【EMET】enhanced mitigation experience toolkit 2 [無断転載禁止]©2ch.net

1名無しさん@お腹いっぱい。2016/03/20(日) 16:18:14.27
MS製のアプリケーションへの未知の脆弱性による脅威を緩和するソフトです
公式
http://support.microsoft.com/kb/2458544/ja

wiki(用語解説など)
http://ja.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit


最新ver3.0(2012/05/15) βver4.0(2013/4/18) 日本語化無し アプリからのupdate無し

ダウンロード
最新版ver3.0
http://www.microsoft.com/en-us/download/details.aspx?id=29851

βver4.0
http://www.microsoft.com/en-us/download/details.aspx?id=38761
※前スレ
【EMET】enhanced mitigation experience toolkit
http://tamae.2ch.net/test/read.cgi/sec/1366984422/

102名無しさん@お腹いっぱい。2016/11/23(水) 21:06:37.60
アップデートしました。
ちょうどBIOSもアップデートが出ていて新鮮な気分。

103名無しさん@お腹いっぱい。2016/11/24(木) 20:56:22.00
>>100
情報、サンキュ

104名無しさん@お腹いっぱい。2016/11/25(金) 13:20:32.25

105名無しさん@お腹いっぱい。2016/11/26(土) 02:36:24.30
5.52にして
Secondary Logonというサービスを起動するようになった

別の資格情報でのプロセスの開始を有効にします。
このサービスを停止するとこの種のログオン アクセスは利用できなくなります。
このサービスを無効にすると、このサービスに明示的に依存しているサービスはすべて開始できなくなります。

これが依存するサービス:なし
これに依存するサービス:EMET
とある

どのプロセスを起動しようとしているのだろう

106名無しさん@お腹いっぱい。2016/11/28(月) 18:39:57.28
サポート終了予定のMSの脆弱性緩和ツール「EMET」、CERT/CCが重要性を説明
http://japan.zdnet.com/article/35092697/

107名無しさん@お腹いっぱい。2016/11/28(月) 21:32:52.37

108名無しさん@お腹いっぱい。2016/11/28(月) 21:41:57.20
意味ないと言われつつWindows10に入れてまつ

109名無しさん@お腹いっぱい。2016/11/29(火) 13:46:05.33
古いバージョンを勧める馬鹿メディア現る
https://archive.is/JNBF4 👀
Rock54: Caution(BBR-MD5:1322b9cf791dd10729e510ca36a73322)

110名無しさん@お腹いっぱい。2016/11/30(水) 16:54:10.08
7をXPの二の舞にしたくなくて、さっさと10に移行させる理由作りを考えてるとしか思えないけどな。
EMETのサポート切れたところで「入れていないよりはマシ」程度で使い続けますけどなw

111名無しさん@お腹いっぱい。2016/12/12(月) 06:53:51.44
EMETさんよ〜EMETさんよ〜♪
空を見上げりゃ空にある〜♪

112名無しさん@お腹いっぱい。2016/12/12(月) 09:41:17.85
西城秀樹さんな

113名無しさん@お腹いっぱい。2016/12/20(火) 05:48:21.79
えめぽん〜えめちゃん〜えめくる〜えめこ〜♪

114名無しさん@お腹いっぱい。2017/04/14(金) 01:41:21.93
Creators Updateで完全にEMET要らずになるの?

115名無しさん@お腹いっぱい。2017/05/23(火) 01:46:27.19
EMETではWannaCryの感染を防ぐことは出来ない?

ttps://security.stackexchange.com/questions/159688/does-emet-prevent-wannacry-exploit-execution

これだと、今のところ2つ回答がついていて、
どっちも出来ない、ということらしいんだけど

116名無しさん@お腹いっぱい。2017/05/23(火) 21:47:56.10
Creators UpdateをクリーンインストールしてEMETは入れませんでした。
みなさんごきげんよう

117名無しさん@お腹いっぱい。2017/05/23(火) 22:11:03.16
Windows悪意のあるソフトウェア削除ツールをいまだに配布してる時点で…

118名無しさん@お腹いっぱい。2017/05/24(水) 01:15:14.37
115の書き方が悪かったので、書き直させてもらうと・・・

WannaCryは、EternalBlueを利用するけど、
EternalBlueは、以下によるとbuffer overflowを悪用するらしい
これはEMETではブロックできない?

ttps://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue

119名無しさん@お腹いっぱい。2017/05/24(水) 01:25:47.46
自己レスさせてもらうと、

ttps://twitter.com/eric_conrad/status/853664695458377728

>>115のリンクや上を信頼するなら、EMETではブロックできないらしい
で、その理由は、
EternalBlueはOSカーネル内で走るから
で正しいんかな?

自分で勉強しろよ!って話かもしれないが

120名無しさん@お腹いっぱい。2017/05/25(木) 02:01:49.78
某twitter方面で、試して頂いたようで、感謝申し上げます
僭越ながら、それを利用させてもらうと・・・

lsass.exeをEMETに登録していれば、
EternalBlueやWannaCry感染をブロックできるらしい

lsass.exeは、デフォルトのプロファイルにはないけど、
登録してればWannaCryへの感染対策になったのかも?

121名無しさん@お腹いっぱい。2017/05/25(木) 02:10:50.93
トップページ - セキュ板 MSSE 簡易まとめ - アットウィキ
ttps://www21.atwiki.jp/20a88e3f44cab94a0416/

上の2chのログの「EMETに登録を推奨されるアプリケーション」には、
>Windows LSASS C:\WINDOWS\system32\lsass.exe
があったりするんだよねえ
6,7年前に、既にこの情報を出してた人が偉いのかも

ちなみに、EMET3用は以下、それ以降のは見つけられなかった
ttps://www.rationallyparanoid.com/articles/microsoft-emet-3.html

122名無しさん@お腹いっぱい。2017/05/25(木) 12:18:38.12
>>120-121
サンキュです
似たことがこれからもあるかも知れないので遅まきながら登録した

123名無しさん@お腹いっぱい。2017/05/26(金) 01:53:43.15
既出かもしれないけど、Microsoftとしては、
lsass.exeをEMETに登録するのは、お勧めできないらしい

ttps://blogs.technet.microsoft.com/srd/2015/10/20/emet-to-be-or-not-to-be-a-server-based-protection-mechanism/
ttps://support.microsoft.com/en-us/help/2909257/emet-mitigations-guidelines
>System and network services are also out-of-scope for EMET.
>Although it is technically possible to protect these services
>by using EMET, we do not advise you to do this.

>>120は、
もしもEMETで対策をするのであればlsass.exeを登録しないといけない
と解釈願いたい
このやり方を採用するかどうかは、各自の判断でお願いしますね

>>122
実は、自分もlsass.exeを登録してなくて今回初めて知った^^;

124名無しさん@お腹いっぱい。2017/05/26(金) 04:54:33.92
Win10でlsass.exeをEMET5.52に登録してもRunning EMETの欄に印がつかないから
システム系のサービスはEMET5.52だと保護できないと勝手に思い込んでいたけどおま環だったのか・・・

125名無しさん@お腹いっぱい。2017/06/13(火) 02:08:27.63
Edgeを登録してもRunning EMETにやはり印がつかないんだけど、
Windows10のlsass.exeも高度な技術が使われてたりするのかな?

ttps://support.microsoft.com/ja-jp/help/2458544/the-enhanced-mitigation-experience-toolkit
>EMET 5.5x の緩和策は Microsoft Edge に適用されません。
>Edge の保護には高度な技術が使われているためです。
>これらには、業界をリードするサンドボックス、コンパイラ、メモリ管理技術が含まれています。

126名無しさん@お腹いっぱい。2017/06/28(水) 02:00:54.70
Announcing end-to-end security features in Windows 10
https://blogs.windows.com/business/2017/06/27/announcing-end-end-security-features-windows-10/

Building the best of EMET into Windows 10. Our customers are clearly fans of threat protections offered through the Enhanced Mitigation Experience Toolkit (EMET).
Their feedback to us has been a driving force for Windows Defender Exploit Guard, a new feature making EMET native to Windows 10.?

By integrating the power of EMET along with new vulnerability mitigations, Exploit Guard includes prevention capabilities that help make vulnerabilities dramatically more difficult to exploit.
In addition Exploit Guard delivers a new class of capabilities for intrusion prevention. Using intelligence from the Microsoft Intelligent Security Graph (ISG), Exploit Guard comes with a rich
set of intrusion rules and policies to protect organziations from advanced threats, including zero day exploits. The inclusion of these built-in rules and policies addresses one of the key
challenges with host intrusion prevention solutions which often takes significant expertise and development efforts to make effective.

127名無しさん@お腹いっぱい。2017/06/28(水) 04:09:53.61
Windows脆弱すぎるわ

128名無しさん@お腹いっぱい。2017/07/20(木) 14:31:54.89
せやな

129名無しさん@お腹いっぱい。2017/07/24(月) 22:36:01.84
Windows 10 Fall Creators Update」で廃止・非推奨となる機能が明らかに
「EMET」の利用はブロックされるようになる。代わりに「Windows 10 Fall Creators Update」で「Windows Defender」に追加される予定の“Exploit Guard(悪用保護)”機能を利用しよう。
http://forest.watch.impress.co.jp/docs/news/1072053.html

130名無しさん@お腹いっぱい。2017/08/02(水) 01:44:18.17
EternalBlueを防ぐにあたって、
Windows7等?ではlsass.exeをEMETに登録しないといけないのに対して、
Windows10のRedstone1以降ではEMETなしでも簡単にやられないらしい

ttps://twitter.com/zerosum0x0/status/868965469524549632

このへんのことも、>>129のEMETをブロックにした理由の一つなんだろうか?

131名無しさん@お腹いっぱい。2017/08/02(水) 01:46:53.91
Windows 10に感染する「WannaCry」が開発されてしまう
ttp://www.softantenna.com/wp/windows/wannacry-for-windows-10/
>WannaCry for Windows 10は、現在Current Branch for Businessの
>サポート期間である、Windows 10 x64 version 1511 に対して有効とのこと。

この部分は、正確にはバージョン1511のビルド10586以前ではなかろうか

132名無しさん@お腹いっぱい。2017/08/30(水) 01:07:36.58
WannaCry 2.0(+亜種)におけるワーム活動の詳細と残存するDoublePulsarについて | MBSD Blog
ttp://www.mbsd.jp/blog/20170629.html

133名無しさん@お腹いっぱい。2017/08/30(水) 01:13:59.69
>>132によれば、
lsass.exeをEMETに登録して防げるのはDoublePulsarでEternalBlueではない
>118-130で間違ってる部分があるね、ごめんなさいm(__)m

>>130に自己レス
>このへんのことも、>>129のEMETをブロックにした理由の一つなんだろうか?
恐らく>>83でも既出の話で、Noのはず

134名無しさん@お腹いっぱい。2017/09/12(火) 21:01:17.07
EMET は Windows 10 Defender Exploitation Guard へ統合されます
https://blogs.technet.microsoft.com/jpsecurity/2017/09/12/emettowdeg/

Windows 10 Fall Creators Update から Windows 10 に
Windows Defender Exploitation Guard 機能として完全統合される予定です。
Windows Defender Exploitation Guard は、Windows Defender Security Center から設定を操作し、
攻撃緩和策の設定を GUI 上で利用することもできます。

現在 、ツール形式の EMET を利用している場合は、Fall Creators Update を適用以降は、誤動作を防ぐため、
これまでのツール形式の EMET は動作しないよう自動的に制限されます。
なお、ツール形式の EMET を必ずしもアンインストールする必要はありません。

135名無しさん@お腹いっぱい。2017/09/14(木) 20:38:47.60
他社製セキュリティソフト使っててDefender殺してる場合はどうすんだ?
EMETが生きるのかな?

136名無しさん@お腹いっぱい。2017/09/14(木) 20:54:31.96
EMET II のさらに先へ - Windows Defender Exploit Guard
https://blogs.technet.microsoft.com/jpsecurity/2017/09/14/moving-beyond-emet-ii-windows-defender-exploit-guard/

Windows Defender Exploit Guard (WDEG) の新しいユーザー フレンドリなインターフェイスに加え、
EMET を利用しているお客様の期待に沿って同様のレガシ アプリ保護策を追加しました。
これによって、Windows 10 がサポートする緩和策と EMET が提供するすべての緩和機能は同等となりました。

EMET はいくつかの推奨構成が設定された状態で出荷されますが、
私たちは、事業特有のニーズに対応するために EMET を利用しているお客様の多くが
ポリシーをカスタマイズしていることを把握しています。
Windows Defender Exploit Guard への移行を促進するために、
EMET の XML 設定ファイルを WDEG 用の Windows 10 緩和策ポリシーに変換する
新しい PowerShell モジュールを追加しました。

137名無しさん@お腹いっぱい。2017/09/19(火) 05:39:45.94
これで完全にEMET要らずになるのか。
ちょっと寂しいね、エメちゃんとは長い付き合いだったのでw

138名無しさん@お腹いっぱい。2017/10/17(火) 21:21:41.63
さてと
そろそろ削除するかな

139名無しさん@お腹いっぱい。2017/11/13(月) 14:38:07.48
EMETからExploit Protectionに移ったのだがiexploreの設定が必須ASLR以外は全てオフになっていた。
とりあえず当たり障りのない所でDEP、SEHOP、ボトムアップASLRをオンにしてみた。
そうしたらWindows Updateの自動更新ができなくなってしまった。最初は原因が分からなかったのだが
iexploreの設定以外思いつく原因がなかったので元に戻したら直った。

140名無しさん@お腹いっぱい。2017/11/13(月) 15:47:18.72
>>139
うちはそれシステム設定で「既定でオンにする」にしてるが別に何の問題もなさそうだが

141名無しさん@お腹いっぱい。2017/11/13(月) 16:27:44.72
>>!40
まぁ環境の違いもあるかも知れませんね。

142名無しさん@お腹いっぱい。2017/11/13(月) 16:29:31.96
>>140
書き忘れました。プログラム設定のほうの設定でした。

143名無しさん@お腹いっぱい。2017/11/13(月) 17:06:26.17
FCUクリーンインストールの環境だと
システム設定は必須ASLR以外全部オンになってて
プログラム設定はシステム設定をそのまま使うようになってたな

144名無しさん@お腹いっぱい。2017/11/14(火) 02:41:32.57
>>143
うちもFCUクリーンインストールだが、システム設定は全部一度「既定値を使用する」に変えてしまったので、元がどうだったか覚えていない(現在は必須ASLRのみ「既定でオフにする」)。
プログラム設定の方にiexplore.exeの設定が入っていて(これは俺が設定したものではない)、必須ASLRのみ「システム設定の上書き」にチェックが入っていて必須ASLRはオンになっている。
それとEMETと違ってコンパネのシステムにあるDEPの設定はグレーにならないのだな。

145名無しさん@お腹いっぱい。2017/11/14(火) 02:56:31.94
プログラム設定でチェックが入ってない項目は
システム設定と同じ設定を使うようになってるだけだからオフになってるわけではなくない?

146名無しさん@お腹いっぱい。2017/11/14(火) 20:31:24.05
アプグレした状態のまま

CFG 既定でオンにする
DEP 既定でオンにする
必須ASLR 既定でオフにする
ボトムアップASLR 既定でオンにする
SEHOP 既定でオンにする
ヒープの整合性を検証する 既定でオンにする

147名無しさん@お腹いっぱい。2017/11/21(火) 15:26:30.62
Windows 8 およびそれ以降のバージョンにおいて、アドレス空間配置のランダム化が適切に行われない脆弱性
http://jvn.jp/vu/JVNVU91363799/

想定される影響
EMET もしくは Windows Defender Exploit Guard を使用して ASLR の強制を有効にしているシステムにおいて、アプリケーションが予測可能なメモリ位置に再配置される可能性があります。
結果として、ROP (Return-oriented programming) などのように、特定のメモリアドレスにあるコードを悪用する攻撃が容易になる可能性があります。

148名無しさん@お腹いっぱい。2017/12/01(金) 21:39:34.03
WDEGではEMET風のASRルールはもう使えないのかねぇ
新しいASRは簡便でよいのだが、ほぼOfficeしか守れないよな

149名無しさん@お腹いっぱい。2017/12/28(木) 04:52:47.32
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

RU6P0PE1CB

150名無しさん@お腹いっぱい。2018/02/22(木) 19:12:15.79
☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆

151名無しさん@お腹いっぱい。2018/05/04(金) 18:28:03.35
test

152名無しさん@お腹いっぱい。2018/05/21(月) 16:57:55.45
すごくおもしろいパソコン一台でお金持ちになれるやり方
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

0FHKM

新着レスの表示
レスを投稿する