Windows 7 för med sig en mängd inte bara trevliga utan direkt nödvändiga säkerhetsfunktioner. Enda kruxet är att de inte är aktiverade som standard, vilket i praktiken gör att en Windows 7-dator i ett företagsnätverk som inte har någon specifik säkerhetskonfiguration är att likställa med vilken burk som helst som kör Windows 7 i ett hemma-nätverk.
Bra säkerhet består av flera lager med skydd och olika skyddsmekanismer, och det finns många inbyggda säkerhetsfunktioner i Windows 7. Med dessa och några verktyg som du laddar ned från Microsoft höjer du säkerheten på dina klienter inte bara ett utan flera snäpp.
Med det grafiska gränssnittet för EMET ser du exakt vilka inställningar som är applicerade och vilka applikationer som har fått det extra skyddet EMET erbjuder.
I den bästa av världar skulle alla applikationer vara säkert kodade från början, tredjeparts såväl som dina egenutvecklade applikationer. Tyvärr lever vi inte i den drömvärlden. Dessutom har det under senare år blivit allt vanligare att attacker sker mot sårbara applikationer snarare än enskilda operativsystembrister.
Med det kostnadsfria Microsoftverktyget Enhanced Mitigation Experience Toolkit, EMET, kan du ge extra skydd för dina applikationer, bland annat mot så kallade nolldagar-attacker (zero-day attacks). Du gör det helt enkelt svårare att utnyttja brister i applikationerna.
1. Ladda hem och installera EMET från på en testmaskin. Distribuera sedan EMET Setup.msi till dina klienter med det verktyg du använder för distribution av applikationer.
2. För att EMET ska aktiveras måste du konfigurera det. Det görs med fördel genom att hämta group policy-mallar från EMET:s installationskatalog i C:\Program files\EMET\Deployment\Group Policy files och placera admx-filen i mappen PolicyDefinitions (antingen i C:\Windows eller på SYSVOL) samt adml-filen i den underliggande mappen en-us. När du gjort det dyker en ny inställningskategori upp i policymappen Windows Components, där du kan hantera inställningar för EMET och styra vilka applikationer som ska säkras. Du kan där även aktivera standardvalen och populärval som säkrar Adobe Reader, Oracle Java, Microsoft Office, Chrome, Firefox och en mängd andra vanligt förekommande program.
3. Det räcker däremot inte med att konfigurera gpo-inställningarna, utan du måste även se till att med jämna mellanrum köra kommandot EMET_Conf --refresh vilket laddar om konfigurationen för EMET. Skapa en schemalagd händelse för detta.
4. När du aktiverar EMET kan du verifiera vilka applikationer som fått skydd antingen med EMET_Conf –list eller genom att använda det grafiska gränssnittet EMET Gui.
Att aktivera EMET är något som utan tvekan höjer säkerheten på dina klienter avsevärt, men beroende på hur mycket du låser ned systemet kan det göra att vissa applikationer helt slutar fungera. Därför är det viktigt att du testar applikationerna efter att du aktiverat EMET.
Om du applicerar dataexekveringsskydd, DEP, på hela systemet måste du vara medveten om att det ändrar startkonfigurationen, och om du har Bitlocker aktiverat kommer Bitlocker att gå in i recovery-läge, vilket kräver återställningslösenord för att dina användare ska komma in i maskinen.
