不管是对付网络罪犯还是安适研究人员来，打击Windows 都是一个时尚的选择，但一直以来，由于微软超卓的安适事情，寻找操纵系统中安适缝隙的难度正在变得越来越困难。

只要Windows操纵系统维持作为广受欢迎的打击东西，研究人员和黑客将不会遏制对该平台的连续敲打测验考试，期许发明某种先进的计谋来颠覆微软的防御体系。

跟着微软在 Windows 10 操纵系统中引入多个先进的安适缓解应对技术来应对所有差别种类的打击，此刻的安适性比过去要高得多。尽管在本年 黑帽安适技术大会上，业界顶尖黑客展示了最新的庞大的打击技术，但是大家心照不宣地默认一点：跟着 Windows 10 的问世，开发一项能告成打击安置Windows操纵系统的计算机的技术更加艰难了。通过操纵系统的缝隙来打击 Windows系统要比几年前难得多。

使用内置防恶意软件工具微软开发出能够在内存中发明恶意脚本的AMSI (Antimalware Scan Interface) 接口工具。NoSoSecure公司的渗透测试工程师兼助理参谋在黑帽安适技术大会上向与会者介绍道：“任何应用都可挪用该接口，任何注册的防恶意软件引擎都能通过AMSI扫描查杀被提交的内容。”Windows Defender 和 AVG 目前使用 AMSI，它应该会得到更广泛的应用。

Mittal 暗示：“AMSI 是在 Windows 中拦截基于脚本的打击所迈出的一大步。”

网络罪犯越来越依赖基于脚本的打击，尤其是那些在其打击步履中执行 PowerShell脚本的网络罪犯。企业很难发明使用 PowerShell 的打击，因为难以把这种打击与合法行为区分隔来。由于 PowerShell 脚本可用来触及系统或网络的任何方面，打击也很难得以修复。由于几乎所有 Windows 系统此刻都预装了 PowerShell，因此基于脚本的打击变得越发遍及。

网络罪犯已经开始使用 PowerShell 并在内存中加载脚本，但花了必然的时间后才研发出有效的防御法子。Mittal 暗示：“在几年前，还没有人在乎 PowerShell。我们的脚本根柢不成能被检测到。仅在三年前，防病毒供给商才开始意识到这一趋势。”

尽管很容易就能检测到磁盘上生存的脚本，但是要想阻止内存中的脚本执行并不容易。AMSI 试图在主机层面破获脚本，这意味着无论是生存在磁盘上、存储在内存中，还是交互式启用，输入方法变得不再重要，就像 Mittal 所说的那样“转变了游戏法则”。

然而，AMSI 并不能独立存在，因为其有效性依赖于其它安适法子。如果没有生成日志，基于脚本的打击很难执行，因此，Windows 打点员必然要按期监测其 PowerShell 日志。

AMSI 此刻还并不完美，也有步伐绕开 AMSI。无论如何，Mittal 仍然认为 AMSI 是 Windows 打点的未来。

掩护勾当目录（Active Directory）勾当目录（Active Directory）是Windows打点的基石，跟着企业机构不停把负载转移到云上，它正成为越发关键的构成部分。勾当目录不但被用来措置惩罚惩罚公司本地内部网络的身份认证和打点，它此刻可以辅佐用户在Microsoft Azure公有云长进行身份认证。

微软勾当认证专家、安适公司Trimarc首创人Sean Metcalf报告黑帽安适技术大会的参会者，Windows打点员、安适专业人员和打击者对付勾当目录有着差此外看法。对付打点员来说，他们的存眷重点在于保证正常运行不宕机，以及确保勾当目录在合理的时间段内响应访谒请求。安适专业人士监测域打点组群成员身份，并随时更新软件。而打击者存眷着企业的安适态势，寻找缝隙。没有任何一个群体会纵览全貌。

Metcalf暗示，所有通过身份验证的用户都有权限访谒勾当目录中的大部分东西和属性。一个标准用户帐号可能会因为向域连接的组计谋东西（group policy objectives, GPO）和组织单元（organizational unit, OU）授予不得当的改削权限而被用于乳清整个勾当目录打点的域。通过自界说OU许可，用户无需提高权限，就可改削用户和群组，或者可以直接检察SID History以获得更高的权限，这是一个勾当目录用户帐号东西属性。

如果勾当目录不安适，就很有可能受到损害。

Metcalf介绍了辅佐企业制止常见错误的计谋，也就是掩护打点员凭证并断绝关键资源。及时更新升级软件，尤其是那些涉及到权限提升的缝隙补丁，并且对网络分区，从而使打击者从外侧更难攻入网络。