Thanh Phương
Intern
Cấu hình Memory Exploit Mitigation (MEM) là một bước quan trọng nhằm tăng cường khả năng phòng vệ của hệ thống trước các kỹ thuật khai thác lỗ hổng bộ nhớ. Thông qua việc kích hoạt và tinh chỉnh các cơ chế bảo vệ, quản trị viên có thể ngăn chặn các hành vi khai thác như tràn bộ đệm hoặc thực thi mã độc trong bộ nhớ. Điều này giúp giảm thiểu nguy cơ bị tấn công từ các mối đe dọa tinh vi, đồng thời nâng cao mức độ an toàn và ổn định cho hệ thống.
Tab Mitigation Techniques: Chọn "Vũ khí" phòng thủ
Choose a mitigation technique: Tại đây bạn chọn kỹ thuật cụ thể
-SEHOP (61000): Ngăn chặn việc ghi đè lên chuỗi xử lý ngoại lệ (Exception Handler)
-Java Security Manager: Tạo một "chiếc lồng" (sandbox) cho các ứng dụng chạy bằng Java.
-StackPvt: Phát hiện việc thay đổi con trỏ ngăn xếp (Stack Pointer)
-ForceDEP: Ngăn chặn việc thực thi mã trong các vùng nhớ chỉ dành cho dữ liệu.
-ForceASLR: Ép buộc các file thực thi phải được nạp vào các địa chỉ bộ nhớ ngẫu nhiên.
-HeapSpray: Ngăn chặn kỹ thuật "xịt" mã độc vào bộ nhớ Heap
-EnhASLR: Phiên bản nâng cấp của ASLR
-NullProt: Bảo vệ vùng nhớ "Null" (địa chỉ 0x00000000)
Hành động (Action):
Truy cập vào Chính sách MEM
- Đăng nhập vào Symantec Endpoint Protection Manager (SEPM).
- Ở cột bên trái, chọn mục Policies.
- Trong danh sách các loại chính sách, chọn Memory Exploit Mitigation.
- Bạn có thể chỉnh sửa chính sách mặc định hoặc chuột phải vào vùng trống và chọn Add Memory Exploit Mitigation Policy.
Tab Mitigation Techniques: Chọn "Vũ khí" phòng thủ
Choose a mitigation technique: Tại đây bạn chọn kỹ thuật cụ thể
-SEHOP (61000): Ngăn chặn việc ghi đè lên chuỗi xử lý ngoại lệ (Exception Handler)
-Java Security Manager: Tạo một "chiếc lồng" (sandbox) cho các ứng dụng chạy bằng Java.
-StackPvt: Phát hiện việc thay đổi con trỏ ngăn xếp (Stack Pointer)
-ForceDEP: Ngăn chặn việc thực thi mã trong các vùng nhớ chỉ dành cho dữ liệu.
-ForceASLR: Ép buộc các file thực thi phải được nạp vào các địa chỉ bộ nhớ ngẫu nhiên.
-HeapSpray: Ngăn chặn kỹ thuật "xịt" mã độc vào bộ nhớ Heap
-EnhASLR: Phiên bản nâng cấp của ASLR
-NullProt: Bảo vệ vùng nhớ "Null" (địa chỉ 0x00000000)
Hành động (Action):
- Set the protection action... to log only: Nếu tick vào đây, hệ thống sẽ chỉ ghi lại nhật ký khi thấy tấn công mà không chặn. Bạn không nên tick ô này để thấy được hiệu quả chặn thực tế.
- Choose a protection action...: Bạn chọn Default (Yes) để áp dụng hành động mặc định (thường là Block - Chặn) cho tất cả ứng dụng trong danh sách bên dưới.
Tab Application Rules: Chọn "Đối tượng" bảo vệ
Tại tab này, bạn quyết định xem những ứng dụng nào sẽ được Symantec "canh gác" bộ nhớ:- Danh sách ứng dụng: Cột Name và Path liệt kê các phần mềm dễ bị tấn công nhất (như Java, Office, trình duyệt).
- Cột Protected: Bạn tick vào đây để kích hoạt bảo vệ cho file .exe tương ứng. Nếu ứng dụng bạn muốn test không có sẵn, bạn có thể cuộn xuống dưới cùng để thêm thủ công đường dẫn của nó.
Lưu và Áp dụng (Bước cuối cùng)
- Nhấn OK: Để lưu lại toàn bộ các thiết lập bạn vừa thực hiện trong chính sách này.
- Assign (Gán chính sách): Sau khi nhấn OK, ngoài màn hình danh sách Policies, bạn chuột phải vào tên chính sách vừa tạo -> chọn Assign -> chọn Group chứa các client trong lab của bạn.
Bài viết liên quan
Được quan tâm
Bài viết mới