2015/10/06

Windows 10 対応の EMET 5.5 Beta 出てました。

Windows 10 に始めて対応した Enhanced Migitation EMET 5.5 Beta が出ました。


Ehnahced Mitigation Experience Toolkit 5.5 Beta
[URL]  http://www.microsoft.com/en-us/download/details.aspx?id=49166

Windows 10 では、Block Untrusted Fonts という新しい緩和策が利用できるようになっています。
グループ ポリシーとの連携機能も付いたみたい。ざっと見た感じの新機能はこれくらいかなぁ。EMET User's Guide が同梱されていないので詳しくはわかりません。

(追記: User’s Guide がダウンロード可能になりました。http://download.microsoft.com/download/4/3/3/43364390-96B1-4820-9BAD-4A71F9A3221A/EMET%20User%20Guide.pdf)
(さらに追記: 日本語ユーザー ガイドが公開されました。http://download.microsoft.com/download/B/F/B/BFBFDAB1-225C-4ECD-906F-C1DF61D7DB64/EMET%205.5%20Beta%20User's%20Guide_J.pdf)

EMET 5.0 からの Windows 7 における Certificate Trust (Pinning) 機能が動作しない問題は...

Certificate Pinning Alterting and Blocking Issues w/Latest 5.2 Release
[URL] https://social.technet.microsoft.com/Forums/security/en-US/500fa341-fcdc-48bf-8715-c9558df2ae56/certificate-pinning-alterting-and-blocking-issues-wlatest-52-release?forum=emet
EMET 5.0 Pinning Rule doesn´t work

[URL] https://social.technet.microsoft.com/Forums/security/en-US/88d38157-1946-4090-9824-198e43f7495b/emet-50-pinning-rule-doesnt-work?forum=emet

Windows 7 SP1 上の EMET 5.5 Beta  でも動きませんでした。Windows 10 の IE 11 だとちゃんと動きます。Microsoft Edge は Certificate Trust (Pinning) 機能 の対象にならないみたい。

EMET 5.1、5.2 の Keep Existing Settings が旧 EMET 5.x の設定を引き継いでくれない問題は、インストール時の EMET Configuration Wizard から Keep Existing Settings オプションを削除したことで対応したようです。EMET GUI から実行した EMET Configuration Wizard には Keep Existing Settings がありますが、インストール時に Configure Manually Later を選択すると 旧設定は削除されちゃいます。このあたりの使い方が分かり難い。(追記: EMET 4.1 U1 からのアップグレードの場合は、Keep Existing Settings を選択して設定を移行できました)


ベータ版だからご利用は自己責任で。私は、数日使ってみて、その後、アンインストールするつもり。

関連する投稿:
EMET 5.2 出ました。でもご用心! (3/17 追記あり) (2015/03/14)
EMET 5.2 は Windows 10 をサポートしない (追記あり) (2015/09/29)


追記) 公式アナウンスが出ました。やはり Microsoft Edge は EMET の保護の対象外ですね。
Enhanced Mitigation Experience Toolkit (EMET) version 5.5 Beta is now available 
[URL] http://blogs.technet.com/b/srd/archive/2015/10/15/enhanced-mitigation-experience-toolkit-emet-version-5-5-beta-is-now-available.aspx

追記) グループ ポリシー連携機能を試してみました。

グループ ポリシーによる設定の配布は、以前のバージョンの EMET からも可能であり、そのための管理用テンプレート EMET.admx と EMET.adml が EMET のインストール先の Deployment\Group Policy Files フォルダーに用意されていました。EMET 5.5 Beta の新機能は、ポリシー設定を EMET GUI から編集できるようになったことです。

この機能を使うには、GPMC を含む Remote Server Administration Tool (RSAT) が必要。Windows 10 の場合は、RSAT for Windows 10 を入れときます。

EMET GUI を開き、[Group Policy]をクリック。ドメイン管理者でサインインしていれば既存の GPO に EMET 5.5 Beta のポリシーを追加できます。一般ユーザーなら、ローカル コンピューター ポリシー (<Local Group Policy Object>) に追加できます。


ポリシーを EMET GUI で編集できます。

ポリシー設定は以上で完了。

[Application Configuration]ウィンドウの[Show Group Policy Apps]、[Certificate Trust Configuration]ウィンドウの[Show Group Policy Settings]を クリックすると、ポリシーで配布された設定を EMET GUI 上で確認できます。



なお、通常のグループ ポリシー エディター (Gpedit.msc) でポリシーを参照するには、C:\Program Files (x86)またはProgram Files\EMET 5.5\Deployment\Group Policy Files\EMET.admx と EMET.adml を C:\Windows\PolicyDefinitions と C:\Windows\PolicyDefinitions\en-us、またはドメインの中央ストアにコピーする必要があります。

さらに追記) Windows 10 の信頼されないフォントのブロック機能については...
Block untrusted fonts in an enterprise
[URL] https://technet.microsoft.com/en-us/library/dn985836(v=vs.85).aspx


0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。