CERT-Experte: EMET für Sicherheit von Windows 10 unverzichtbar

Anfang des Monats hatte Microsoft den eigentlich schon im Januar 2017 ablaufenden Support für das Enhanced Mitigation Experience Toolkit (EMET) bis Juli 2018 verlängert. Eigenen Aussagen zufolge reagierte es damit auf Nachfrage von Kunden – eigentlich hält der Konzern das Toolkit aber für überholt, denn seiner Ansicht nach werden dessen Funktionen von den in Windows 10 enthaltenen Schutzmechanismen nicht nur übernommen, sondern sogar übertroffen.

Wie Microsoft-Manager Jeffrey Sutherland erklärte, sind die in Windows 10 integrierten Sicherheitsfeatures ein besserer Weg, um sich gegen Angriffe und Sicherheitsrisiken zu schützen. Die aktuelle Version des Betriebssystems verfüge über sämtliche Funktionen von EMET, darunter auch Memory Adress Space Layout Randomisation und Date Execution Protection. Zudem liefere Microsoft mit Windows auch Features, wie die Hardware-Virtualisierung, die davor schützen sollen, das Sicherheitslecks ausgenutzt werden.

CERT-Sicherheitsexperte Will Dormann von der Carnegie Mellon University kann sich dieser Argumentation jedoch nicht anschließen. Seiner Ansicht nach gibt EMET Nutzern weiterhin mehr Kontrolle, ist flexibler konfigurierbar und besser geeignet, benötigte um auch ältere Anwendungen zu sichern. Dormann wirft Microsoft vor, den eigentlichen Nutzen von EMET zu übersehen: Das sei nämlich die Möglichkeit, Anwendungen zusätzliche Abwehrmaßnahmen aufzuzwingen, wenn sie Abwehrmechanismen des Betriebssystems nicht für sich nutzen.

“Es ist ziemlich klar, dass eine auf einem standardmäßigen Windows-10-System laufende Anwendung nicht über die gleichen Schutzmaßnahmen verfügt wie eine Anwendung, die auf einem Windows-10-System mit sauber konfiguriertem EMET läuft”, so Dormann. “Selbst ein Windows-7-System mit konfiguriertem EMET schützt Ihre Anwendung besser als ein unverändertes Windows-10-System.”

Dormann zufolge hält Windows 10 zwar tatsächlich “ein paar nette” Mechanismen zur Verhinderung von Exploits bereit, aber die von den Anwendern eingesetzte Software müsse eigens kompiliert werden, um daraus Vorteile zu ziehen. Das Problem dabei sei, dass in Unternehmen kaum jemand wisse, welche Anwendung welche Exploit-Abwehrtechnik nutzt.

Der Sicherheitsexperte empfiehlt daher den Einsatz von EMET auch über das Support-Ende am 31. Juli 2018 hinaus. Das Support-Ende bedeute ja nicht, dass das Hilfsprogramm danach nicht mehr arbeite. Ein Upgrade auf Windows 10 sei aber durchaus auch eine gute Idee, um die Ausnutzung von Exploits zu verhindern. Aber: “Windows 10 bietet nicht all die Features zur Abwehr, auf die sich EMET-Administratoren schon länger verlassen können.” Daher hält Dormann die Installation von EMET und seine Konfiguration für anwendungsspezifische Abwehrmechanismen auch weiterhin für ratsam.

Anwender oder Administratoren können mit EMET für ausgewählte Programme zusätzliche Sicherheitstechnologien zur Schadensbegrenzung einsetzen. Dadurch lassen sich zahlreiche Angriffsmethoden blockieren, die von Schadsoftware und Exploits ausgenutzt werden. Bei EMET lassen sich die einzelnen Sicherheitstechnologien für jede Anwendung einzeln ein- oder ausschalten. Darüber hinaus bietet das Tool auch systemweite Sicherheitsvorkehrungen, die gut über eine einheitliche Bedienoberfläche zu verwalten sind.

Das Support-Ende von EMET begründete Microsoft auch damit, dass sich das Toolkit teilweise deutlich negativ auf die Performance und Verlässlichkeit von Windows und von Anwendungen auswirken kann. Das hänge damit zusammen, dass es sich auf undokumentierte Weise sehr tief in das Betriebssystem eingegraben habe. “Für Kunden stellt das ein dauerhaftes Problem dar, denn jedes Update eine Betriebssystems oder einer Anwendung könne ein Performance- oder Stabilitätsproblem aufgrund von Inkompatibilitäten mit EMET hervorrufen”, so Microsoft-Manager Sutherland.

[mit Material von Bernd Kling, ZDNet.de]