微軟的Fall Creators更新最終為Windows添加了整合的漏洞保護。你以前必須透過微軟的EMET工具來尋找這個問題。它現在是Windows Defender的一部分，預設情況下處於啟用狀態。

windows defender的漏洞保護工作原理

相關報道：windows10的秋季創作者更新有什麼新內容，現在可以使用了

長期以來，我們一直建議使用反攻擊軟體，如Microsoft的增強緩解體驗工具包（EMET）或更為使用者友好的Malwarebytes anti-Malware，其中包含強大的反攻擊功能（以及其他功能）。微軟的EMET被廣泛應用於更大的網路上，系統管理員可以對其進行配置，但它從未在預設情況下安裝，需要配置，並且對於普通使用者來說介面混亂。

典型的防病毒程式，如Windows Defender本身，在危險程式可以在系統上執行之前使用病毒定義和啟發式方法來捕獲它們。反攻擊工具實際上阻止了許多流行的攻擊技術發揮作用，因此這些危險的程式不會首先進入您的系統。它們啟用某些作業系統保護並阻止常見的記憶體攻擊技術，因此如果檢測到類似攻擊的行為，它們將在任何不好的事情發生之前終止程序。換句話說，它們可以在修補之前抵禦許多零日攻擊。

但是，它們可能會導致相容性問題，並且它們的設定可能需要針對不同的程式進行調整。這就是為什麼EMET通常用於企業網路，系統管理員可以調整設定，而不是家用pc。

Windows Defender現在包含了許多相同的保護，這些保護最初是在Microsoft的EMET中找到的。預設情況下，它們為所有人啟用，並且是作業系統的一部分。Windows Defender會自動為系統上執行的不同程序配置適當的規則。（Malwarebytes仍然聲稱他們的反攻擊功能是優越的，我們仍然建議使用Malwarebytes，但Windows Defender現在也有一些內建的功能，這是很好的。）

如果您已升級到Windows10的秋季建立者更新，並且不再支援EMET，則此功能將自動啟用。EMET甚至不能安裝在執行Fall Creators更新的pc上。如果您已經安裝了EMET，則更新將刪除它。

相關：如何保護您的檔案從勒索與Windows Defender的新的“受控資料夾訪問”

windows10的Fall Creators更新還包括一個名為Controlled Folder Access的相關安全功能。它只允許受信任的程式修改您個人資料資料夾中的檔案（如文件和圖片），從而阻止惡意軟體。這兩項功能都是“Windows Defender漏洞防護”的一部分。但是，預設情況下不啟用受控資料夾訪問。

如何確認啟用了漏洞攻擊保護

此功能在所有Windows 10 PC上自動啟用。但是，也可以將其切換到“稽核模式”，允許系統管理員監視攻擊保護的日誌，以確認在關鍵PC上啟用此功能之前不會導致任何問題。

要確認此功能已啟用，可以開啟Windows Defender安全中心。開啟“開始”選單，搜尋Windows Defender，然後單擊Windows Defender安全中心快捷方式。

單擊側邊欄中視窗形狀的“應用程式和瀏覽器控制元件”圖示。向下滾動，您將看到“利用漏洞保護”部分。它將通知您此功能已啟用。

如果你沒有看到這個部分，你的電腦可能還沒有更新到秋季創作者更新。

如何配置windows defender的漏洞攻擊保護

警告：您可能不想配置此功能。WindowsDefender提供了許多可以調整的技術選項，大多數人都不知道他們在做什麼。此功能配置了智慧預設設定，可避免造成問題，並且Microsoft可以隨時間更新其規則。這裡的選項似乎主要是為了幫助系統管理員為軟體開發規則，並在企業網路上推出這些規則。

如果您確實要配置漏洞攻擊保護，請轉至Windows Defender Security Center>App&browser control，向下滾動，然後單擊漏洞攻擊保護下的“漏洞攻擊保護設定”。

您將在這裡看到兩個選項卡：系統設定和程式設定。系統設定控制用於所有應用程式的預設設定，而程式設定控制用於各種程式的單個設定。換句話說，程式設定可以覆蓋單個程式的系統設定。它們可以限制得更多，也可以限制得更少。

在螢幕底部，您可以單擊“匯出設定”將設定匯出為可在其他系統上匯入的.xml檔案。Microsoft的官方文件提供了有關使用組策略和PowerShell部署規則的更多資訊。

在System settings選項卡上，您將看到以下選項：Control flow guard（CFG）、Data Execution Prevention（DEP）、Force randomization for images（強制ASLR）、randomization memory allocati***（自下而上ASLR）、Validate exception chains（SEHOP）和Validate heap integrity。預設情況下，除強制影象隨機化（強制ASLR）選項外，它們都處於啟用狀態。這可能是因為強制ASLR會導致某些程式出現問題，因此如果啟用它，可能會遇到相容性問題，具體取決於執行的程式。

再說一次，你真的不應該碰這些選項，除非你知道你在做什麼。預設值是合理的，選擇它是有原因的。

相關報道：為什麼64位版本的Windows更安全

這個介面提供了一個非常簡短的摘要，說明每個選項的作用，但是如果您想了解更多，就必須進行一些研究。我們之前已經解釋過DEP和ASLR在這裡做什麼。

單擊“程式設定”選項卡，您將看到具有自定義設定的不同程式的列表。這裡的選項允許覆蓋整個系統設定。例如，如果您選擇“程序名”在列表中單擊“編輯”，您將看到這裡的規則強制啟用InternetExplorer程序的強制ASLR，即使預設情況下系統範圍內沒有啟用。

您不應該篡改這些程序的內建規則，例如runtimebroker.exe以及列印服務程式. 微軟新增它們是有原因的。

您可以透過單擊“新增要自定義的程式”來為各個程式新增自定義規則。您可以“按程式名新增”或“選擇確切的檔案路徑”，但指定確切的檔案路徑要精確得多。

一旦新增，你會發現一長串對大多數人沒有意義的設定。這裡提供的完整設定列表是：任意程式碼保護（ACG）、阻止低完整性影象、阻止遠端影象、阻止不受信任的字型、程式碼完整性保護、控制流保護（CFG）、資料執行保護（DEP）、禁用擴充套件點、禁用Win32k系統呼叫、不允許子程序、匯出地址篩選（EAF）、強制映像隨機化（強制ASLR）、匯入地址篩選（IAF）、隨機化記憶體分配（自下而上ASLR）、模擬執行（SimExec）、驗證API呼叫（CallerCheck）、驗證異常鏈（SEHOP）、驗證控制代碼使用情況、驗證堆完整性、驗證映像依賴完整性，並驗證堆疊完整性（StackPivot）。

同樣，除非你是一個系統管理員，想要鎖定一個應用程式，並且你真的知道你在做什麼，否則你不應該碰這些選項。

作為測試，我們啟用了iexplore.exe並試圖發射它。Internet Explorer只是顯示了一條錯誤訊息並拒絕啟動。我們甚至沒有看到Windows Defender通知解釋Internet Explorer由於我們的設定而無法執行。

不要盲目地限制應用程式，否則會在系統上造成類似的問題。如果你不記得你也更改了選項，它們將很難排除故障。

如果您仍然使用舊版本的Windows（如Windows 7），則可以透過安裝Microsoft的EMET或Malwarebytes來獲得漏洞攻擊保護功能。不過，對EMET的支援將於2018年7月31日停止，因為微軟希望將業務推向windows10和windowsdender的漏洞保護。