ripristinando tutto, è andato tutto liscio..

[sampei.nihira]

E' interessante rilevare che la nuova 3.5 TP è installabile anche su XP sp3.
Mi è difficile intuire come un OS quale XP mancante di ASLR trae beneficio dalle nuove mitigazioni ROP.

Se qualche anima pia (tipo Eraser e company.....) vorrà delucidarmi !!!

Ed ancora le nuove mitigazioni ROP (5) sono disattivate a default.
Quindi è l'utente che deve attivarle.

Attenzione perché qualche utente ha riportato problemi con CIS (e mi pareva strano..... ) con interazione di SandboxIE.

In presenza di malfunzionamenti vi scrivo le mitigazioni che dovete disattivare in ordine di importanza per verificare se incompatibili con un sw:

1) Caller

2) Simexcflow

3) Stackpivot

Quindi la terza sarà quella meno probabile,la seconda di più........

p.s. Gli utenti che si chiedono se nel mio pc con XP io ho installato EMET 3.5 la risposta ovviamente è sì.