EMET 5.5 Beta发布:增强Windows安全防护的新利器

微软发布EMET 5.5 Beta版本,新增Windows 10兼容性、GPO配置优化和EAF性能改进等功能,帮助企业防护未知威胁,强化系统安全。

Enhanced Mitigation Experience Toolkit (EMET) version 5.5 Beta is now available

Enhanced Mitigation Experience Toolkit (EMET) 通过预测、转移、终止、阻止或其他方式使对手可能用于入侵计算机的最常见行动和技术失效,帮助企业及所有计算机用户防护安全威胁和入侵,避免业务和日常生活受到干扰。这样,EMET 可以在安全更新和反恶意软件软件正式处理之前,帮助保护计算机系统免受新的和未知的威胁。

EMET 5.5 Beta 版本包括 EMET 5.2 的新功能和更新,包括:

  • Windows 10 兼容性
  • 通过 GPO 更好地配置各种缓解措施
  • EAF/EAF+ 伪缓解性能改进
  • 支持 Windows 10 的新不可信字体缓解
  • 各种错误修复

EMET 的优势

帮助提高攻击门槛。 EMET 帮助防护新的和未知的威胁,甚至在它们通过安全更新或反恶意软件软件正式处理之前。EMET 包括许多安全缓解措施,补充其他深度防御安全措施,如 Windows Defender 和防病毒软件。EMET 安装时带有默认保护配置文件,这些是包含常见 Microsoft 和第三方应用程序预配置设置的 XML 文件。

适用于企业。 企业 IT 专业人员可以通过 Microsoft System Center Configuration Manager 轻松部署 EMET,并在 Windows Active Directory 中应用组策略以符合企业账户、用户和角色策略。EMET 高度可定制,管理员可以选择哪些应用程序使用每种缓解技术进行保护。EMET 甚至可以为不易重写或源代码不可用的遗留企业软件提供缓解保护。

EMET 的报告功能通过称为 EMET Agent 的组件提供,允许企业创建日志和通知以进行审计。EMET 客户支持可通过 Microsoft Premier Support Services 获得。有关部署 EMET 的更多信息,请访问 EMET 知识库文章:KB2458544。

在广泛场景中提供保护。 EMET 适用于一系列 Windows 客户端和服务器操作系统,并与大多数常用的第三方应用程序兼容,从生产力软件到音乐播放器。当用户浏览互联网上的安全 HTTPS 站点或登录流行的社交媒体站点时,EMET 可以通过根据一组管理员定义的规则验证安全套接字层 (SSL) 证书来进一步保护。

安全缓解技术旨在使攻击者更难利用给定软件中的漏洞。EMET 使客户能够在其系统上利用这些安全缓解技术,并提供几个独特的好处:

  • 无需源代码: EMET 使管理员能够为单个应用程序应用 Windows 内置的几种可用缓解措施(如数据执行防护),而无需重新编译。这对于在缓解措施可用之前编写的遗留软件上部署缓解措施,或当源代码不可用时特别有用。
  • 高度可配置: EMET 提供高度粒度,允许在逐个进程的基础上单独应用缓解措施。无需在整个产品或应用程序套件上启用缓解措施。这在进程与特定缓解技术不兼容的情况下很有帮助。当发生这种情况时,管理员可以简单地关闭该进程的缓解措施。
  • 帮助强化遗留应用程序: 对不易重写且需要缓慢淘汰的旧遗留软件有硬依赖并不罕见。不幸的是,这很容易构成安全风险,因为遗留软件以具有安全漏洞而闻名。虽然真正的解决方案是迁移远离遗留软件,但 EMET 可以通过使黑客更难利用遗留软件中的漏洞来帮助管理风险。
  • 帮助验证浏览网站时的 SSL 证书信任: 鉴于证书颁发机构允许创建用于执行中间人攻击的欺诈性 SSL 证书的事件增加,EMET 提供了强制执行一组固定规则的可能性,可以验证指定域的 SSL 证书与其颁发的根 CA(可配置的证书固定)。
  • 允许应用程序内的粒度插件“拒绝列表”: 模块和插件加载到应用程序中时,可能增加其暴露于漏洞的风险,从而增加潜在攻击的风险。EMET 通过允许管理员创建“拒绝列表”来防止不需要的模块和插件在应用程序中加载来解决这个问题。
  • 易于使用: 系统范围的缓解策略可以通过 EMET 的图形用户界面、命令行工具或通过组策略查看和配置。无需定位和解密注册表项,或运行平台相关的实用程序。使用 EMET,无论底层平台如何,都可以通过一致的界面调整设置。

该工具包包括几种旨在破坏当前漏洞利用技术的伪缓解技术。这些伪缓解措施不够强大,无法阻止未来的漏洞利用技术,但可以帮助防止系统被许多当前使用的漏洞利用所破坏。缓解措施还设计为可以随着攻击者开始使用新的漏洞利用技术而轻松更新。

Windows 10 中的缓解措施

EMET 的原始目标之一是成为添加到操作系统中的缓解措施的测试平台。在 Windows 10 中,我们实现了许多功能和缓解措施,可以使 EMET 在运行 Windows 10 的设备上变得不必要。EMET 最有用的是帮助保护下级系统、遗留应用程序,并为可能尚未使用 CFG 重新编译的第三方软件提供 Anti-ROP 保护。

一些提供与 EMET 等效(或更好)缓解措施的 Windows 10 功能包括:

  • Device Guard: Device Guard 是企业相关的硬件和软件安全功能的组合,当配置在一起时,将锁定设备,使其只能运行受信任的应用程序。Device Guard 为在内核模式下运行的所有软件提供基于硬件的零日保护,从而保护设备和 Device Guard 本身免受篡改,以及应用程序控制策略,防止不受信任的软件在设备上运行。
  • Control Flow Guard (CFG): 当开发人员编译新应用程序时,CFG 分析并发现每个间接调用指令可以到达的每个位置。它将这种知识构建到二进制文件中(在额外的数据结构中 – 在 dumpbin/loadconfig 显示中提到的那些)。它还在代码中的每个间接调用之前注入一个检查,确保目标是那些预期的、安全的位置之一。如果该检查在运行时失败,操作系统将关闭程序。
  • AppLocker: AppLocker 是 Windows 7 中引入的应用程序控制功能,帮助防止在组织网络中执行不需要和未知的应用程序,同时提供安全、操作和合规性好处。AppLocker 可以单独使用或与 Device Guard 结合使用,以控制允许运行来自受信任发布者的哪些应用程序。

有关 Windows 10 安全功能的更多信息,请查看 TechNet 上的 Windows 10 安全概述白皮书。

EMET 5.5 Beta 和 Edge

鉴于用于保护 Microsoft Edge 的先进技术,包括行业领先的沙盒、编译器和内存管理技术,EMET 5.5 缓解措施不适用于 Edge。

我们欢迎通过 Microsoft Connect 提供反馈。

立即安装 EMET 5.5 Beta!

我们特别感谢 FireEye 与我们合作。

EMET 团队

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次