數(shù)據(jù)執(zhí)行防御(DEP)很好地詮釋了EMET 2 對(duì)系統(tǒng)的保護(hù);它是Windows XP SP2 中的保護(hù)性功能，通過(guò)限制可執(zhí)行內(nèi)存代碼的量來(lái)增加堆棧攻擊和緩沖溢出攻擊的難度。為了利用這一功能，你所使用的程序必須由供應(yīng)商清楚地編譯好。即便供應(yīng)商沒(méi)有為DEP編寫程序，EMET也可以讓你將DEP應(yīng)用到任何可執(zhí)行的數(shù)據(jù)上，因而它會(huì)讓DEP的運(yùn)行更有效率。DEP所保護(hù)的程序更加難以被攻擊者利用，因而也更加安全。

如果你使用的是IE6瀏覽器，則要認(rèn)真考慮DEP。微軟的MS10-002建議就是主動(dòng)利用可被DEP修補(bǔ)的關(guān)鍵漏洞的典范，即便我們不知道具體漏洞所在，DEP也可以提供保護(hù)。EMET不需要啟用用于IE6的DEP，但是我們要明確地啟用DEP。

Windows XP SP3，Vista SP1，Windows 7， Windows Server 2003 SP1和Server 2008支持EMET?？梢詤⒖碋MET用戶指南以便為操作系統(tǒng)選擇合適的功能。要想使用EMET，先安裝，然后啟用你需要的功能。你還可以將EMET保護(hù)添加到每個(gè)應(yīng)用上。

圖一展示了Windows XP SP3系統(tǒng)上的操作系統(tǒng)級(jí)別的功能配置(僅支持DEP)。圖二展示了用于Adobe Acrobat的應(yīng)用指定型功能。再者，每個(gè)受保護(hù)的應(yīng)用必須進(jìn)行手動(dòng)添加;不存在“保護(hù)所有項(xiàng)”的選項(xiàng)。在把所有功能部署到關(guān)鍵系統(tǒng)前，要對(duì)所有功能進(jìn)行測(cè)試。

圖一

圖二

以任意規(guī)模手動(dòng)添加應(yīng)用時(shí)都可能出現(xiàn)不方便的情況，所以我們可以使用命令行指令向EMET添加應(yīng)用。例如，假設(shè)你想將EMET部署到一些服務(wù)器上，并保護(hù)十個(gè)指定的可執(zhí)行文件。你可以用安裝腳本來(lái)定位每個(gè)可執(zhí)行文件，然后用EMET_conf-add命令將位置發(fā)送給EMET。用戶指南的第三部分對(duì)命令行配置選項(xiàng)進(jìn)行了討論。

最近，發(fā)布EMET的微軟安全調(diào)查和防御小組針對(duì)微軟漏洞分析以及對(duì)微軟產(chǎn)品的攻擊開設(shè)了一個(gè)博客，此博客中上傳了許多有用的信息，建議Windows管理員讀一讀。

liukai