Zero Day Exploits sind Sicherheitslücken, die an dem Tag der Entdeckung bereits aktiv ausgenutzt werden (können). Das Problem was für die IT hier besteht ist, dass die Hersteller häufig ein paar Tage brauchen um die Sicherheitslücke mit einem Patch schließen zu können. Bis zur Installation des Patches sind die Systeme jedoch ungeschützt, was je nach Schwere des Zero Day Exploits ein erhebliches Problem darstellen kann.
Microsoft hat daher ein Tool namens EMET entwickelt, dass Systeme vor diesen Exploits schützen soll.
Um das Tool nun in einer größeren Umgebung zu verwenden, macht es Sinn, es global zu installieren und auch die XML-Datei mit der Konfiguration zentral zu managen. Hierzu bietet Microsoft eine ADMT-Vorlange an, die nach der Installation in dem Verzeichnis %programfiles%EMETDeploymentGroup Policy Files liegt. Zur Verwendung der Vorlage muss die ADMX-Datei auf einem DC nach "C:WindowsPolicyDefinitions" und die ADML-Datei nach "C:WindowsPolicyDefinitionsen-US" kopiert werden. Anschließend stehen in den Gruppenrichtlinien die entsprechenden Einstellung zur Verfügung.
Dennoch habe ich mich mal damit beschäftigt, die Verteilung sowie Konfiguration mittels vbs-Skript zu realisieren. Einmal weil es mich gereizt hat, und weil zweites aus meiner Sicht sich nur die EMET "System Configuration" per GPO Sinnvoll setzten lässt. Die zu schützenden Anwendungen will man doch wahrscheinlich lieber per XML-Datei selber verteilen.
Dass das Skript selbst ist an sich relativ selbst erklärend ist. Es führt auf dem Client die EMET_Setup.exe Datei aus und setzt die Einstellungen auf die gleichen wie "Maximum Security Settings" (Alternativ per GPO, was die Einstellung auch vor Veränderungen schützen würde). Anschließend wird eine XML-Datei mit den zu schützenden Anwendungen geladen, insofern die lokale Kopie der XML-Datei nicht vorhanden bzw. älter als die Vorlage auf dem Server ist.