Enhanced Mitigation Experience Toolkit


對於 Windows Vista Service Pack 1 (SP1) 的支援已於 2011 年 7 月 12 日結束。如果要繼續收到 Windows Vista 的安全性更新,請確定您執行的是 Windows Vista (含 Service Pack 2 (SP2))。 如需詳細資訊,請參閱此 Microsoft 網頁: 對某些 Windows 版本的支援即將結束

生命週期結束聲明

我們聆聽了客戶關於 2017 年 1 月 27 日 EMET 生命週期結束的意見反應,很高興宣布結束日期將延後 18 個月。 新的生命週期結束日期為 2018 年 7 月 31 日。 在 2018 年 7 月 31 日之後,並無計劃為 EMET 提供支援或安全性修補。 為了提升安全性,我們建議客戶遷移至最新的 Windows 10 版本。

簡介


本文說明 Enhanced Mitigation Experience Toolkit, 並提供下載此工具組的連結。

其他相關資訊


EMET 5.52 現可供下載

最新版本的 EMET 和 EMET 使用者指南可以從 EMET 下載EMET 使用者指南下載。

 EMET 5.5x 的已知問題 

無法透過 GUI 取得 EMET 使用者指南

EMET 5.5x 使用者指南可透過下載取得。 如此,我們便可在需要時更新指南。 但是,目前無法透過 EMET GUI 取得指南。 

若要解決這個問題,請依照下列步驟執行:
  1. https://www.microsoft.com/zh-tw/download/details.aspx?id=54265 下載 EMET 使用者指南。
  2. 將下載的檔案重新命名為「EMET 使用者指南.pdf」。
  3. 將該檔案貼到 EMET 目錄 (通常位於 C:\Program Files\EMET 5.5 或 C:\Program Files (x86)\EMET 5.5)。

EMET 5.5 GUI 在啟動時當機

在某些情況下,EMET 5.5 GUI 會在啟動時當機。 發生這種情況時,Windows 事件檢視器會顯示呼叫堆疊,如下所示:
應用程式: EMET_GUI.exe
Framework 版本:v4.0.30319
描述: 處理序因發生無法處理的例外狀況而終止。
例外狀況資訊: System.Exception at HelperLib.Config.GetStringValue(System.String, System.String, Boolean) at GraphicalApp.MainForm..ctor() at GraphicalApp.Program.RunEmetGUI() at GraphicalApp.Program.Main(System.String[])
如果要解決這個問題,請使用下列其中一個方法:
  • 輸入以下取自提升權限命令提示字元中的命令:
    reg add HKCU\Software\Microsoft\EMET
  • 安裝 EMET 5.52

變更整個系統的 DEP 設定時,EMET 5.5 發生未預期的 BitLocker 警告

在未安裝 BitLocker 的電腦上變更整個系統的 DEP 設定時,EMET 5.5 會顯示以下 BitLocker 警告:

為了安全變更整個系統的 DEP 設定,BitLocker 必須暫停運作。 若選擇套用,建議您儘早重新啟動系統。 是否確定要進行這項變更?


如果選取 Yes,可能會收到類似下列的錯誤訊息:


BitLocker 無法暫停。 如果沒有 BitLocker 修復金鑰,下次重新開機時,將無法啟動 Windows。 是否確定要進行這項變更?


若要解決此問題,請執行以下任一指示:
  • 安裝 BitLocker。 為執行安裝,請在 PowerShell 輸入以下命令:
    Install-WindowsFeature BitLocker
  • 由於 EMET UI 不會反映 DEP 設定狀態,請勿使用 EMET UI 變更 DEP 全系統設定, 所有更新都應使用登錄設定執行。
  • 安裝 EMET 5.52

在 Internet Explorer 開啟受信任的網站時,會留下 EMET ASR 風險降低記錄

在 Internet Explorer 開啟受信任的網站時,EMET 會觸發 ASR 風險降低通知,並在事件日誌留下一筆記錄。

在此情況下,ASR 會尋找載入處理序中的 DLL 檔案。 若使用 iexplore.exe,ASR 尋找的其中一個 DLL 檔案是 vbscript.dll。 因此,若 iexplore.exe 已啟用 ASR (預設為啟用),iexplore.exe 載入 vbscript.dll 時,便會觸發 ASR 風險降低。

要解決此問題,請確認已設定排除受信任網站和內部網路區域,且所有使用 VBScript 的內容均已和上述其中一個區域建立關聯。

若要解決此問題,請執行以下任一指示:
  • 將觸發 Internet Explorer 載入 vbscript.dll 的 URL 網域名稱新增至 Internet Explorer 的 [受信任網站] 清單。
  • 與擁有該 URL 的網站應用程式開發者合作,將 URL 重新編碼使 vbscript.dll 不再啟動。
  • 將 vbscript.dll 自監管的 DLL 清單中移除,為 iexplore.exe 建立 EMET ASR 的例外狀況。 不建議您選擇這個選項。
若您已將 URL 網域名稱新增至 Internet Explorer 的 [受信任網站] 清單,則可以調查並疑難排解問題。 網頁可能包含一些重新導向或 iframe,會接收不在 Internet Explorer [受信任網站] 清單上的其他 URL 網域名稱的編碼, 而可能導致 vbscript.dll 載入。

若已在 Windows 7 或 Windows Server 2008 R2 啟用 EMET,Office 2010 會無法啟動

若已啟用 Enhanced Mitigation Experience Toolkit (EMET),也已安裝安全性更新 3146706便利彙總套件更新 3125574,便會發生此問題。 如果要解決這個問題,請安裝 EMET 5.52

EMET 與 Edge 支援

EMET 5.5x 風險降低不適用於 Microsoft Edge,因為 Edge 採用先進技術為系統提供保護。 Edge 使用的技術包括領先業界的沙箱技術、編譯器,以及記憶體管理技術。

常見問題集


什麼是 Enhanced Mitigation Experience Toolkit?

Enhanced Mitigation Experience Toolkit (EMET) 是可協助防止軟體弱點被攻擊者成功入侵的公用程式。 EMET 使用安全防護技術達成此目標。 這些技術就像是特殊的防護與障礙,有心人士必須通過這些防護與障礙才能利用軟體弱點。 這些安全防護技術不保證弱點不被利用。 然而,運用這些技術可讓弱點更難以遭到入侵。

EMET 也提供可設定的 SSL/TLS 憑證釘選功能,也就是所謂的「憑證信任」。 這個功能的目的是要偵測 (EMET 5.0 則是阻止) 利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

EMET 能保護的軟體是否有任何限制?

不管是何時編寫、由誰編寫的軟體,EMET 都能提供保護。 這包括 Microsoft 開發的軟體,以及其他廠商開發的軟體。 但是,您應留意部分軟體可能與 EMET 不相容。 如需相容性的詳細資訊,請參閱<使用 EMET 是否有任何風險?>一節。

若要使用 EMET,必須滿足哪些要求?

要使用 EMET,您必須要有 Microsoft .NET Framework 4.0。 此外,若要在 Windows Server 2012 的 Internet Explorer 10 執行 EMET,還必須安裝 KB2790907 或更新版本的 Windows Server 2012 相容性更新。

哪裡可以下載 EMET?

若要下載 EMET,請前往相關 Microsoft TechNet 頁面:

如何使用 EMET 保護我的軟體?

安裝 EMET 之後,您必須設定 EMET 才能為某個軟體提供保護。 包括必須提供您要保護的可執行檔名稱與位置。 如果要執行這項操作,請使用下列其中一種方法:
  • 與圖形應用程式的應用程式組態功能搭配使用。
  • 使用命令提示字元公用程式。
如果要使用憑證信任功能,您必須提供您要保護的網站清單,以及套用至這些網站的憑證釘選規則。 如果要執行這項操作,您必須使用圖形應用程式的憑證信任設定功能。 或者,也可以使用新的設定精靈。 這可讓您以建議的設定來自動設定 EMET。

注意 隨 Toolkit 安裝的使用者手冊中,具有說明如何使用 EMET 的指示。

我要如何在整個企業中部署 EMET?

在整個企業中部署最新 EMET 版本的最簡單方式,就是使用企業部署和設定技術。 最新版本有內建的群組原則和 System Center Configuration Manager 支援。 如需有關 EMET 如何支援這些技術的詳細資訊,請參閱 EMET 使用者手冊。

您也可以使用命令提示字元公用程式來部署 EMET。 如果要執行這項操作,請依照下列步驟執行:
  1. 在每台目的地電腦上安裝 .msi 檔案。 或者,在網路共用上放置所有已安裝檔案的複本。
  2. 在每台目的地電腦上執行命令提示字元公用程式以設定 EMET。

使用 EMET 是否有任何風險?

EMET 使用的安全性風險降低技術,有應用程式相容性方面的風險。 部分應用程式依賴的正是該防護技術封鎖的行為。 在實際執行環境中部署 EMET 之前,使用測試案例在所有目標電腦上徹底測試 EMET 是很重要的。 如果某特定安全防護功能發生問題,您可以個別啟用和停用該特定安全防護功能。 如需詳細資訊,請參閱 EMET 使用者手冊。

EMET 的最新版本為何?

EMET 的 5.52 版本已在 2016 年 11 月 15 日推出。 如需關於 EMET 最新版本的詳細資訊,請前往以下 TechNet 網站: 

如何取得 EMET 的支援?

有權存取 Microsoft Services Premier 與 Professional Support 的客戶,得以透過這些通道獲得付費的諮詢支援。 不具有 Premier 或 Professional 合約的客戶則可以透過下列官方支援論壇獲得支援:

目前支援的 EMET 版本為何?




下表顯示所有 EMET 版本的生命週期。

EMET 版本生命週期開始日期支援結束日期注意事項
EMET 5.2 與之前版本請參閱注意事項EMET 5.2 與之前版本已不受官方支援
EMET 5.5x2016 年 1 月 29 日2018 年 7 月 31 日在 2018 年 7 月 31 日之後,並無計劃為 EMET 提供支援或安全性修補。

支援的作業系統

作業系統 (最低支援)EMET 5.2EMET 5.5x 
Windows 10 RTM、Windows 10 版本 1511 和 Windows 10 版本 1607

注意事項
  • EMET 尚未在 Windows Server 2016 和 Windows 10 1703 進行測試,並且未正式在上述任一 Windows 版本中受到支援。 若在這些 Windows 版本上發生任何與 EMET 相關的重大問題,將視為個案,並且不一定會提供修正程式。
  • 根據目前的規劃,在 Windows Server 2016 和 Windows 10 版本 1703 之後發行的 Windows 版本上,將不支援或執行 EMET。

Windows 8.1
Windows Server 2012 R2
Windows Server 2012
Windows 7 Service Pack 1
Windows Server 2008 R2 Service Pack 1
Windows Server 2008 Service Pack 2
Windows Vista Service Pack 2