微软的增强缓解应急工具包(EMET),是一个工具箱,可以帮助阻止软件中的漏洞被利用的实用程序。
佛罗里达中部大学的计算机科学与工程方向副教授伊尔·金认为,EMET通过使用安全缓解技术来实现此目的。这些技术用作特殊防护和阻挡,导致利用者必须攻克障碍才能利用软件漏洞。这些安全缓解技术不保证这些漏洞不被利用。而是尽量使漏洞的利用变得尽可能困难。
微软公司再度推出EMET 5.1正式版,新版本增强了其兼容性,同时也对原有的安全方案进行了优化和改进。
除了传统的第三方安全产品、杀毒软件为Windows平台提供安全防护外,微软也为Windows桌面平台,尤其是Windows Vista、Win7等旧版操作系统提供额外的安全防护方案,其中最具代表性为EMET工具(Enhanced Mitigation Experience Toolkit,直译为增强缓解体验工具)。
它能为旧版Windows平台和应用程序(包括第三方应用程序)提供最新的安全方案和技术,比如随机地址空间分配(ASLR)、数据执行保护(DEP),让用户免受未修复漏洞的影响并保护用户不受攻击,而不管这些漏洞是已知的还是未知的。
EMET产品的重要作用在于预防各类未知的零日漏洞,也被微软视为Win7、Win8、Win8.1系统最后的安全防线。EMET工具也一直用于保护Windows系统最核心、重要的安全区域,用户可以定义安全规则或者使用EMET默认规则,增强当前系统的安全系数。
Enhanced Mitigation Experience Toolkit 5.1更新日志:
解决了若干与IE、Adobe Reader、Adobe Flash、Mozilla火狐以及部分EMET减灾方案的兼容性问题;
部分减灾方案得到优化和强化,使之能更好地反弹和绕开攻击;
增加“Local Telemetry”特性,允许用户在启用减灾方案时节省本地存储转储;
EMET的界面非常简单,分为系统状态区(system status)和活动进程区(running processes)。
系统状态区用来查看系统的受保护状态:数据执行保护(DEP)、结构化异常处理覆盖保护(SEHOP)和随机地址空间分配(ASLR)的开启情况。
活动进程区用来查看当前的活动进程和它们的受保护状态。
利用EMET更改安全设置
在系统状态区下面有一个configure system按钮,用它可以更改DEP、SEHOP、ASLR的状态。(有些设置需要重启才能生效。)
利用EMET保护活动进程
在活动进程区下有一个configure apps按钮,用它可以保护进程。
单击它,会弹出一个application configuration对话框,下面的add按钮用来加入受保护的程序,remove用来移除程序。再单击ok就可以了。