超越EMET

EMET – 过去与现在

微软的可信计算计划在2009年已满7年，当时我们首次发布了增强缓解体验工具包（EMET）。尽管在此期间Windows操作系统安全性有了显著改进，但很明显，我们当时发布Windows的方式（主要版本之间间隔3-4年）对于快速应对新兴威胁来说实在太慢。我们的商业客户尤其面临风险，因为在大规模环境中部署新操作系统版本通常需要数年时间。因此，EMET作为临时解决方案诞生，旨在针对某些零日软件漏洞提供战术性缓解措施。

对微软而言，EMET被证明有用的原因有几个。首先，它使我们能够在不等待下一个Windows版本发布的情况下中断和破坏攻击者当时使用的许多常见漏洞利用工具包，从而帮助保护我们的客户。其次，我们能够使用EMET作为评估新功能的场所，这直接导致了Windows 7、8、8.1和10中的许多安全创新。

但EMET也有严重的局限性——正是因为它不是操作系统的集成部分。首先，EMET的许多功能并非作为强大的安全解决方案开发。因此，虽然它们阻止了过去漏洞利用使用的技术，但它们并非设计用于随着时间的推移提供真正持久的保护。毫不奇怪，人们可以在网上找到众所周知的、通常很简单的绕过方法，以规避EMET。

其次，为了完成任务，EMET以操作系统最初未设计的方式挂钩到操作系统的低级区域。这导致了系统和运行在其上的应用程序在性能和可靠性方面的严重副作用。这对客户来说是一个持续的问题，因为每个操作系统或应用程序更新都可能由于与EMET不兼容而触发性能和可靠性问题。

最后，虽然操作系统在其下方不断发展，但EMET未能跟上步伐。虽然EMET 5.5x被验证可在Windows 10上运行，但其对现代漏洞利用工具包的有效性尚未得到证实，尤其是与Windows 10内置的许多安全创新相比。

Windows 10 – 危险世界中的新操作系统

毫不奇怪，客户对EMET的首要反馈一直是将此类保护直接内置到操作系统中。但要做到这一点，微软首先必须改变我们发布Windows的方式，以便客户不必等待数年才能获得新的保护。

从Windows 10开始，我们通过转向Windows即服务（Windows as a Service）做到了这一点。自2015年7月首次发布以来，已经发布了两个主要更新，并且预计这种速度将继续。更重要的是，Windows 10的每个主要更新都带来了实质性的新安全创新。例如，Microsoft Edge浏览器从一开始就将安全作为首要特性构建。革命性的新Windows 10功能，如设备防护（Device Guard）、凭据防护（Credential Guard）和Windows Defender应用程序防护（即将推出），使用硬件虚拟化来防止漏洞利用和恶意软件。Windows Defender高级威胁防护（ATP）为Windows 10企业用户提供违规后检测和响应。当然，Windows 10包括许多缓解功能，以帮助保护Windows免受整个漏洞利用攻击链的侵害，包括DEP、ASLR、控制流防护（CFG）以及许多新的缓解措施，可防止UAC和浏览器中的绕过。

面对企业今天面临的威胁类型，我们不断被提醒这个简单的事实：针对软件漏洞的现代防御需要一个现代平台。该平台就是Windows 10——一个始终保持最新版本的Windows，不断改进以帮助防范最新威胁。为了帮助过渡到Windows 10，我们将为当前使用EMET的管理员发布详细指南。

EMET 5.5x更新支持结束日期

最后，我们听取了客户关于EMET 2017年1月27日生命周期结束日期的反馈，我们很高兴地宣布，生命周期结束日期将延长18个月。新的生命周期结束日期是2018年7月31日。在2018年7月31日之后，没有计划为EMET提供支持或安全补丁。为了改善安全性，我们建议客户迁移到Windows 10。

• Jeffrey Sutherland