Acabo de encontrar información sobre el Kit de herramientas de experiencia de mitigación mejorada . La ciencia detrás de esto está más allá de mí, pero ¿cuánta protección sobre un antivirus proporciona?
¿Debo habilitar su protección para cada proceso o seleccionar los vectores de ataque más utilizados y salvaguardar solo esos? Me preocupa el impacto negativo en el rendimiento.
EMET implementa varias características de protección que faltan en las ediciones de Windows anteriores a Win10. Además, agrega algunas características de protección que atrapan el código de shell común de cortar y pegar. EMET está en desuso porque Microsoft ha incorporado la mayoría de las características en Windows 10 de forma nativa, aunque no todas están presentes.
I escribí una respuesta hace un tiempo que describe algunas de las características estándar de EMET.
El impacto en el rendimiento es insignificante, incluso en aplicaciones más complejas como Firefox, Chrome, Office y Visual Studio. El único problema que he encontrado es la detección falsa de las funciones "Llamador" o "Llamador +" al abrir cuadros de diálogo estándar (por ejemplo, cargar / guardar) desde algunas aplicaciones. Para esos casos, simplemente desactivo esas funciones.
He habilitado EMET contra casi todo en mi sistema, lo que probablemente abrirá gran cantidad de contenido no confiable. Los navegadores y lectores de documentos son la elección primaria obvia, reproductores de video y audio (por ejemplo, VLC, MPC-HC), así como aplicaciones de comunicaciones (IRC, Telegram), además de Windows Explorer, cmd.exe, PuTTY, suites de edición de imágenes y Un montón de otras aplicaciones aleatorias. Todos estos funcionan bien, aunque algunos necesitan un poco de modificación de políticas.
Tenga en cuenta que EMET no lo protege contra malware. Implementa características que hacen que sea más difícil para una persona lograr con éxito un exploit de ejecución de código contra una vulnerabilidad en el software que se ejecuta en su sistema (¡sin incluir el kernel!). Estas características también ayudan a evitar que la shellcode genérica se ejecute correctamente, por lo que es probable que un atacante tenga que adaptar una carga útil de explotación específicamente para un sistema protegido por EMET.