三周前，我们发布了EMET 4.0测试版以收集对新功能的反馈。我们收到了数千次下载和数百封电子邮件，包含功能建议、错误报告等。感谢所有帮助我们改进EMET 4.0的用户！本文将介绍EMET的最新进展，并详细讲解如何利用EMET 4.0的新证书信任功能。

正式版发布时间推迟至2013年5月28日

我们已经处理并解决了许多错误报告和反馈。其中最重要的是NSFocus的TK报告的一个漏洞，该漏洞使系统漏洞更容易被利用——现已修复。我们还多次收到"代理未运行"的错误报告，这将在EMET 4.0正式版中解决。您的反馈使EMET 4.0成为更好的产品——谢谢！

EMET与证书固定

EMET 4.0实现了一个新的保护功能，也称为"证书固定"，其最简单的形式可以描述为将X509证书（及其公钥）与特定证书颁发机构（根或叶）关联的方法。

由于PKI领域发生的一系列重大事件，证书固定和证书交叉验证成为近年来的热门话题。当前的PKI和证书颁发机构模型在全球化和完全互联的世界中显示出一些局限性。下表总结了迄今为止最重要的PKI问题：

为此，EMET 4.0决定从传统的漏洞利用缓解领域迈出一小步，引入了一个名为"证书信任"的新功能，允许任何人为任何SSL/TLS网站证书创建固定规则，从而检测利用不受信任证书的中间人攻击。

证书信任功能介绍

EMET 4.0在系统缓解面板中有一个主开关按钮，可用于激活或停用证书信任。一旦启用，用户必须指定要信任的证书和根证书颁发机构。用户可以通过检查此缓解的系统状态是否为"已启用"以及Internet Explorer进程(iexplore.exe)是否在配置的应用程序列表中（无论是否启用了内存缓解）来验证证书信任功能是否激活。此配置允许EMET向受保护进程注入一个新模块(EMET_CE.DLL)，该模块仅在Internet Explorer内运行以强制执行证书固定保护。

EMET的固定模型基于两种简单的元数据类型：固定规则和受保护网站。用户可以定义SSL证书中看到的主题名称与一组受信任的根证书颁发机构之间的自定义"固定"关系。EMET支持创建"一对一"固定规则（一个域固定到一个特定的RootCA）或"一对多"（一个域固定到一组特定的RootCA），并允许为每个规则定义小的例外。

配置证书信任：以Twitter为例

为了理解创建自定义固定规则所需的确切步骤，我们提供了一个Twitter的分步配置指南。本指南可用作配置任何其他在线服务（如网络邮件、社交网络、文件共享、网上银行等）或任何使用SSL/TLS连接的企业门户（如webmail.mycompany.com、fileshare.mycompany.com等）的参考，并利用EMET的证书信任功能。

1. 从使用可信互联网连接的干净计算机下载并检查要使用EMET保护的域的SSL/TLS证书（例如https://twitter.com），并找到将在"受保护网站"选项卡中使用的正确主题名称（例如"twitter.com"）
2. 在"证书路径"中查找"twitter.com"的RootCA，并记下与此RootCA证书相关的一些重要详细信息（名称、指纹、有效期、序列号等）
3. 打开EMET_GUI并点击"配置"->“证书信任”。在"固定规则"选项卡中添加一个新规则（例如TwitterCAs），该规则将用于导入之前为twitter.com获取的特定VeriSign RootCA
4. 转到"受保护网站"选项卡，添加一个将"twitter.com"链接到刚刚创建的规则"TwitterCAs"的固定
5. 点击"确定"保存设置，如果需要则重新启动浏览器

证书信任配置可以导出为XML文件，然后可以在不同的机器上导入，或使用EMET_conf命令行实用程序分发到企业环境中导入。

证书信任配置注意事项

在评估了最初收到的反馈和一些用户关于证书信任功能的问题后，我们认为分享一些额外的说明和指南也很重要：

• 某些网站可能使用不同的门户作为认证入口点；仔细检查要添加到"受保护网站"选项卡中的正确域名总是好的
• 每个固定规则都有一个到期日期，限定规则的有效期；在指定日期之后，该规则将不再用于检查证书
• 不能使用通配符字符将域添加到"受保护网站"选项卡中
• 为了避免误报和配置限制较少的规则，可以根据RootCA证书的三个属性为每个固定规则添加例外
• 当EMET检测到可疑证书时，将通过EMET代理显示可见消息报告

结论

我们希望您对使用EMET 4.0最终版本感到兴奋。如果您对EMET 4.0有任何疑问，特别是关于本博文中详述的证书信任功能，请发送电子邮件至emet_feedback@microsoft.com。如果您尚未测试EMET 4.0测试版，请在此处下载并试用！