EMET n’apparaîtra pas et ne vous posera pas de questions. C’est donc une solution de configuration, une fois que vous l’aurez configurée. Voici comment sécuriser davantage d'applications avec EMET et les réparer si elles se cassent.
Savoir si EMET casse une application
Si une application fait quelque chose que vos règles EMET n'autorisent pas, EMET la fermera - c'est le paramètre par défaut, de toute façon. EMET ferme les applications dont le comportement est potentiellement dangereux afin qu'aucune exploitation ne puisse se produire. Windows ne le fait pas pour toutes les applications par défaut, car cela romprait la compatibilité avec la plupart des anciennes applications Windows utilisées de nos jours.
Si une application se casse, elle s’arrête immédiatement et une icône contextuelle apparaît dans l’icône EMET de la barre des tâches. Il sera également écrit dans le journal des événements Windows. Ces options peuvent être personnalisées à partir de la zone Rapports du ruban en haut de la fenêtre EMET.
Utiliser une version 64 bits de Windows
Les versions 64 bits de Windows sont plus sécurisées car elles ont accès à des fonctionnalités telles que la randomisation du format d'espace d'adressage (ASLR). Toutes ces fonctionnalités ne seront pas disponibles si vous utilisez une version 32 bits de Windows. A l’instar de Windows, les fonctionnalités de sécurité d’EMET sont plus complètes et plus utiles sur les PC 64 bits.
Verrouiller des processus spécifiques
Vous voudrez probablement verrouiller des applications spécifiques au lieu de tout votre système. Concentrez-vous sur les applications les plus susceptibles d'être compromises. Cela signifie les navigateurs Web, les plug-ins de navigateur, les programmes de discussion et tout autre logiciel qui communique avec Internet ou ouvre des fichiers téléchargés. Les services et applications système de bas niveau qui s'exécutent hors ligne sans ouvrir aucun fichier téléchargé sont moins exposés. Si vous possédez une application professionnelle importante, peut-être une qui accède à Internet, il peut s'agir de l'application que vous souhaitez sécuriser le plus.
Pour sécuriser une application en cours d'exécution, localisez-la dans la liste EMET, cliquez dessus avec le bouton droit de la souris et sélectionnez Configurer le processus.
(Si vous souhaitez sécuriser un processus qui n’exécute pas, ouvrez la fenêtre Applications et utilisez les boutons Ajouter une application ou Ajouter un caractère générique.)
Si vous ne souhaitez pas du tout restreindre une application, sélectionnez-la dans la liste, puis cliquez sur le bouton Supprimer la sélection pour effacer vos règles et rétablir le statut par défaut de l'application.
Changer les règles à l'échelle du système
La section État du système vous permet de choisir des règles à l’échelle du système. Vous voudrez probablement vous en tenir aux valeurs par défaut, qui permettent aux applications d’adhérer à ces protections de sécurité.
Vous pouvez sélectionner «Toujours actif» ou «Désactivation de l'application» pour ces paramètres pour une sécurité maximale. Cela peut casser de nombreuses applications, en particulier les plus anciennes. Si les applications commencent à mal fonctionner, vous pouvez rétablir les paramètres par défaut ou créer des règles de «désinscription» pour les applications.
Notez que nous avons activé «Toujours actif» pour la PED ci-dessus, nous ne pouvons donc pas désactiver la PED pour les processus de la fenêtre Configuration de l'application ci-dessous.
Règles de test en mode «audit uniquement»
Si vous souhaitez tester les règles EMET mais ne souhaitez pas résoudre de problèmes, vous pouvez activer le mode «Audit uniquement». Cliquez sur l'icône Apps dans EMET pour accéder à la fenêtre Configuration de l'application. Vous trouverez une section Action par défaut sur le ruban en haut de l'écran. Par défaut, il est défini sur Arrêter en cas d’exploitation - EMET arrêtera une application si elle enfreint une règle. Vous pouvez également le définir sur Audit uniquement. Si une application enfreint l'une de vos règles EMET, EMET signalera le problème et permettra à l'application de continuer à fonctionner.
Cela élimine évidemment les avantages de l’exécution d’EMET sur le plan de la sécurité, mais c’est un bon moyen de tester les règles avant de remettre EMET en mode «Stop on exploit».
Règles d'exportation et d'importation
Une fois que vous avez créé et testé vos règles, veillez à utiliser le bouton Exporter ou Exporter sélectionné pour exporter vos règles dans un fichier. Vous pouvez ensuite les importer sur tout autre ordinateur que vous utilisez et bénéficier des mêmes protections de sécurité sans plus de manipulations.
Sur les réseaux d'entreprise, les règles EMET et EMET lui-même peuvent être déployés via la stratégie de groupe.
Rien de tout cela n'est obligatoire. Si vous êtes un utilisateur à domicile qui ne souhaite pas gérer ce problème, n'hésitez pas à installer EMET et à respecter les paramètres par défaut recommandés.
