EMET 缓解技术指南

概要
增强的缓解体验工具包 (EMET) 是一种可以帮助阻止软件中的漏洞被利用的实用程序。EMET 通过使用安全缓解技术来实现此目的。这些技术用作特殊防护和阻挡,导致利用者必须攻克障碍才能利用软件漏洞。这些安全缓解技术不保证这些漏洞不被利用。而是尽量使漏洞的利用变得尽可能困难。有关 EMET 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2458544 增强的缓解体验工具包
当 EMET 缓解技术应用于某个软件或某种软件时可能会出现兼容性问题,这是因为受保护软件的行为方式类似于利用软件漏洞的方式。本文介绍了通常与 EMET 的缓解功能存在兼容性问题的几种软件,并提供了与 EMET 的一项或多项缓解功能出现兼容性问题的产品列表。
更多信息

一般指南

EMET 缓解技术工作在操作系统中很低的层次上,有几种软件也执行类似的低层操作,当这些软件配置为使用 EMET 进行保护时,就可能会出现兼容性问题。下面列出了不得受 EMET 保护的软件种类:

  • 反恶意软件和入侵防护或检测软件
  • 调试程序
  • 使用数字版权管理 (DRM) 技术的软件(即,视频游戏)
  • 使用反调试、软件混淆或挂钩技术的软件
某些基于主机的入侵防护系统 (HIPS) 应用程序可以提供类似于 EMET 的保护。当这些应用程序与 EMET 一起安装在系统中时,可能需要进行额外的配置以使这两种产品得以共存。

此外,EMET 计划用于桌面应用程序,所以,应该只对接收或处理不可信数据的这些应用程序进行保护。系统和网络服务也不在 EMET 的作用域内。此外,虽然从技术上讲可以使用 EMET 保护这些服务,但我们不建议你这么做。

应用程序兼容性列表

以下列表中是已经与 EMET 提供的缓解功能出现兼容性问题的具体产品。如果想要使用 EMET 来保护这些产品,必须禁用不兼容的特定缓解功能。请注意,该列表已经考虑了产品最新版本的默认配置。当你向标准软件应用特定的加载项或其他组件时,可能会遇到兼容性问题。

不兼容的缓解功能

产品EMET 4.1 更新 1EMET 5.2EMET 5.5
7-Zip Console/GUI/File ManagerEAFEAFEAF
AMD 62xx 处理器EAFEAFEAF
Beyond Trust Power Broker不适用EAF、EAF+、Stack PivotEAF、EAF+、Stack Pivot
某些 AMD/ATI 视频驱动程序System ASLR=AlwaysOnSystem ASLR=AlwaysOnSystem ASLR=AlwaysOn
DropBoxEAFEAFEAF
Excel Power Query、Power View、Power Map 和 PowerPivotEAFEAFEAF
Google ChromeSEHOP*SEHOP*SEHOP*、EAF+
Google TalkDEP、SEHOP*DEP、SEHOP*DEP、SEHOP*
Immidio Flex+不适用EAFEAF
McAfee HDLPEAFEAFEAF
Microsoft Office Web Components (OWC)System DEP=AlwaysOnSystem DEP=AlwaysOnSystem DEP=AlwaysOn
Microsoft WordHeapspray不适用不适用
Oracle JavaǂHeapsprayHeapsprayHeapspray
Pitney Bowes Print Audit 6SimExecFlowSimExecFlowSimExecFlow
Siebel CRM 版本为 8.1.1.9SEHOPSEHOPSEHOP
SkypeEAFEAFEAF
SolarWinds Syslogd ManagerEAFEAFEAF
VLC Player 2.1.3+SimExecFlow不适用不适用
Windows Media PlayerMandatoryASLR、EAF、SEHOP*MandatoryASLR、EAF、SEHOP*MandatoryASLR、EAF、SEHOP*
Windows 照片库Caller不适用不适用
* 仅限于在 Windows Vista 和较早版本上

ǂ 在执行 EMET 缓解功能时,如果使用为虚拟机保留大块内存的设置(即使用 -Xms 选项),那么 EMET 缓解功能与 Oracle Java 之间可能会出现不兼容问题。

常见问题解答

问:哪些漏洞导致 CVE 被 EMET 阻止?

答:下表列出了部分 CVE,其已知漏洞一经发现就会受到 EMET 成功阻止:

CVE 编号产品系列
CVE-2004-0210Windows
CVE-2006-2492Office
CVE-2006-3590Office
CVE-2007-5659Adobe Reader、Adobe Acrobat
CVE-2008-4841Office
CVE-2009-0927Adobe Reader、Adobe Acrobat
CVE-2009-4324Adobe Reader、Adobe Acrobat
CVE-2010-0188Adobe Reader、Adobe Acrobat
CVE-2010-0806Internet Explorer
CVE-2010-1297Adobe Flash Player、Adobe AIR、Adobe Reader、Adobe Acrobat
CVE-2010-2572Office
CVE-2010-2883Adobe Reader、Adobe Acrobat
CVE-2010-3333Office
CVE-2010-3654Adobe Flash Player
CVE-2011-0097Office
CVE-2011-0101Office
CVE-2011-0611Adobe Flash Player、Adobe AIR、Adobe Reader、Adobe Acrobat
CVE-2011-1269Office
CVE-2012-0158Office、SQL Server、Commerce Server、Visual FoxPro、Visual Basic
CVE-2012-0779Adobe Flash Player
CVE-2013-0640Adobe Reader、Adobe Acrobat
CVE-2013-1331Office
CVE-2013-1347Internet Explorer
CVE-2013-3893Internet Explorer
CVE-2013-3897Internet Explorer
CVE-2013-3906Windows、Office
CVE-2013-3918Windows
CVE-2013-5065Windows
CVE-2013-5330Adobe Flash Player、Adobe AIR
CVE-2014-0322Internet Explorer
CVE-2014-0497Adobe Flash Player
CVE-2014-1761Office、SharePoint
CVE-2014-1776Internet Explorer
CVE-2015-0313Adobe Flash Player
CVE-2015-1815Internet Explorer


问:如何使用 MSIEXEC 命令或注册表命令卸载 Microsoft EMET 5.1?

答:请参阅以下 TechNet 主题中的参考:

问:如何禁用 Watson 错误报告 (WER)?

答:请参阅以下 Windows 和 Windows Server 文章中的参考:

第三方信息免责声明
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款
属性

文章 ID:2909257 - 上次审阅时间:09/23/2016 10:17:00 - 修订版本: 13.0

  • kbexpertiseinter kbsecurity KB2909257
反馈