5.2 EMET 的末路 - 漏洞分析基础 - 漏洞分析 - 看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

5.2 EMET 的末路

最早的 EMET（Enhanced Mitigation Experience Toolkit）版本是在 2009 年时发布的，它的诞生是为了增强系统对 0day 漏洞的防护。对于攻击者可能用到的漏洞利用技术，EMET 会试图阻止相关操作或使这些操作不再有效。即使是未知的漏洞威胁，EMET 也能起到很好的防护作用。 EMET 允许用户将如下这些安全防护措施应用到系统中： ![0.JPG](https://i.loli.net/2017/12/13/5a31079443bec.jpg) 对微软来说，EMET 已经被证明是有用的。首先，它能缓解许多当下常见的漏洞利用攻击，用户不必再等待 Windows 版本更新后的解决方案。其次，EMET 可用于评估新的安全特性，这也直接导致 Windows 7, 8, 8.1 和 10 中许多机制的创新。但 EMET 也有严重的缺陷，它不是操作系统的一部分。许多 EMET 的特性也并非十分健壮，其中就有可能存在相应的绕过技术。同时，EMET 中用到的一些 Hook 方式有悖于系统的设计，这对操作系统的性能、可靠性以及其上运行的应用程序都带来了严重的副作用。此外，在操作系统发展的同时，EMET 的脚步显然没有跟上。 Windows 10 Fall Creators 更新成了 EMET 的末路，出于兼容性、可靠性以及性能方面的考虑，在该版本的 Win10 系统中会自动卸载 EMET，并且新引入了 WDEG（Windows Defender Exploit Guard），其包含 4 个组件： - Attack Surface Reduction：一组控件，通过阻止来自 Office、脚本和 email 的安全威胁来保护计算机不被恶意程序感染。 - Network protection：基于 Windows Defender SmartScreen 来阻止进程连接到不被信任的主机，以此保护终端设备免受 Web 层面的威胁。 - Controlled folder access：通过阻止非信任进程对文件的访问来保护敏感数据免受勒索软件的影响。 - Exploit protection：一套直接内置于系统中的漏洞利用缓解措施和保护增强方案。这里的 Exploit protection 组件即用于取代 EMET。而 Exploit protection 中使用的配置文件格式和 EMET 是不同的，为了便于移植，PowerShell 提供了一个模块来实现 EMET 中 XML 配置文件的转换： ![1](https://msdnshared.blob.core.windows.net/media/2017/10/windows-defender-exploit-guard-8-2.png) 参考： [1] EMET 5 5 User's Guide [https://download.microsoft.com/download/7/7/1/771312BF-53F1-4FE1-B894-8EE93ABE567E/EMET%205%205%20User's%20Guide.pdf](https://download.microsoft.com/download/7/7/1/771312BF-53F1-4FE1-B894-8EE93ABE567E/EMET%205%205%20User's%20Guide.pdf) [2] Moving Beyond EMET [https://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/](https://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/) [3] Moving Beyond EMET II – Windows Defender Exploit Guard [https://blogs.technet.microsoft.com/srd/2017/08/09/moving-beyond-emet-ii-windows-defender-exploit-guard/](https://blogs.technet.microsoft.com/srd/2017/08/09/moving-beyond-emet-ii-windows-defender-exploit-guard/) [4] Windows Defender Exploit Guard: Reduce the attack surface against next-generation malware [https://blogs.technet.microsoft.com/mmpc/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-generation-malware/](https://blogs.technet.microsoft.com/mmpc/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-generation-malware/)

⋮