Enhanced Mitigation Experience Toolkit - Anwendungen gegen Angriffe härten

Funktionalität: Mit dem Enhanced Mitigation Experience Toolkit, kurz EMET, stellt Microsoft ein Gratis-Utility zur Verfügung, dass es Angreifern erschwert, Schwachstellen in Software auszunutzen. Die erforderlichen Sicherheitstechniken stecken bereits in Windows, werden aber nicht von allen Programmen verwendet. Das lässt sich mit dem Tool nachholen. Zu den aktivierbaren Schutzmechanismen zählen Data Execution Prevention (DEP) oder Address Space Layout Randomization (ASLR). Welche Methoden der Gefahrenabwehr EMET unterstützt, hängt von der eingesetzten Betriebssystemversion ab. So ist etwa ASLR auf Systemen mit Windows XP oder Windows Server 2003 nicht verfügbar. Die Abhängigkeiten beschreibt die mit dem Tool installierte PDF-Hilfedatei detailliert.

Darüber hinaus kann das Toolkit bei auftauchenden Schwachstellen Hilfestellung bietet, so etwa bei der im Dezember 2012 gemeldeten Sicherheitslücke der älteren Versionen des Internet Explorer (6,7 und 8). Mit EMET kann man sein System entsprechend härten.

EMET arbeitet grundsätzlich mit allen, auch älteren Anwendungen zusammen, unabhängig vom Hersteller. Da sich Inkompatibilitäten nie vollständig ausschließen lassen, ist es möglich, die Security-Funktionen pro Prozess ein- und auszuschalten. Auf diese Weise muss man bei Unverträglichkeiten nicht gleich darauf verzichten, die komplette Anwendung oder Office-Suite mit EMET zu verwalten. Die Konfigurationseinstellungen lassen sich als XML-Datei exportieren und wieder einlesen. Darüber hinaus unterstützt das Tool Methoden für die unternehmensweite Bereitstellung. Somit können Administratoren per Gruppenrichtlinien oder mit dem System Center Configuration Manager EMET-Installationen verteilen, konfigurieren und überwachen.

Installation: Microsoft stellt das Tool als 6,0 MByte großes Installationspaket zum Download bereit. Nach einem Doppelklick auf die MSI-Datei startet ein Assistent und begleitet den Benutzer durch den Setup-Vorgang. Das Tool benötigt das .NET Framework ab Version 2.0.

Bedienung: In der oberen Hälfte der grafischen Benutzeroberfläche führt das Tool auf, welche Schutzfunktionen auf dem System verfügbar sind und welche Standardwerte für sie gelten. Mit einem Klick auf die Schaltfläche Configure System kann man diese Einstellungen anpassen. So lässt sich etwa festlegen, dass DEP für alle Prozesse aktiviert ist (Always On) oder nur für solche, die der Benutzer explizit auswählt (Application Opt In). Der User kann die Optionen individuell festlegen (Custom Settings) oder auf die zwei Profile Maximum Security Settings und Recommended Security Settings zurückgreifen. Bestimmte Konfigurationsänderungen erfordern einen Neustart des Rechners.

Im unteren Bereich des Programmfensters listet EMET alle momentan laufenden Prozesse auf, allerdings nicht den Namen der zugehörigen Anwendung. Bewegt man die Maus über einen Eintrag, sieht man immerhin den entsprechenden Dateipfad und kann daraus Rückschlüsse ziehen. Außerdem erkennt man, ob die Funktion DEP eingeschaltet ist und ob der Prozess unter EMET-Verwaltung läuft. Die Liste wird automatisch alle 30 Sekunden aktualisiert. Wem das zu lange dauert, klickt auf das Icon neben Running Processes. Über die Schaltfläche Configure Apps unten rechts lässt sich anhand der ausführbaren Datei einstellen, welchen Schutzmechanismus eine bestimmte Anwendung oder ein Prozess nutzen soll. Hat man sich für die oben erwähnte systemweite Vorgabe Application Opt In entschieden, muss man an dieser Stelle die notwendigen Angaben machen.

Um sich mit den umfangreichen Möglichkeiten des Tools vertraut zu machen, ist es auf jeden Fall ratsam, einen Blick in die 40-seitige PDF-Hilfedatei zu werfen. Als Ergänzung dazu kann der Benutzer auch anhand eines englischsprachigen Videos verschiedene Einsatzszenarien der Software kennenlernen.

Fazit: Mit EMET lassen sich Programme, die die Windows-internen Schutzmechanismen nicht von Haus aus nutzen, nachträglich besser absichern. Das Tool ist kein Allheilmittel, dennoch kann man es Angreifern damit erschweren, Sicherheitslücken in Anwendungen auszunutzen. Die eingängige grafische Oberfläche sollte aber nicht darüber hinwegtäuschen, dass EMET einiges an Einarbeitungszeit verlangt. (mje)