EMET 4.0, PKI a information leak

[Jája]

EMET 4.0 generuje a odesílá  EMET_40_PKI  zaznamenané "Windows Error Report" události.

Pokud mohu posoudit, odesílá identifikátory kořenových certifikátů, které byly použity pro kontrolu určitých (možná všech) webů společnosti Microsoft (například SmartScreen - urs.microsoft.com).

Problém je dvojí, repektive trojí.

1. Windows Error Report je odesílán automaticky, nezávisle na nastevení Error Report konzole.
2. Automatické odesílání se děje i tehdy když má EMET 4.0 zakázaný Early Warning. Naštvalo mne to reportování a tak jsem Early Warning zakázal. Stejně report odchází.
3. V Event Logu a myslím i Error reportu je patrná jen adresa microsoft.com Pro zjištění konkrétní služby je třeba přelouskat přiložený log. Problém je, že tyhle logy každý normální člověk průběžně maže a to zůstane v Event Logu je tedy k ničemu. EMET Notifier se těmito hlášeními nezabývá.

Řešíte to nějak? Je vůbec ta jejich kontrola kořenových certifikátů k něčemu? Podle mne nic moc, údržba katastrofa. Už to někdo vypnul?

Zkoušel někdo deployment? Nemohu použít Group Policy, jak je to s tím System Center Configuration Managerem. Nechápu zda jde o placený SW, nebo lze použít (třeba i omezeně) zdarma. Pokud někdo zkoušel, lze Error Repor řídit?

Vítám i jakékoli další vlastní zkušenosti. Pište sem klidně cokoli ohledně EMETu.

[Reklama]

[Jája]

Tak právě jsem vytvořil pro web vadnou kontrolu kořenového certifikačního úřadu. Nespustil jsem "EMET_Conf --refresh", ale jen zavřel GUI a testoval.

- Pravidlo bylo aktivní ihned. Na web jsem se nedostal. Subdoménou WWW se nemusíte zabývat, ale nevím zda i u serverů, které nemají automatické přesměrování (browser volá www.doména.cz, pravidlo je jen pro doména.cz, nicméně server při volání doména.cz přesměrovává na www.doména.cz).
- Notifier zareagoval, ale maže zprávy rychle.
- V Event Logu je to označeno jako Chyba (zdroj EMET). Událost z předchozího příspěvku byla označena jako Informace (zdroj Windows Error Reporting).
- Windows Error Report je prázdný. EMET má v současmosti Early warning vypnutý. Od minulé stížnosti (viz.předchozí příspěvek) jsem pro jistotu spustil "EMET_Conf --refresh", ale zda je předchozí problém odstraněn stále nevím.

[Jája]

Ochrana procesu WUDFHost (Windows Driver Foundation - User-mode Driver Framework Host Process) způsobí, že se shell (explorer) nedomluví s USB 3G modemem. Dialogy jako je "Připojit k síti", "Správa síťových připojení", "Vlastnosti připojení" nemají informace a nemohou komunikovat. Klasická správa modemu (Možnosti telefonu a modemu) přímo se zařízením komunikovat může.

Žádná chyba není detekována. Vše funguje normálně, akorát je narušena komunikace s USB modemem.

Další síťové prvky a způsoby připojení do Internetu či sítě jsem netestoval, proces byl vyjmut z ochrany.

P.S.
Pište na co příjdete. Pokud to bude dávat hlavu a patu a trochu to zapadne do konceptu přidám to ke svým poznámkám a odešlu jako feedback. Píši veřejně jen proto aby jste přidali své poznámky. Pokud se nikdo nepřidá nechám vlákno uzavřít.

[Jája]

Toto je žádost o uzavření, nebo nejlépe úplné zrušení/odstranění diskuse.

Své další postřehy kolem EMETu zde nehodlám zveřejňovat. Výměna informací zde neprobíhá, téma zřejmě nikoho nezaujalo. Ničí příspěvky, výjma mých vlastních, nebudou smazány. Uživatele si můžete ověřit pomocí uváděného e-mailu.

Děkuji redakci Roota za prostor i za zrušení diskuse.
Jája