Enhanced Mitigation Experience Toolkit

對於 Windows Vista Service Pack 1 (SP1) 的支援已於 2011 年 7 月 12 日結束。如果要繼續收到 Windows Vista 的安全性更新,請確定您執行的是 Windows Vista (含 Service Pack 2 (SP2))。如需詳細資訊,請參閱此 Microsoft 網頁:對 Windows 部分版本的支援即將結束
簡介
本文說明 Enhanced Mitigation Experience Toolkit,並提供下載此工具組的連結。
其他相關資訊

EMET 5.5 和 5.51 的已知問題

無法透過 GUI 取得 EMET 使用者指南

EMET 5.5 和 5.51 的使用者指南可透過下載取得。如此,我們便可在需要時更新指南。但是,目前無法透過 EMET GUI 取得指南。 

若要解決這個問題,請依照下列步驟執行:
  1. 前往 https://www.microsoft.com/zh-tw/download/details.aspx?id=50802 下載 EMET 使用者指南。
  2. 將下載的檔案重新命名為「EMET 使用者指南.pdf」。
  3. 將該檔案貼到 EMET 目錄 (通常位於 C:\Program Files\EMET 5.5 或 C:\Program Files (x86)\EMET 5.5)。

EMET 5.5 GUI 在啟動時當機

在某些情況下,EMET 5.5 GUI 會在啟動時當機。發生這種情況時,Windows 事件檢視器會顯示呼叫堆疊,如下所示:
應用程式:EMET_GUI.exe
Framework 版本:v4.0.30319
描述:處理序因發生無法處理的例外狀況而終止。
例外狀況資訊:System.Exception at HelperLib.Config.GetStringValue(System.String, System.String, Boolean) at GraphicalApp.MainForm..ctor() at GraphicalApp.Program.RunEmetGUI() at GraphicalApp.Program.Main(System.String[])
若要解決此問題,請依照以下其中一項方法執行:
  • 輸入以下取自提升權限命令提示字元中的命令:
    reg add HKCU\Software\Microsoft\EMET
  • 安裝 EMET 5.51

變更整個系統的 DEP 設定時,EMET 5.5 發生未預期的 BitLocker 警告

在未安裝 BitLocker 的電腦上變更整個系統的 DEP 設定時,EMET 5.5 會顯示以下 BitLocker 警告: 

為了安全變更整個系統的 DEP 設定,BitLocker 必須暫停運作。若選擇套用,建議您儘早重新啟動系統。是否確定要進行這項變更?


若您選擇 ,您會收到類似以下內容的錯誤訊息:

BitLocker 無法暫停。如果沒有 BitLocker 修復金鑰,下次重新開機時,將無法啟動 Windows。是否確定要進行這項變更?


若要解決此問題,請執行以下任一指示:
  • 安裝 BitLocker。為執行安裝,請在 PowerShell 輸入以下命令: 
    Install-WindowsFeature BitLocker
  • 由於 EMET UI 不會反映 DEP 設定狀態,請勿使用 EMET UI 變更 DEP 全系統設定,所有更新都應使用登錄設定執行。 
  • 安裝 EMET 5.51

在 Internet Explorer 開啟受信任的網站時,會留下 EMET ASR 風險降低記錄 

在 Internet Explorer 開啟受信任的網站時,EMET 會觸發 ASR 風險降低通知,並在事件日誌留下一筆記錄。 

在此情況下,ASR 會尋找載入處理序中的 DLL 檔案。若使用 iexplore.exe,ASR 尋找的其中一個 DLL 檔案是 vbscript.dll。因此,若 iexplore.exe 已啟用 ASR (預設為啟用),iexplore.exe 載入 vbscript.dll 時,便會觸發 ASR 風險降低。 

要解決此問題,請確認已設定排除受信任網站和內部網路區域,且所有使用 VBScript 的內容均已和上述其中一個區域建立關聯。 

若要解決此問題,請執行以下任一指示:
  • 將觸發 Internet Explorer 載入 vbscript.dll 的 URL 網域名稱,新增至 Internet Explorer 的 [受信任網站] 清單。 
  • 與擁有該 URL 的網站應用程式開發者合作,將 URL 重新編碼使 vbscript.dll 不再啟動。 
  • 將 vbscript.dll 自監管的 DLL 清單中移除,為 iexplore.exe 建立 EMET ASR 的例外狀況。不建議您選擇這個選項。 
若您早已將 URL 網域名稱新增至 Internet Explorer 的 [受信任網站] 清單,您可能會想深入調查,對問題進行疑難排解。網頁可能包含一些重新導向或 iframe,會接收不在 Internet Explorer [受信任網站] 清單上的其他 URL 網域名稱的編碼,而可能導致 vbscript.dll 載入。 

 若已在 Windows 7 或 Windows Server 2008 R2 啟用 EMET,Office 2010 會無法啟動

若已啟用 Enhanced Mitigation Experience Toolkit (EMET),也已安裝安全性更新 3146706便利彙總套件更新 3125574,便會發生此問題。要解決此問題,請安裝 Windows 7 和 Windows Server 2008 R2 適用的 2016 年 6 月更新彙總套件

EMET 與 Edge 支援

EMET 5.5 和 5.51 風險降低不適用於 Microsoft Edge,因為 Edge 採用先進技術為系統提供保護。Edge 使用的技術包括領先業界的沙箱技術、編譯器,以及記憶體管理技術。
常見問題集

什麼是 Enhanced Mitigation Experience Toolkit?

Enhanced Mitigation Experience Toolkit (EMET) 是可協助防止軟體弱點被攻擊者成功入侵的公用程式。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙,有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而,運用這些技術可讓弱點更難以遭到入侵。

EMET 也提供可設定的 SSL/TLS 憑證釘選功能,也就是所謂的「憑證信任」。這個功能的目的是要偵測 (EMET 5.0 則是阻止) 利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

EMET 能保護的軟體是否有任何限制?

不管是何時編寫、由誰編寫的軟體,EMET 都能提供保護。這包括 Microsoft 開發的軟體,以及其他廠商開發的軟體。但是,您應留意部分軟體可能與 EMET 不相容。如需相容性的詳細資訊,請參閱<使用 EMET 是否有任何風險?>一節。

若要使用 EMET,必須滿足哪些要求?

要使用 EMET,您必須要有 Microsoft .NET Framework 4.0。此外,若要在 Windows Server 20121 的 Internet Explorer 10 執行 EMET,還必須安裝 KB2790907 或更新版本的 Windows Server 2012 相容性更新。

哪裡可以下載 EMET?

若要下載 EMET,請前往相關 Microsoft TechNet 頁面:

如何使用 EMET 保護我的軟體?

安裝 EMET 之後,您必須設定 EMET 才能為某個軟體提供保護。包括必須提供您要保護的可執行檔名稱與位置。如果要執行這項操作,請使用下列其中一種方法:
  • 與圖形應用程式的應用程式組態功能搭配使用。
  • 使用命令提示字元公用程式。
如果要使用憑證信任功能,您必須提供您要保護的網站清單,以及套用至這些網站的憑證釘選規則。如果要執行這項操作,您必須使用圖形應用程式的憑證信任設定功能。或者,也可以使用新的設定精靈。這可讓您以建議的設定來自動設定 EMET。

注意 隨 Toolkit 安裝的使用者手冊中,具有說明如何使用 EMET 的指示。

我要如何在整個企業中部署 EMET?

在整個企業中部署最新 EMET 版本的最簡單方式,就是使用企業部署和設定技術。最新版本有內建的群組原則和 System Center Configuration Manager 支援。如需有關 EMET 如何支援這些技術的詳細資訊,請參閱 EMET 使用者手冊。

您也可以使用命令提示字元公用程式來部署 EMET。如果要執行這項操作,請依照下列步驟執行:
  1. 在每台目的地電腦上安裝 .msi 檔案。或者,在網路共用上放置所有已安裝檔案的複本。
  2. 在每台目的地電腦上執行命令提示字元公用程式以設定 EMET。

使用 EMET 是否有任何風險?

EMET 使用的安全性風險降低技術,有應用程式相容性方面的風險。部分應用程式依賴的正是該防護技術封鎖的行為。在實際執行環境中部署 EMET 之前,使用測試案例在所有目標電腦上徹底測試 EMET 是很重要的。如果某特定安全防護功能發生問題,您可以個別啟用和停用該特定安全防護功能。如需詳細資訊,請參閱 EMET 使用者手冊。

EMET 的最新版本為何?

EMET 的新版本已在 2014 年 7 月 31 日推出。如需關於 EMET 最新版本的詳細資訊,請前往以下 TechNet 網站:

如何取得 EMET 的支援?

有權存取 Microsoft Services Premier 與 Professional Support 的客戶,得以透過這些通道獲得付費的諮詢支援。不具有 Premier 或 Professional 合約的客戶則可以透過下列官方支援論壇獲得支援:

目前支援的 EMET 版本為何?

所有主要版本的 EMET 皆享有自發行日起 24 個月的支援,或自下一個主要版本的發行日算起 12 個月的支援,以較早的日期為準。下表顯示所有 EMET 版本的生命週期。

EMET 版本生命週期開始日期支援結束日期注意事項
EMET 4.x 與之前版本請參閱注意事項EMET 4.x 與之前版本已不受官方支援
EMET 5.2、5.1 和 5.02014 年 7 月 13 日2016 年 7 月 12 日支援將於 EMET 5.0 發行後 24 個月結束
EMET 5.52016 年 1 月 29 日2017 年 1 月 27 日支援將於 EMET 5.5 發行後 12 個月結束

支援的作業系統

作業系統 (最低支援)EMET 5.2EMET 5.5
Windows 10
Windows 8.1
Windows Server 2012 R2
Windows Server 2012
Windows 7 Service Pack 1
Windows Server 2008 R2 Service Pack 1
Windows Server 2008 Service Pack 2
Windows Vista Service Pack 2
內容

文章識別碼:2458544 - 最後檢閱時間:08/04/2016 12:47:00 - 修訂: 14.0

  • atdownload kbexpertiseinter kbsecurity KB2458544
意見反應