微软的Fall Creators更新最终为Windows添加了集成的漏洞保护。你以前必须通过微软的EMET工具来寻找这个问题。它现在是Windows Defender的一部分，默认情况下处于激活状态。

windows defender的漏洞保护工作原理

相关报道：windows10的秋季创作者更新有什么新内容，现在可以使用了

长期以来，我们一直建议使用反攻击软件，如Microsoft的增强缓解体验工具包（EMET）或更为用户友好的Malwarebytes anti-Malware，其中包含强大的反攻击功能（以及其他功能）。微软的EMET被广泛应用于更大的网络上，系统管理员可以对其进行配置，但它从未在默认情况下安装，需要配置，并且对于普通用户来说界面混乱。

典型的防病毒程序，如Windows Defender本身，在危险程序可以在系统上运行之前使用病毒定义和启发式方法来捕获它们。反攻击工具实际上阻止了许多流行的攻击技术发挥作用，因此这些危险的程序不会首先进入您的系统。它们启用某些操作系统保护并阻止常见的内存攻击技术，因此如果检测到类似攻击的行为，它们将在任何不好的事情发生之前终止进程。换句话说，它们可以在修补之前抵御许多零日攻击。

但是，它们可能会导致兼容性问题，并且它们的设置可能需要针对不同的程序进行调整。这就是为什么EMET通常用于企业网络，系统管理员可以调整设置，而不是家用pc。

Windows Defender现在包含了许多相同的保护，这些保护最初是在Microsoft的EMET中找到的。默认情况下，它们为所有人启用，并且是操作系统的一部分。Windows Defender会自动为系统上运行的不同进程配置适当的规则。（Malwarebytes仍然声称他们的反攻击功能是优越的，我们仍然建议使用Malwarebytes，但Windows Defender现在也有一些内置的功能，这是很好的。）

如果您已升级到Windows10的秋季创建者更新，并且不再支持EMET，则此功能将自动启用。EMET甚至不能安装在运行Fall Creators更新的pc上。如果您已经安装了EMET，则更新将删除它。

相关：如何保护您的文件从勒索与Windows Defender的新的“受控文件夹访问”

windows10的Fall Creators更新还包括一个名为Controlled Folder Access的相关安全功能。它只允许受信任的程序修改您个人数据文件夹中的文件（如文档和图片），从而阻止恶意软件。这两项功能都是“Windows Defender漏洞防护”的一部分。但是，默认情况下不启用受控文件夹访问。

如何确认启用了漏洞攻击保护

此功能在所有Windows 10 PC上自动启用。但是，也可以将其切换到“审核模式”，允许系统管理员监视攻击保护的日志，以确认在关键PC上启用此功能之前不会导致任何问题。

要确认此功能已启用，可以打开Windows Defender安全中心。打开“开始”菜单，搜索Windows Defender，然后单击Windows Defender安全中心快捷方式。

单击侧边栏中窗口形状的“应用程序和浏览器控件”图标。向下滚动，您将看到“利用漏洞保护”部分。它将通知您此功能已启用。

如果你没有看到这个部分，你的电脑可能还没有更新到秋季创作者更新。

如何配置windows defender的漏洞攻击保护

警告：您可能不想配置此功能。WindowsDefender提供了许多可以调整的技术选项，大多数人都不知道他们在做什么。此功能配置了智能默认设置，可避免造成问题，并且Microsoft可以随时间更新其规则。这里的选项似乎主要是为了帮助系统管理员为软件开发规则，并在企业网络上推出这些规则。

如果您确实要配置漏洞攻击保护，请转至Windows Defender Security Center>App&browser control，向下滚动，然后单击漏洞攻击保护下的“漏洞攻击保护设置”。

您将在这里看到两个选项卡：系统设置和程序设置。系统设置控制用于所有应用程序的默认设置，而程序设置控制用于各种程序的单个设置。换句话说，程序设置可以覆盖单个程序的系统设置。它们可以限制得更多，也可以限制得更少。

在屏幕底部，您可以单击“导出设置”将设置导出为可在其他系统上导入的.xml文件。Microsoft的官方文档提供了有关使用组策略和PowerShell部署规则的更多信息。

在System settings选项卡上，您将看到以下选项：Control flow guard（CFG）、Data Execution Prevention（DEP）、Force randomization for images（强制ASLR）、randomization memory allocati***（自下而上ASLR）、Validate exception chains（SEHOP）和Validate heap integrity。默认情况下，除强制图像随机化（强制ASLR）选项外，它们都处于启用状态。这可能是因为强制ASLR会导致某些程序出现问题，因此如果启用它，可能会遇到兼容性问题，具体取决于运行的程序。

再说一次，你真的不应该碰这些选项，除非你知道你在做什么。默认值是合理的，选择它是有原因的。

相关报道：为什么64位版本的Windows更安全

这个界面提供了一个非常简短的摘要，说明每个选项的作用，但是如果您想了解更多，就必须进行一些研究。我们之前已经解释过DEP和ASLR在这里做什么。

单击“程序设置”选项卡，您将看到具有自定义设置的不同程序的列表。这里的选项允许覆盖整个系统设置。例如，如果您选择“进程名”在列表中单击“编辑”，您将看到这里的规则强制启用InternetExplorer进程的强制ASLR，即使默认情况下系统范围内没有启用。

您不应该篡改这些进程的内置规则，例如runtimebroker.exe以及打印服务程序. 微软添加它们是有原因的。

您可以通过单击“添加要自定义的程序”来为各个程序添加自定义规则。您可以“按程序名添加”或“选择确切的文件路径”，但指定确切的文件路径要精确得多。

一旦添加，你会发现一长串对大多数人没有意义的设置。这里提供的完整设置列表是：任意代码保护（ACG）、阻止低完整性图像、阻止远程图像、阻止不受信任的字体、代码完整性保护、控制流保护（CFG）、数据执行保护（DEP）、禁用扩展点、禁用Win32k系统调用、不允许子进程、导出地址筛选（EAF）、强制映像随机化（强制ASLR）、导入地址筛选（IAF）、随机化内存分配（自下而上ASLR）、模拟执行（SimExec）、验证API调用（CallerCheck）、验证异常链（SEHOP）、验证句柄使用情况、验证堆完整性、验证映像依赖完整性，并验证堆栈完整性（StackPivot）。

同样，除非你是一个系统管理员，想要锁定一个应用程序，并且你真的知道你在做什么，否则你不应该碰这些选项。

作为测试，我们启用了iexplore.exe并试图发射它。Internet Explorer只是显示了一条错误消息并拒绝启动。我们甚至没有看到Windows Defender通知解释Internet Explorer由于我们的设置而无法运行。

不要盲目地限制应用程序，否则会在系统上造成类似的问题。如果你不记得你也更改了选项，它们将很难排除故障。

如果您仍然使用旧版本的Windows（如Windows 7），则可以通过安装Microsoft的EMET或Malwarebytes来获得漏洞攻击保护功能。不过，对EMET的支持将于2018年7月31日停止，因为微软希望将业务推向windows10和windowsdender的漏洞保护。