先进的Microsoft增强缓解经验工具包（EMET）提示

• 类别: 讲解

尝试消除问题的工具

选择操作系统 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 选择一个投影程序（可选） - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

描述您的问题

得到答案

通过电子邮件发送我 在网站上展示

Microsoft增强的缓解经验工具包（简称EMET）是Microsoft Windows操作系统的所有受支持的客户端和服务器版本的可选下载，该版本将漏洞利用缓解添加到系统的防御中。

基本上，它的设计目的是防止攻击已经破坏了系统防护（例如防病毒解决方案）的情况下成功进行攻击。

EMITS 它易于安装且开箱即用，但是要充分利用该程序，您需要花费时间来了解它并进行配置。

本文为您提供有关如何充分利用EMET的技巧。

1.保护重要流程

EMET仅在安装后才保护核心Microsoft和少数第三方进程。尽管可以处理Java，Adobe Acrobat，Internet Explorer或Excel等程序，但它不会保护您手动安装的程序，如Firefox，Skype或Chrome。

从理论上讲，可以将所有程序添加到EMET中，但是您可能需要考虑仅将高风险程序添加到应用程序中。

高风险计划？高风险程序的简短定义是可以定期利用它（例如Internet Explorer），执行从Internet下载的文件（Web浏览器，电子邮件客户端）或为您存储有价值的数据（例如加密软件）。

这将使Firefox，Chrome和Thunderbird成为高价值目标，而Notepad，Minesweeper和Paint则不然。

将应用程序添加到EMET的保护列表中

1. 在系统上打开EMET。
2. 您可以在界面中找到正在运行的进程的列表。如果要保护的程序未运行，请在PC上启动它。
3. 之后，右键单击其过程，然后从上下文菜单中选择“配置过程”。
4. 这会将所选过程添加到EMET的应用程序列表中。
5. 然后选择确定保存选择并重新启动刚刚添加到EMET中的程序。

小费 ：强烈建议您在开始向EMET中添加更多进程之前，分别测试每个应用程序。程序可能与EMET提供的所有漏洞利用缓解技术都不兼容。

2.调试行为异常的进程

在将程序添加到EMET之后，您将遇到问题的机会很高。有些程序可能会拒绝完全启动，而另一些程序可能在启动后立即打开和关闭。

当一个或多个缓解措施与流程不兼容时，通常就是这种情况。这里的主要问题是，您不会收到缓解措施导致问题的信息。

验证是否有问题

验证某些功能不正常的较简单方法之一是检查Windows事件日志中的EMET条目。

1. 点击Windows键，键入事件查看器，然后按Enter。
2. 您可以在事件查看器（本地）> Windows日志>应用程序下找到EMET条目。

我建议您按日期和时间排序，并寻找“应用程序错误”作为来源。当您选择一个日志条目时，应该在“常规”下找到EMET.DLL作为问题的来源列出。

显然，您也可以删除EMET中对该应用程序的所有保护，然后再次运行以查看它是否可以解决问题。

更正问题

强制与Microsoft EMET兼容的唯一保证方法是反复试验。再次打开EMET中列出的受保护的应用程序，关闭所有保护，然后开始再次将它们逐一打开。

尝试在每次切换后运行该程序，以查看其是否有效。如果是这样，请通过依次打开下一个缓解措施来重复此过程，直到遇到阻止该程序启动的过程为止。

再次禁用该缓解措施，然后继续该过程，直到您启用了与所选软件兼容的所有缓解措施为止。

例如，谷歌浏览器无法开始使用为新进程选择的默认缓解措施。我发现，与浏览器不兼容的唯一缓解措施是EAF，因此我禁用了EAF。

3.系统范围的规则

EMET附带了四个系统范围的规则，您可以在主界面中进行配置。证书固定，数据执行保护和结构化异常处理程序覆盖保护已作为系统级规则启用，而“地址空间布局随机化”设置为“选择加入”。

这意味着您需要为要受其保护的每个应用程序启用规则。您可以更改这些系统范围规则的状态，例如通过在整个系统范围内强制执行选择规则。

但是，这可能会导致系统上运行的程序出现问题。由于对所有程序都启用了此功能，因此，如果您发现在计算机上启动或运行应用程序时遇到问题，则可能需要密切监视系统并切换回选择启用状态。

4.规则进出口

由于上述问题，在EMET中配置程序以使其受到应用程序的保护需要花费一些时间。

好消息是，您无需在管理的其他PC上重复该过程，因为您可以为此使用EMET的导入和导出功能。

小费 ：EMET附带了一组附加规则，用户可以将其添加到程序中。要访问这些选项，请在EMET中选择import，然后选择以下选项之一：

1. CertTrust-MS和第三方在线服务的证书信任固定的EMET默认配置
2. 流行软件-为常用软件提供保护，例如Internet Explorer，Microsoft Office，Windows Media Player，Adobe Acrobat Reader，Java，WinZip，VLC，RealPlayer，QuickTime，Opera
3. 推荐软件-为最小推荐软件提供保护，例如Internet Explorer，Microsof Office，Adobe Acrobat Reader和Java

选项3是自动加载的默认选项。您可以通过导入“流行软件”规则将其他流行程序自动添加到EMET。

规则迁移和政策

要导出规则，请在EMET的主界面中选择导出按钮。在保存对话框中选择XML文件的名称和位置。

然后可以将这组规则导入其他系统上，或作为当前计算机上的安全措施保留。

由于规则另存为XML文件，因此您也可以手动对其进行编辑。

管理员也可以在系统上部署组策略指令。 adml / admx文件是EMET安装的一部分，安装后可在“部署/组策略文件”下找到。