超越EMET II – Windows Defender Exploit Guard

自2016年11月我们首次探讨EMET未来及其与Windows 10的关系以来（参见《超越EMET》），我们收到了大量来自EMET客户和爱好者的宝贵反馈，涉及即将到来的EMET生命周期终止。基于这些反馈，我们很高兴分享随着Windows 10秋季创作者更新而来的重大新漏洞利用防护和威胁缓解改进！

我们最近推出了Windows Defender Exploit Guard（WDEG），这将完成我们将EMET的所有安全优势直接整合到Windows中的旅程。这项工作受到我们调查数据、客户支持电话以及与EMET利益相关者和安全爱好者对话中最常出现的两个见解的显著影响。最重要的是，我们的客户表示他们希望（1）一个用户友好的界面来配置缓解设置，以及（2）一种在Windows 10上保护其传统应用程序的方法。

因此，通过Windows 10秋季创作者更新，您现在可以直接从Windows Defender安全中心（WDSC）审计、配置和管理Windows系统和应用程序漏洞利用缓解。您不需要部署或安装Windows Defender防病毒软件或任何其他附加软件来利用这些设置，WDEG将在每台运行秋季创作者更新的Windows 10 PC上可用。Windows Insider今天可以按照以下简单步骤开始试用WDEG：

• 右键单击任务栏通知区域中的WDSC图标，然后单击“打开”，或在开始菜单中搜索Windows Defender安全中心。
• 从Windows Defender安全中心，单击“应用和浏览器控制”。
• 滚动到结果屏幕的底部以找到“漏洞利用防护设置”。

除了WDSC中新的用户友好界面外，我们还添加了我们的EMET客户已经期望的相同传统应用程序保护，从而实现了Windows 10缓解支持与EMET提供的所有缓解功能之间的对等。虽然我们强烈建议使用控制流防护（CFG）来提供最强的可用保护，但我们理解许多企业依赖传统应用程序来运行业务操作，其中许多可能永远不会用CFG重新编译。这些用户现在可以使用Exploit Guard通过为传统应用程序配置控制流保护来帮助保护这些应用程序在现代系统上的安全，类似于EMET提供的功能，但作为WDEG的一部分直接内置到Windows 10中。这些传统应用程序控制流保护包括：

• 导出地址过滤（EAF）
• 导入地址过滤（IAF）
• 验证API调用（CallerCheck）
• 模拟执行（SimExec）
• 验证堆栈完整性（StackPivot）

我们客户的另一个常见要求是审计支持。为了便于轻松部署和使用缓解措施，而无需承担应用程序兼容性副作用的负担，我们为EMET传统应用程序缓解措施以及Windows提供的现有本机缓解措施引入了审计模式支持。

尽管EMET附带了一组推荐的配置设置，但我们知道许多EMET客户自定义策略以满足其业务的特定需求。为了帮助迁移到Windows Defender Exploit Guard，我们添加了一个新的PowerShell模块，该模块将EMET XML设置文件转换为WDEG的Windows 10缓解策略。有关此PowerShell模块以及EMET功能如何与Windows 10中的安全功能相关的更多信息，可以在主题“理解Windows 10与增强缓解体验工具包的关系”中找到。

最后，Windows Defender Exploit Guard包含的功能远不止从EMET集成的功能，我们期待在未来的博客文章中讨论主机入侵防护功能和其他WDEG组件。就即将推出的功能而言，WDEG将很快与Windows Defender ATP（WDATP）完全集成，以提供跨Windows安全堆栈的单一窗格视图。配置的WDEG缓解措施的违规将由WDATP记录，并用作更高级漏洞利用检测的附加信号。

有关Windows 10威胁缓解措施的更多详细信息，请参阅我们在Microsoft Docs上的Windows 10威胁缓解文档。

• Nate Nunez, OS Security