Zusammenfassung
Das Enhanced Mitigation Experience Toolkit (EMET) ist ein Hilfsprogramm, das die Ausnutzung von Sicherheitsrisiken in der Software zu verhindern hilft. EMET erreicht dies durch Sicherheitstechnologien zur Schadensbegrenzung. Diese Technologien stellen spezielle Schutzmechanismen bereit und richten Hindernisse ein, die ein Angreifer überwinden muss, um Sicherheitsrisiken in der Software ausnutzen zu können. Diese Sicherheitstechnologien zur Schadensbegrenzung können die Ausnutzung von Sicherheitsrisiken nicht zu 100 Prozent ausschließen. Es gelingt ihnen aber, es den Angreifern so schwer wie möglich zu machen. Weitere Informationen zu EMET finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2458544 Enhanced Mitigation Experience Toolkit (EMET) Bei der Anwendung der EMET-Sicherheitstechnologien zur Schadensbegrenzung auf eine bestimmte Software oder bestimmte Arten von Software können Kompatibilitätsprobleme auftreten, wenn sich die geschützte Software ähnlich wie ein potenzieller Angreifer verhält. In diesem Artikel wird die Art von Software beschrieben, bei der in der Regel bei der Anwendung von EMET-Risikominderungen Kompatibilitätsprobleme auftreten. Zudem enthält dieser Artikel eine Liste der Produkte, bei denen bei mindestens einer von EMET bereitgestellten Risikominderung Kompatibilitätsprobleme auftreten.
Weitere Informationen
Allgemeine Richtlinien
Die EMET-Sicherheitstechnologien zur Schadensbegrenzung setzen auf Betriebssystemebene an, und bei manchen Arten von Software, die ähnliche Vorgänge auf Betriebssystemebene ausführen, können Kompatibilitätsprobleme auftreten, wenn sie durch EMET geschützt werden sollen. Es folgt eine Liste der Arten von Software, die nicht durch EMET geschützt werden sollten:
-
Antischadsoftware und Software zu Eindringschutz oder Eindringerkennung
-
Debugger
-
Software, die Digital Rights Management (DRM)-Technologien verwaltet (d. h. Videospiele)
-
Software, die Anti-Debugging-, Verschleierungs- oder Hooking-Technologien verwendet
Bestimmte HIPS-Anwendungen (Host-based Intrusion Prevention System, hostbasiertes System zur Verhinderung von Eindringversuchen) können Schutzmaßnahmen bereitstellen, die denen von EMET ähneln. Wenn diese Anwendungen zusammen mit EMET auf einem System installiert werden, sind u. U. zusätzliche Konfigurationsschritte erforderlich, um die Koexistenz der beiden Produkte zu ermöglichen.
Zudem ist EMET für die Zusammenarbeit mit Desktopanwendungen vorgesehen, und Sie sollten nur diejenigen Anwendungen schützen, die nicht vertrauenswürdige Daten empfangen oder verarbeiten. System- und Netzwerkdienste sind ebenfalls nicht für EMET relevant. Es ist zwar technisch möglich, diese Dienste unter Verwendung von EMET zu schützen, wir raten jedoch davon ab.
Anwendungskompatibilitätsliste
Es folgt eine Liste der einzelnen Produkte, bei denen Kompatibilitätsprobleme mit den von EMET bereitgestellten Sicherheitstechnologien zur Schadensbegrenzung aufgetreten sind. Sie müssen bestimmte inkompatible Sicherheitstechnologien zur Schadensbegrenzung deaktivieren, wenn Sie das Produkt mithilfe von EMET schützen möchten. Beachten Sie, dass in der Liste die Standardeinstellungen für die neueste Produktversion berücksichtigt werden. Kompatibilitätsprobleme können auftreten, wenn Sie zusätzlich zur Standardsoftware bestimmte Add-Ins oder zusätzliche Komponenten installieren.
Inkompatible Sicherheitstechnologien zur Schadensbegrenzung
Produkt |
EMET 4.1 Update 1 |
EMET 5.2 |
EMET 5.5 und neuere Versionen |
---|---|---|---|
.NET 2.0/3.5 |
Export-Adressfilterung (EAF)/Import-Adressfilterung (IAF) |
EAF/IAF |
EAF/IAF |
7-Zip-Konsole/GUI/Datei-Manager |
(EAF) |
EAF |
EAF |
AMD 62xx-Prozessoren |
EAF |
EAF |
EAF |
Beyond Trust Power Broker |
Nicht zutreffend |
EAF, EAF+, Stack Pivot |
EAF, EAF+, Stack Pivot |
Bestimmte AMD/ATI-Videotreiber |
System ASLR=AlwaysOn |
System ASLR=AlwaysOn |
System ASLR=AlwaysOn |
DropBox |
EAF |
EAF |
EAF |
Excel Power Query, Power View, Power Map und PowerPivot |
EAF |
EAF |
EAF |
Google Chrome |
SEHOP* |
SEHOP* |
SEHOP*, EAF+ |
Google Talk |
DEP, SEHOP* |
DEP, SEHOP* |
DEP, SEHOP* |
Immidio Flex+ |
Nicht zutreffend |
EAF |
EAF |
McAfee HDLP |
EAF |
EAF |
EAF |
Microsoft Office Web Components (OWC) |
System DEP=AlwaysOn |
System DEP=AlwaysOn |
System DEP=AlwaysOn |
Microsoft PowerPoint |
EAF |
EAF |
EAF |
Microsoft Teams |
SEHOP* |
SEHOP* |
SEHOP*, EAF+ |
Microsoft Word |
Heapspray |
Nicht zutreffend |
Nicht zutreffend |
Oracle Javaǂ |
Heapspray |
Heapspray |
Heapspray |
Pitney Bowes Print Audit 6 |
SimExecFlow |
SimExecFlow |
SimExecFlow |
Siebel CRM-Version 8.1.1.9 |
SEHOP |
SEHOP |
SEHOP |
Skype |
EAF |
EAF |
EAF |
SolarWinds Syslogd Manager |
EAF |
EAF |
EAF |
VLC Player 2.1.3+ |
SimExecFlow |
Nicht zutreffend |
Nicht zutreffend |
Windows Media Player |
MandatoryASLR, EAF, SEHOP* |
MandatoryASLR, EAF, SEHOP* |
MandatoryASLR, EAF, SEHOP* |
Windows Photo Gallery |
Caller |
Nicht zutreffend |
Nicht zutreffend |
* Nur in Windows Vista und älteren Versionen
ǂ Bei EMET-Sicherheitstechnologien zur Schadensbegrenzung können Kompatibilitätsprobleme mit Oracle Java auftreten, wenn sie unter Verwendung von Einstellungen, mit denen sehr viel Arbeitsspeicher für den virtuellen Computer reserviert wird (d. h. unter Verwendung der Option -Xms), ausgeführt werden.
Häufig gestellte Fragen
F: Welche Angriffe über welche CVEs werden von EMET blockiert?
A: Nachfolgend ist ein Teil der CVEs aufgeführt, bei denen die bekannten Angriffsmethoden von EMET bei der Erkennung erfolgreich blockiert werden:
CVE-Nummer |
Produktfamilie |
---|---|
CVE-2004-0210 |
Windows |
CVE-2006-2492 |
Office |
CVE-2006-3590 |
Office |
CVE-2007-5659 |
Adobe Reader, Adobe Acrobat |
CVE-2008-4841 |
Office |
CVE-2009-0927 |
Adobe Reader, Adobe Acrobat |
CVE-2009-4324 |
Adobe Reader, Adobe Acrobat |
CVE-2010-0188 |
Adobe Reader, Adobe Acrobat |
CVE-2010-0806 |
Internet Explorer |
CVE-2010-1297 |
Adobe Flash Player, Adobe AIR, Adobe Reader, Adobe Acrobat |
CVE-2010-2572 |
Office |
CVE-2010-2883 |
Adobe Reader, Adobe Acrobat |
CVE-2010-3333 |
Office |
CVE-2010-3654 |
Adobe Flash Player |
CVE-2011-0097 |
Office |
CVE-2011-0101 |
Office |
CVE-2011-0611 |
Adobe Flash Player, Adobe AIR, Adobe Reader, Adobe Acrobat |
CVE-2011-1269 |
Office |
CVE-2012-0158 |
Office, SQL Server, Commerce Server, Visual FoxPro, Visual Basic |
CVE-2012-0779 |
Adobe Flash Player |
CVE-2013-0640 |
Adobe Reader, Adobe Acrobat |
CVE-2013-1331 |
Office |
CVE-2013-1347 |
Internet Explorer |
CVE-2013-3893 |
Internet Explorer |
CVE-2013-3897 |
Internet Explorer |
CVE-2013-3906 |
Windows, Office |
CVE-2013-3918 |
Windows |
CVE-2013-5065 |
Windows |
CVE-2013-5330 |
Adobe Flash Player, Adobe AIR |
CVE-2014-0322 |
Internet Explorer |
CVE-2014-0497 |
Adobe Flash Player |
CVE-2014-1761 |
Office, SharePoint |
CVE-2014-1776 |
Internet Explorer |
CVE-2015-0313 |
Adobe Flash Player |
CVE-2015-1815 |
Internet Explorer |
F: Wie deinstalliere ich Microsoft EMET 5.1 mit einem MSIEXEC-Befehl oder einem Registrierungsbefehl?
A: Nähere Informationen hierzu finden Sie im folgenden TechNet-Thema:
Msiexec (Befehlszeilenoptionen)
F: Wie deaktiviere ich die Watson-Fehlerberichterstellung (WER)?
A: Nähere Informationen hierzu finden Sie in den folgenden Windows- und Windows Server-Artikeln:
WER-Einstellungen
Microsoft-Fehlerberichterstattung
Informationen zum Haftungsausschluss von Drittanbietern
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.