NIERO@net e.K. – Corporate Blog

Ihr Weg zu strategischer SMB IT beginnt mit Managed Services

Verteilen von EMET via Gruppenrichtlinien

Die aktuelle 0-Day-Lücke im Internet Explorer bringt uns zu der Frage, wie man EMETv3 mangels SCCM via Group Policies verteilt.

Das Benutzerhandbuch von EMET beschreibt nur einen kleinen Teil des Weges:

EMET 3.0 comes with group policy support. When you install EMET, EMET.admx and EMET.adml files are also installed to the “Deployment\Group Policy Files” folder. These files can then be copied onto \Windows\PolicyDefinitions and \Windows\PolicyDefinitions\en-US folders respectively. Once this is done, EMET system and application mitigation settings can be configured via Group Policy.

There are three sets of policies that EMET exposes. Below is a description of each. More information can be found at the policy editor for each policy.
1. System Mitigations: Named ASLR, DEP and SEHOP, these policies are used to configure system mitigations. Please note that modifying system mitigation settings may require a reboot to be effective.
2. Default Protection Profiles: There are three: Internet Explorer, Office applications and other popular software. Protection Profiles are pre-configured EMET settings that cover common home and enterprise software. Apply these policies to enable them.
3. Application Settings: This leads to a freeform editor where you can configure any additional applications not part of the default protection profiles. The syntax is application executable name followed by an optional list of mitigations you don’t want to enable. If you don’t specify any mitigation, all seven EMET application mitigations will be enabled.

Once you enable EMET Group Policies, they will be written out to the registry at HKLM \SOFTWARE\Policies\Microsoft\EMET. To make them effective in EMET, you have to run the following command using the EMET Command Line Tool.

EMET_Conf –refresh

Please note that when you apply a Group Policy in Windows, there is often a short delay before Group Policy writes them out to the registry.
You can run this command separately, at startup or at logon time according to your deployment strategy.
To view the Group Policy controlled EMET settings, run the following command using the EMET Command Line Tool.

EMET_Conf –list

The settings controlled by Group Policy start with the ‘>’ character. In this example, we have 2 settings and the Internet Explorer one has been configured by Group Policy, while the program.exe setting has been configured either through the EMET Graphical User Interface or the EMET Command Line Tool.

It is important to note that the settings configured via Group Policy take precedence over the settings configured locally using the EMET GUI or the EMET Command Line Tool. Also, Group Policy controlled settings can only be modified or deleted via Group Policy. For example, running

EMET_Conf –delete_all

in the situation above would only delete the program.exe settings, and leave Internet Explorer settings intact.”

Wir haben aber sicherlich mehrere Computer auf denen wir EMET installieren wollen und – wie man oben sieht – müssen wir zur Übernahme des vorher konfigurierten EMET-GPO ein “EMET_Conf –refresh” auf jeder Maschine ausführen. Genau das ist die Krux.

Die Lösung ist – neben einem Startskript – das kleine Tool psexec von Sysinternals. Mark erklärt in einem Artikel die Benutzung.

Angemerkt sei hier, das “EMET-Conf –refresh” als Administrator ausgeführt werden muss.

Welche Schritte haben wir nun?

1. Herunterladen von EMET

2. Installation von EMET auf einem Referenzcomputer

3. Konfiguration des EMET-GPO:

Diese befinden sich – wie oben geschrieben – im Ordner /EMET/Deployment/Group Policy Files und müssen in den Ordner /Windows/PolicyDefinitions kopiert oder besser in einen Central Store unter sysvol.

EMET GPO

Unter Computerkonfiguration finden sich die nötigen Einstellungen.

EMET GPO1

Im aktuellen Fall reicht die Aktivierung der Richtlinie “Default Protections for Internet Explorer”.

EMET GPO3

Wir können aber auch weitere Anwendungen in der Richtlinie “Application Settings” hinzufügen, wobei die Parameter die Mitigations angeben, die nicht aktiv sein sollen. Die beiden Applikationen hier sind Beispiele; wir haben etwas genommen, was zufällig auf dieser VM installiert war und einen wahllosen Parameter.

EMET GPO4

2. Verteilung von “emet.msi” via GPO an die Computer (ganz normal, wie man es kennen sollte)

3. Übergabe der Einstellungen an EMET via psexec (Zur Automatisierung könnte man die Aufgabenplanung nutzen):

EMET psexec

Wir haben den Befehl hier lokal auf unserer VM ausgeführt. Für Remotecomputer müssen wir entweder psexec \\* ausführen, oder eine Liste mit Computern über den Befehl psexec @Datei angeben. Wir können aber auch die Computer einzeln aufführen mit psexec \\pc1,pc2

Mit “EMET_Conf –list” wird bestätigt, dass die per GPO getroffenen Einstellungen von EMET übernommen wurden.

EMET confirm

Auch über die GUI kann ich den Erfolg überprüfen.

EMET_GUI1

EMET_GUI2

That´s it.

Es gibt ein TechNet-Forum zur Unterstützung von EMET: http://social.technet.microsoft.com/Forums/en-US/emet/threads

>UPDATE vom 26.09.2012: Wer den “Start/Logon-Skript” Weg bevorzugt, sei auf Susans exzellenten Beitrag verwiesen: http://msmvps.com/blogs/bradley/archive/2012/09/24/emet-part-three-doing-the-startup-script.aspx<

Hier das Benutzerhandbuch aus dem msi-Paket:

Klarstellung: Die EMET.adml muss in den Unterordner de-DE, sonst bekommt man eine Fehlermeldung. Wir waren darauf auch erst reingefallen :=) Das Ganze richtet sich nach der benutzten Systemsprache und die ist bei uns in den meisten Fällen “deutsch”.


Ein paar Anmerkungen (eine Meinungsäußerung) zu der aktuellen 0Day-Lücke an sich.

Unseres Erachtens ist die Empfehlung einen anderen Browser zu benutzen etwas kontra-produktiv.

Das Problem ist weniger der Browser, als diejenigen, die ihn nutzen. Im Übrigen benötigen wir im Unternehmensumfeld Applikationen, die wir mit zentralen Richtlinien steuern können, was bei Drittanbieter-Browsern recht schwierig ist.

Die folgende Grafik bestätigt unsere Meinung:

Browser Esperton Group

Für die aktuelle Lücke wird – wie Analysten und Microsoft herausgefunden haben – recht zielgerichtet ausgenutzt (Microsoft is aware of targeted attacks that attempt to exploit this vulnerability.  / It seems the guys behind this 0day were targeting specific industries. We’ve seen that they compromised a news site related to the defense industry and they created a fake domain related to LED technologies that can be used to perform spearphishing campaigns to those industries.).

Hinzu kommen risikoverringernde Faktoren:

Mitigating Factors:

  • By default, Internet Explorer on Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2 runs in a restricted mode that is known as Enhanced Security Configuration. This mode mitigates this vulnerability.
  • By default, all supported versions of Microsoft Outlook, Microsoft Outlook Express, and Windows Mail open HTML email messages in the Restricted sites zone. The Restricted sites zone, which disables script and ActiveX controls, helps reduce the risk of an attacker being able to use this vulnerability to execute malicious code. If a user clicks a link in an email message, the user could still be vulnerable to exploitation of this vulnerability through the web-based attack scenario.
  • An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
  • In a web-based attack scenario, an attacker could host a website that contains a webpage that is used to exploit this vulnerability. In addition, compromised websites and websites that accept or host user-provided content or advertisements could contain specially crafted content that could exploit this vulnerability. In all cases, however, an attacker would have no way to force users to visit these websites. Instead, an attacker would have to convince users to visit the website, typically by getting them to click a link in an email message or Instant Messenger message that takes users to the attacker’s website.

Darüber hinaus haben weder das SANS (“green”) noch Symantec (“elevated”) die Gefahrenlage nennenswert erhöht.

Microsoft bringt das Out-of-Band Security Bulletin heute Abend auch nur deshalb, weil die Möglichkeit besteht, dass sich die Gefahr verschärft (Earlier this week, an issue impacting Internet Explorer affected a small number of customers. The potential exists, however, that more customers could be affected.), was wiederum mit der Meinung von Analysten übereinstimmt (Apart from that, it seems the exploit code has evolved and they are now able to infect not only Windows XP but also Windows 7 32 bits running Java6).

Es ist nicht unsere Absicht die Gefahr herunter zu spielen; eine “abstrakte Gefahrenlage”, die wir – weil keine ausgebildeten Malware-Analysten – auch gar nicht überblicken können.

Wer aber lange genug in der IT unterwegs ist, weiß, dass das Einhalten bestimmter bewährter Verhaltensweisen, inklusive des Arbeitens unter Accounts mit eingeschränkten Rechten, der Benützung aktueller Software, Keep Third-party Software Updated, enabling a firewall, getting software updates, installing antivirus software und Keep Microsoft Software Updated die nötigen Maßnahmen sind.

Mit der Nutzung von alternativen Browsern kommen wir nur vom Regen in die Traufe und kann das Ganze noch nicht einmal mit meinem Sachverstand zentral verwalten.

Weil es nämlich nie 100% Sicherheit gibt, ist die “last line of defense” der nötige Sachverstand im Umgang mit der IT und den Gefahren im Internet, bzw. der gesunde Menschenverstand.

Susan schrieb “They said the German government said to stop using IE (they did, but they’ve done this before and quite frankly have always been a bit anti Microsoft)”. Das ist sicherlich – zumindest für das BSI – übertrieben; das BSI weiß gemeinhin, was es tut und ist eine gemeinhin anerkannte Fachbehörde. Für andere, weite Teile Deutschlands und Europas, die auch ein Abbild unserer Gesellschaft sind, mag das gelten, wenn man beispielsweise an das unsinnige “Browser Choice Update” denkt.

Dem Satz “First off, I think we’re acting like Chicken Littles a bit. Once we patch for the latest zero day, there’s nothing preventing another one popping up the next day. On any browser. On any platform. So I think we need to step back and bit and think about how we’re protecting machines.” in ihrem anderen Artikel stimmen wir allerdings zu.

Bottom Line: Es gibt NikGzP (noch immer kein Grund zur Panik; wie ein Schullehrer immer an die Tafel schrieb) und genug Möglichkeiten Sicherheit im Unternehmensumfeld zu gewährleisten, ohne den Browser zu wechseln, was uns nur andere potentielle Schwachstellen einbringt.


Aktuelles finden Sie stets auch auf der Website, oder auf Twitter.  

Experten machen den Unterschied: Lesen Sie, weshalb die Zusammenarbeit mit einem Microsoft Partner Silver Small Business und und Mitgliedsunternehmen der MSPAlliance die Wettbewerbsfähigkeit Ihres Unternehmens erhöht.

Sollten Sie aktive Unterstützung benötigen, können Sie sich jederzeit an uns wenden und nach unseren Managed Services, oder unseren Microsoft Office 365 Diensten für kleine und mittelständische Unternehmen in der Region Hamburg fragen.

Unsere Aufgabe ist es, Ihnen bei der Verwaltung Ihrer Netzwerke zu helfen, damit Sie sich um Ihr Geschäft kümmern können.

Lassen Sie uns Ihnen helfen, die Methoden und Richtlinien zu entwerfen, die Ihr Unternehmen noch erfolgreicher machen.

Unser Ziel: “Enterprise Solutions and Quality for Small Business”

Unsere fünf Kerndienste: Managed Workstations – Managed Email – Managed Cloud – Managed Continuity – Managed Security

21. September 2012 - Posted by | Lessons learned: Notes from the field | , , , , , , , , , , , , , , , , , ,

Sorry, the comment form is closed at this time.