超越EMET II：Windows Defender Exploit Guard

自2016年11月我们首次讨论EMET的未来及其与Windows 10的关系以来，我们收到了大量来自EMET客户和爱好者的宝贵反馈。基于这些反馈，我们很高兴分享随着Windows 10 Fall Creators Update而来的重大漏洞利用防护和威胁缓解改进！

我们最近推出了Windows Defender Exploit Guard（WDEG），这将完成我们将EMET的所有安全优势直接整合到Windows中的旅程。这一努力受到了我们调查数据、客户支持电话以及与EMET利益相关者和安全爱好者对话中最常出现的两个见解的显著影响。最重要的是，我们的客户表示他们希望（1）一个用户友好的UI来配置缓解设置，以及（2）一种保护他们在Windows 10上传统应用的方式。

因此，借助Windows 10 Fall Creators Update，您现在可以直接从Windows Defender安全中心（WDSC）审核、配置和管理Windows系统和应用程序漏洞利用缓解。您不需要部署或安装Windows Defender Antivirus或任何其他额外软件来利用这些设置，WDEG将在每台运行Fall Creators Update的Windows 10 PC上可用。Windows Insiders今天就可以按照以下简单步骤开始试用WDEG：

• 右键单击任务栏通知区域中的WDSC图标，然后单击“打开”，或在“开始”菜单中搜索Windows Defender安全中心。
• 从Windows Defender安全中心，单击“应用和浏览器控制”。
• 滚动到结果屏幕的底部以找到“漏洞利用防护设置”。

除了WDSC中新的用户友好界面外，我们还添加了我们的EMET客户所期望的相同传统应用保护，从而实现了Windows 10缓解支持与EMET提供的所有缓解功能之间的对等。虽然我们强烈建议使用控制流防护（CFG）来提供最强的可用保护，但我们理解许多企业依赖传统应用来运行其业务操作，其中许多可能永远不会用CFG重新编译。这些用户现在可以使用Exploit Guard通过为传统应用配置控制流保护来帮助保护此类应用在现代系统上的安全，类似于EMET提供的功能，但直接内置到Windows 10中作为WDEG的一部分。这些传统应用控制流保护包括：

• 导出地址过滤（EAF）
• 导入地址过滤（IAF）
• 验证API调用（CallerCheck）
• 模拟执行（SimExec）
• 验证堆栈完整性（StackPivot）

我们客户的另一个常见要求是审计支持。为了便于轻松部署和使用缓解措施，而无需承担应用程序兼容性副作用的负担，我们为EMET传统应用缓解措施以及Windows提供的现有本机缓解措施引入了审计模式支持。

尽管EMET附带了一组推荐的配置设置，但我们知道许多EMET客户自定义策略以满足其业务的特定需求。为了帮助迁移到Windows Defender Exploit Guard，我们添加了一个新的PowerShell模块，可将EMET XML设置文件转换为WDEG的Windows 10缓解策略。有关此PowerShell模块的更多信息，以及关于EMET功能如何与Windows 10中的安全功能相关的信息，可以在主题“理解Windows 10与增强缓解体验工具包的关系”中找到。

最后，Windows Defender Exploit Guard包含的功能远不止从EMET集成的功能，我们期待在未来的博客文章中讨论主机入侵预防功能和其他WDEG组件。就即将推出的功能而言，WDEG将很快与Windows Defender ATP（WDATP）完全集成，以提供跨Windows安全堆栈的单一窗格视图。配置的WDEG缓解措施的违规将由WDATP记录，并用作更高级漏洞利用检测的额外信号。

有关Windows 10威胁缓解的更多详细信息，请参阅我们在Microsoft Docs上的Windows 10威胁缓解文档。

• Nate Nunez, OS Security