剖析Vista中IE7.0瀏覽器“保護模式”

微軟根據(jù)新一代Vista操作系統(tǒng)的安全性能提高，而為Vista內(nèi)置的IE瀏覽器增加一項獨有的安全功能--“保護模式”(Protected Mode)。今天，筆者就與大家探討一下IE7瀏覽器“保護模式”的設(shè)置和使用方法。
    一、什么是IE 7的保護模式
    Internet Explorer瀏覽器的“保護模式”與Vista系統(tǒng)的“用戶帳戶控制(User Account Control, UAC)”功能有著相同的設(shè)計理念，目的都是配合安全機制使用戶在瀏覽網(wǎng)頁時，不會被網(wǎng)頁內(nèi)的惡意程序代碼修改系統(tǒng)設(shè)置。啟用保護模式后，IE會提供瀏覽網(wǎng)頁所需要的權(quán)限，以及修改用戶文件或系統(tǒng)設(shè)置的權(quán)限限制，例如限制通過ActiveX平臺安裝附加軟件(加載項)、運行程序、修改注冊表參數(shù)、存取和復(fù)制文件等，從而減少遭遇惡意程序代碼入侵、被修改主頁或綁架瀏覽器的風(fēng)險。
    二、保護模式原理探討
    IE瀏覽器的保護模式基于Windows Vista的三項系統(tǒng)安全功能：用戶帳戶控制(User Account Control)、完整性機制(Integrity Mechanism)及用戶界面特權(quán)隔離(User Interface Privilege Isolation)。
    首先，在“用戶帳戶控制”的限制下，即使用“系統(tǒng)管理員”的身份運行程序，也會限程序修改系統(tǒng)的權(quán)限;其次，“用戶界面特權(quán)隔離”會限制網(wǎng)頁通過不斷傳輸視窗信息或API控制項，使瀏覽器或相關(guān)程序取得較高的完整性級別。
    至于“完整性機制”，則會為系統(tǒng)設(shè)置三種存取級別：“Low”、“Medium”及“High”，以存取系統(tǒng)的安全性項目(Securable objects)，包括寫入文件或進行登錄等。一般情況下(例如從“開始”菜單中運行程序)，系統(tǒng)默認(rèn)以“Medium”作為存取級別，在該級別下系統(tǒng)使用“User”權(quán)限，能夠存取和修改用戶的所有文件或涉及用戶的注冊表項目;而無論用戶以哪一種帳戶身份使用IE，在保護模式下只會被授予“Low”的存取級別，系統(tǒng)會以“Untrusted”的系統(tǒng)權(quán)限運行程序，并只能存取低存取級別的路徑位置，例如“Temporary Internet Files\Low”文件夾，以保障用戶系統(tǒng)不被網(wǎng)頁惡意程序碼所修改。
    三、如何設(shè)置保護模式
    保護模式是IE的常駐功能。用戶想修改保護模式的設(shè)置參數(shù)或根據(jù)需要啟用/禁止保護模式，可以先運行IE瀏覽器，然后在菜單欄上依次點擊“工具”→“Internet選項”修改網(wǎng)絡(luò)設(shè)置。
    在隨后彈出的“Internet選項”窗口的“安全”標(biāo)簽頁中，勾選“啟用保護模式”一項即可。需要說明的是，在“安全”標(biāo)簽頁的“選擇要查看的區(qū)域”一欄中，有四個區(qū)域：Internet、本地Intranet、可信站點、受限站點，它們各有獨立的安全設(shè)置，因此設(shè)置保護模式時也應(yīng)該分別進行設(shè)置。對于一般上網(wǎng)瀏覽，你只需點選“Internet”一項，再勾選“啟用保護模式”，即可放心上網(wǎng)瀏覽。