Hallo Herr Beisecker,
Meine Anfrage bezieht sich auf das in Ihrem „Spezialreport zum Schutz vor Schadprogramm-Fallen von ´Ihr PC-Sicherheits-Berater´ vom Mai 2014 auf Seite 7“ vorgestellte das Microsoft-Tool „EMET GUI“. Dieser Beitrag endet mit den optimalen Einstellungen, wonach alle Regler-Symbole „grün“ sein sollen.
Ich habe diese Einstellungen versucht, jetzt auf meinem PC mit der aktuellen EMET 5.1-Version umzusetzen.
Anscheinend schützt EMET jetzt meine Anwendungen auch vor mir. ;-)) ,
denn mit 4 x „grün“ und den vorgegebenen (!) Grundeinstellungen ist eine Nutzung der Programme nicht mehr möglich – jedenfalls bei mir … .
Was mache ich falsch?
Ich möchte nicht unbedacht irgendwelche Häkchen entfernen, da ich annehme, dass diese ihre Berechtigungen haben. Oder sehe ich das falsch …?
„Danke für Ihre Hilfe“ und noch „Alles Gute für das Neue Jahr“ übermittelt Ihnen
dieter53
Sehr geehrter dieter53,
hier wird der EAF-Schutz „Export Address Table Access Filtering“ verletzt. Dieser Schutz ist bei EMET 5.1 in der bisherigen Form (EAF) und einer neuen, erweiterten Form EAF+ vorhanden.
EAF verhindert, dass ein Programm die Adresse eines anderen Programms im Arbeitsspeicher lesen kann. Ein Schadprogramm könnte darüber die betreffende Anwendung infizieren.
Einige Anwendungen laufen jedoch ohne diesen potenziell gefährlichen Adresszugriff nicht. Dazu gehören leider auch einige ältere Microsoft-Programme und sogar Antiviren-Programme, Firewalls und andere Sicherheitsprogramme.
Sie schreiben leider nicht, welche Windows-Version Sie verwenden und welche Office-Version, denn hier könnte der Fehler liegen:
1. Verwenden Sie EMET 5.1 nicht für Windows XP, sondern EMET 4.1 Update 1: https://www.microsoft.com/en-us/download/details.aspx?id=41138 EMET 5.1 läuft zwar auch unter Windows XP, ist dafür aber nicht freigegeben.
2. Ältere Anwendungen wie zum Beispiel Word 2003, Excel 2003 oder PowerPoint 2003 unterstützen EAF und EAF+ nicht, einige Anwendungen funktionieren mit EAF, aber nicht mit EAF+. Deaktivieren Sie daher zunächst EAF+ und bei Bedarf auch EAF. Dann sollten die Anwendungen laufen. Noch ältere Anwendungen wie Office XP unterstützen keinerlei EMET-Schutz. Hier sollten Sie alle EMET-Schutzfunktionen deaktivieren. Solche Anwendungen sollten Sie aus Sicherheitsgründen nicht mehr verwenden bzw. updaten.
3. Überprüfen Sie den Eintrag der abstürzenden Anwendungen. Dieser sollte kein Jokerzeichen (Wildcard wie *) im Pfad enthalten. Statt *Users*AppDataLocal zu Beginn einer Adresse schreiben Sie C:UsersBenutzernameAppDataLocal, wobei Sie Benutzername durch den Namen des betreffenden Kontos ersetzen. Das bedeutet dann auch, dass Sie den Eintrag für alle Konten vornehmen müssen, die Zugriff auf die betreffende Crash-Anwendung haben.
4. Skype, Dropbox sowie weitere Online-Speicher, Firewalls, Sandboxen und Antiviren-Programme laufen oft nicht mit EAF und EAF+. Deaktivieren Sie EAF und EAF+ dort, das ist dafür auch die Empfehlung von Microsoft.
Ich wünsche Ihnen auch alles Gute im neuen Jahr 2015 und viel Erfolg beim Beheben des EAF-Fehlers sowie ein schönes Wochenende.
Viele Grüße
Michael-Alexander Beisecker
Schön, dass Ihre Frage beantwortet wurde!
Um weiterhin auf dem Laufenden zum Thema Technik und PC zu bleiben, nehmen Sie doch kostenlos teil an unseren monatlichen LIVE-Webinaren: hier klicken für Registrierungsseite. Bei diesen Online-Shows können Sie uns all Ihre Fragen rund um das Thema Computer stellen und lernen jeden Monat etwas Neues.
Sehr geehrter Herr Beisecker,
vielen Dank für die ausführliche Beantwortung meiner Anfrage. Leider habe ich im Internet kaum deutschsprachige Erläuterungen zum Programm EMET und dessen Handhabung gefunden, so dass Ihre Erläuterungen zum Thema sehr hilfreich waren.
Ich würde mir wünschen, dass die vielfältigen Optionen in den einzelnen Programmbereichen – ähnlich wie Sie das für EAF / EAF+ getan haben – evtl. im „Ihr-PC-Sicherheits-Berater“ einmal genauer erläutert werden. (sozusagen als Fortsetzung Ihrer Ausführungen vom Mai 2014).
Oder welche Schlüsse kann ich aus den Anzeigen zu ´Running Processes´ (z.B. Running EMET) auf der Startseite des ´Enhanced Mitigation Experience Toolkits´ ziehen?
Auch wäre es interessant zu erfahren, wie ich selbst Programme unter den Schutz von EMET stellen kann und wie ich bei auftretenden Fehlermeldungen richtig reagieren muss, um den Schutz zu erhöhen statt durch falsche Handhabung diesen zu vermindern.
In der Hoffnung, dass sich meine Anregung umsetzen lässt, verbleibt
mit freundlichen Grüßen
dieter53
Sehr geehrter dieter53,
vielen Dank für Ihre Anregungen. Ich werde das in der Redaktionskonferenz besprechen.
Es sind allerdings sehr viele unterschiedliche Schutzmechanismen und somit würde die Erklärung mehrere Seiten, sehr technischer Erklärungen umfassen.
In der Praxis sind viele dieser Erklärungen auch nicht relevant für Sie als Anwender, da lediglich die Entwickler der Programme etwas daran ändern können, wenn ein Schutz zu Fehlern führt. Die Entwickler müssten den Schutz in ihre Programme einbauen.
Die meisten Probleme treten zudem bei älteren, nicht mehr gepflegten Programmversionen oder Programmen auf. Hier werden die Entwickler nichts mehr ändern. Aus Sicherheitsgründen sollten die älteren Programme daher nicht mehr verwendet werden und auch nicht mehr installiert sein.
Folgende deutsche Seiten im Internet liefern Ihnen Informationen zu EMET:
https://support.microsoft.com/kb/2458544/de Microsoft-Seite zu EMET
https://www.heise.de/security/artikel/Microsoft-Tool-laesst-Exploits-ins-Leere-laufen-1078697.html Artikel von Heise über mehrere Seiten von 2010
Wirklich ausführliche Informationen gibt es allerdings tatsächlich nur in englischer Sprache.
Zu den Programmen: Sie können nichts anderes tun, als den in der Fehlermeldung genannten Schutz zu deaktivieren oder das Programm durch ein anderes zu ersetzen, das besser geschützt ist.
Ist das Programm nicht auf dem aktuellsten Stand, kann ein Update helfen. Die meisten Programme unterstützen jedoch aus Kompatibilitätsgründen auch in der aktuellsten Version nicht alle EMET-Schutzfunktionen – dazu gehören leider auch Antiviren-Programme (dazu kommt von mir noch eine Meldung) und auch aktuelle Microsoft-Programme.
Es ist nur angesichts von mehreren hunderttausend PC-Programmen und mehrere Millionen Versionen aus Zeit- und Kostengründen unmöglich, diese alle mit EMET zu testen. Daher ist mir auch keine solche umfassende Übersicht bekannt.
Mit freundlichen Grüßen
Michael-Alexander Beisecker
Sehr geehrter Herr Beisecker,
auch diese heute von Ihnen verfassten Antworten haben mir weiter geholfen, EMET besser zu verstehen.Mir geht es nicht um tiefgreifende technische Details, die Fachleute benötigen, um die Programme sicherheitstechnisch weiter zu verbessern.
In der Programmvorstellung vom Mai 2014 war für mich der Eindruck entstanden,dass mit der Installation von EMET „alles“ gut ist bzw. wird .
Daher wäre es prima, wenn Sie sich in der Redaktions-konferenz für einen Ergänzungs-Beitrag zum Thema „EMET in der Praxis“ stark machen könnten, denn
– eine deutschsprachige Kurzvorstellung der wohl mittlerweile „14 Antikörper“,
– das Verhalten bei Fehlern (auch für selbst unter EMET-Schutz gestellte Programme),
– Hinweise auf unterschiedliche (zum Teil ältere) Software-Stände und dadurch hervorgerufene Probleme
= all das sind die Dinge, die einem Laien das Programm-Verständnis erleichtern.
daher nochmals „Danke“ für Ihre Hilfe und „toi,toi, toi“ für die Redaktionskonferenz … !
Freundliche Grüße
dieter53
Sehr geehrter dieter53,
danke für die weiteren Hinweise. Der Begriff „Antikörper“ ist sehr gut und anschaulich, das kann ich sicher verwenden.
Sehr gut gefallen mir auch Ihre Themen, die in einem solchen Artikel behandelt werden sollten, damit sie dem Anwender das Programm-Verständnis erleichtern.
Das erhöht die Chance für die Redaktionskonferenz. Ich werde Sie informieren, sobald da eine Entscheidung getroffen wurde.
Schreiben Sie mir gerne auch weitere Anregungen, was Ihnen gut oder weniger gut gefallen hat oder welche Themen Ihnen fehlen.
Wir arbeiten ständig daran, die Ausgaben zu verbessern. Die Leserwünsche haben dabei unsere höchste Priorität. Je mehr Rückmeldungen ich erhalte, umso besser kann ich den PC-Sicherheitsberater daher Ihren Vorstellungen und Bedürfnissen anpassen.
Freundliche Grüße
Michael-Alexander Beisecker