剖析Vista中IE7.0瀏覽器“保護(hù)模式”

微軟根據(jù)新一代Vista操作系統(tǒng)的安全性能提高，而為Vista內(nèi)置的IE瀏覽器增加一項(xiàng)獨(dú)有的安全功能--“保護(hù)模式”(Protected Mode)。今天，筆者就與大家探討一下IE7瀏覽器“保護(hù)模式”的設(shè)置和使用方法。
    一、什么是IE 7的保護(hù)模式
    Internet Explorer瀏覽器的“保護(hù)模式”與Vista系統(tǒng)的“用戶帳戶控制(User Account Control, UAC)”功能有著相同的設(shè)計(jì)理念，目的都是配合安全機(jī)制使用戶在瀏覽網(wǎng)頁(yè)時(shí)，不會(huì)被網(wǎng)頁(yè)內(nèi)的惡意程序代碼修改系統(tǒng)設(shè)置。啟用保護(hù)模式后，IE會(huì)提供瀏覽網(wǎng)頁(yè)所需要的權(quán)限，以及修改用戶文件或系統(tǒng)設(shè)置的權(quán)限限制，例如限制通過(guò)ActiveX平臺(tái)安裝附加軟件(加載項(xiàng))、運(yùn)行程序、修改注冊(cè)表參數(shù)、存取和復(fù)制文件等，從而減少遭遇惡意程序代碼入侵、被修改主頁(yè)或綁架瀏覽器的風(fēng)險(xiǎn)。
    二、保護(hù)模式原理探討
    IE瀏覽器的保護(hù)模式基于Windows Vista的三項(xiàng)系統(tǒng)安全功能：用戶帳戶控制(User Account Control)、完整性機(jī)制(Integrity Mechanism)及用戶界面特權(quán)隔離(User Interface Privilege Isolation)。
    首先，在“用戶帳戶控制”的限制下，即使用“系統(tǒng)管理員”的身份運(yùn)行程序，也會(huì)限程序修改系統(tǒng)的權(quán)限;其次，“用戶界面特權(quán)隔離”會(huì)限制網(wǎng)頁(yè)通過(guò)不斷傳輸視窗信息或API控制項(xiàng)，使瀏覽器或相關(guān)程序取得較高的完整性級(jí)別。
    至于“完整性機(jī)制”，則會(huì)為系統(tǒng)設(shè)置三種存取級(jí)別：“Low”、“Medium”及“High”，以存取系統(tǒng)的安全性項(xiàng)目(Securable objects)，包括寫入文件或進(jìn)行登錄等。一般情況下(例如從“開(kāi)始”菜單中運(yùn)行程序)，系統(tǒng)默認(rèn)以“Medium”作為存取級(jí)別，在該級(jí)別下系統(tǒng)使用“User”權(quán)限，能夠存取和修改用戶的所有文件或涉及用戶的注冊(cè)表項(xiàng)目;而無(wú)論用戶以哪一種帳戶身份使用IE，在保護(hù)模式下只會(huì)被授予“Low”的存取級(jí)別，系統(tǒng)會(huì)以“Untrusted”的系統(tǒng)權(quán)限運(yùn)行程序，并只能存取低存取級(jí)別的路徑位置，例如“Temporary Internet Files\Low”文件夾，以保障用戶系統(tǒng)不被網(wǎng)頁(yè)惡意程序碼所修改。
    三、如何設(shè)置保護(hù)模式
    保護(hù)模式是IE的常駐功能。用戶想修改保護(hù)模式的設(shè)置參數(shù)或根據(jù)需要啟用/禁止保護(hù)模式，可以先運(yùn)行IE瀏覽器，然后在菜單欄上依次點(diǎn)擊“工具”→“Internet選項(xiàng)”修改網(wǎng)絡(luò)設(shè)置。
    在隨后彈出的“Internet選項(xiàng)”窗口的“安全”標(biāo)簽頁(yè)中，勾選“啟用保護(hù)模式”一項(xiàng)即可。需要說(shuō)明的是，在“安全”標(biāo)簽頁(yè)的“選擇要查看的區(qū)域”一欄中，有四個(gè)區(qū)域：Internet、本地Intranet、可信站點(diǎn)、受限站點(diǎn)，它們各有獨(dú)立的安全設(shè)置，因此設(shè)置保護(hù)模式時(shí)也應(yīng)該分別進(jìn)行設(shè)置。對(duì)于一般上網(wǎng)瀏覽，你只需點(diǎn)選“Internet”一項(xiàng)，再勾選“啟用保護(hù)模式”，即可放心上網(wǎng)瀏覽。