增强型缓解体验工具包是微软保守得最好的安全机密。安装EMET很容易，并且可以快速保护许多流行的应用程序，但是使用EMET可以做更多的事情。

EMET不会弹出并询问您问题，因此，一旦您设置好它，它就是一个一劳永逸的解决方案。下面介绍如何使用EMET保护更多的应用程序，并在它们损坏时修复它们。

了解EMET是否会破坏应用程序

相关：使用Microsoft增强的缓解体验工具包(EMET)快速保护您的计算机

如果应用程序做了您的EMET规则不允许的事情，EMET将关闭该应用程序--无论如何，这是默认设置。EMET会关闭以潜在不安全方式运行的应用程序，这样就不会发生利用漏洞的情况。默认情况下，Windows并不是对所有应用程序都这样做，因为这会破坏与当今使用的许多旧Windows应用程序的兼容性。

如果应用程序中断，应用程序将立即关闭，您将看到系统托盘中的EMET图标弹出一个窗口。它还将写入Windows事件日志-可以从EMET窗口顶部功能区上的报告框自定义这些选项。

使用64位版本的Windows

相关：为什么64位版本的Windows更安全

64位版本的Windows更安全，因为它们可以访问地址空间布局随机化(ASLR)等功能。如果您使用的是32位版本的Windows，则并非所有这些功能都可用。与Windows本身一样，EMET的安全功能在64位PC上更加全面和有用。

锁定特定进程

您可能希望锁定特定的应用程序，而不是整个系统。将重点放在最有可能受到危害的应用程序上。这意味着Web浏览器、浏览器插件、聊天程序以及与Internet通信或打开下载文件的任何其他软件。在不打开任何下载文件的情况下脱机运行的低级系统服务和应用程序风险较小。如果您有一些重要的业务应用程序-可能是访问Internet的应用程序-它可能是您最想保护的应用程序。

要保护正在运行的应用程序，请在EMET列表中找到它，右键单击它，然后选择配置进程。

(如果要保护未运行的进程，请打开“应用程序”窗口，然后使用“添加应用程序”或“添加通配符”按钮。)

将出现Application Configuration(应用程序配置)窗口，并突出显示您的应用程序。默认情况下，所有规则都将自动启用。只需单击此处的“确定”按钮即可应用所有规则。

如果您的应用程序不能正常工作，您会希望回到这里并尝试禁用该应用程序的一些限制。逐个禁用它们，直到应用程序正常工作，您就可以隔离问题了。

如果您根本不想限制某个应用程序，请在列表中选择该应用程序，然后单击Remove Selected按钮以擦除您的规则，并将该应用程序恢复到其默认状态。

更改系统范围的规则

系统状态部分允许您选择系统范围的规则。您可能希望坚持默认设置，它允许应用程序选择加入这些安全保护。

您可以为这些设置选择“始终打开”或“应用程序选择退出”，以获得最高的安全性。这可能会破坏许多应用程序，特别是较旧的应用程序。如果应用程序开始运行不正常，您可以恢复到默认设置或为应用程序创建“选择退出”规则。

要创建选择退出规则，请右键单击进程，然后选择配置进程。取消选中您想要退出的保护类型-因此，如果您想要退出系统范围的ASLR，则需要取消选中该进程的MandatoryASLR和BottomUpASLR复选框。单击确定保存您的规则。

请注意，我们已经为上面的DEP启用了“Always On”，因此我们不能在下面的Application Configuration(应用程序配置)窗口中为任何进程禁用DEP。

“仅审核”模式下的测试规则

如果您想测试EMET规则，但不想处理任何问题，可以启用“仅审核”模式。单击EMET中的应用程序图标以访问应用程序配置窗口。您将在屏幕顶部的功能区中找到一个默认操作部分。默认情况下，它被设置为在利用漏洞时停止-如果应用程序违反规则，EMET将关闭该应用程序。您也可以将其设置为仅审核。如果应用程序违反了您的EMET规则之一，EMET将报告问题并允许应用程序继续运行。

这显然消除了运行EMET的安全优势，但在将EMET重新置于“利用漏洞时停止”模式之前，这是测试规则的好方法。

导出和导入规则

创建并测试规则后，请确保使用导出或导出选定项按钮将规则导出到文件。然后，您可以将它们导入到您使用的任何其他PC上，无需更多操作即可获得相同的安全保护。

在公司网络上，可以通过组策略部署EMET规则和EMET本身。

所有这些都不是强制性的。如果您是不想处理这一问题的家庭用户，只需安装EMET并坚持推荐的默认设置即可。