超越EMET

EMET – 过去与现在

微软的可信计算计划在2009年已推行7年，当时我们首次发布了增强缓解体验工具包（EMET）。尽管同期Windows操作系统安全性有了显著提升，但显然我们当时发布Windows的方式（每3-4年发布一次主要版本）对于快速响应新兴威胁来说太慢了。我们的商业客户尤其面临风险，因为在大规模环境中部署新操作系统版本通常需要数年时间。因此，EMET作为临时解决方案诞生，旨在针对某些零日软件漏洞提供战术性缓解措施。

对微软而言，EMET被证明有用的原因有几个。首先，它使我们能够中断和破坏攻击者当时使用的许多常见漏洞利用工具包，而无需等待下一个Windows版本发布，从而帮助保护我们的客户。其次，我们能够将EMET用作评估新功能的场所，这直接导致了Windows 7、8、8.1和10中的许多安全创新。

但EMET也有严重的限制——正是因为它不是操作系统的集成部分。首先，EMET的许多功能并非作为强大的安全解决方案开发。因此，虽然它们阻止了过去漏洞利用使用的技术，但它们并非设计用于随时间推移提供真正的持久保护。毫不奇怪，人们可以在网上找到广为宣传、通常简单的绕过方法，以规避EMET。

其次，为了完成任务，EMET以它们最初未设计的方式挂钩到操作系统的低级区域。这导致了系统和运行在其上的应用程序在性能和可靠性方面的严重副作用。这对客户来说是一个持续的问题，因为每个操作系统或应用程序更新都可能由于与EMET的不兼容性而触发性能和可靠性问题。

最后，虽然操作系统在其下演变，但EMET未能跟上步伐。虽然EMET 5.5x被验证可在Windows 10上运行，但其对现代漏洞利用工具包的有效性尚未得到证明，尤其是与Windows 10内置的许多安全创新相比。

Windows 10 – 危险世界中的新操作系统

毫不奇怪，客户对EMET的首要反馈一直是将此类保护直接内置到操作系统中。但要做到这一点，微软首先必须改变我们发布Windows的方式，以便客户不必等待数年才能获得新的保护。

从Windows 10开始，我们通过转向Windows即服务（Windows as a Service）做到了这一点。自2015年7月首次发布以来，已经发布了两个主要更新，预计这一步伐将继续。更重要的是，Windows 10的每个主要更新都带来了实质性的安全创新。例如，Microsoft Edge浏览器从一开始就将安全作为首要特性构建。革命性的新Windows 10功能，如Device Guard、Credential Guard和Windows Defender Application Guard（即将推出），使用硬件虚拟化来防止漏洞利用和恶意软件。Windows Defender高级威胁防护（ATP）为Windows 10企业用户提供违规后检测和响应。当然，Windows 10包括许多缓解功能，帮助保护Windows免受整个漏洞利用攻击链的侵害，包括DEP、ASLR、控制流防护（CFG），以及许多新的缓解措施，防止UAC和浏览器中的绕过。

面对企业今天面临的威胁类型，我们不断被提醒这个简单的事实：对软件漏洞的现代防御需要一个现代平台。该平台就是Windows 10——一个始终保持最新的Windows版本，不断改进以帮助防范最新威胁。为了帮助过渡到Windows 10，我们将为当前使用EMET的管理员发布详细指南。

EMET 5.5x的更新支持结束日期

最后，我们听取了客户关于EMET 2017年1月27日终止支持日期的反馈，我们很高兴地宣布终止支持日期延长18个月。新的终止支持日期为2018年7月31日。在2018年7月31日之后，没有计划为EMET提供支持或安全补丁。为了改进安全性，我们建议客户迁移到Windows 10。

• Jeffrey Sutherland