揭秘VistaIE7互聯(lián)網(wǎng)安全保護(hù)特性

當(dāng)你使用瀏覽器訪(fǎng)問(wèn)任何網(wǎng)頁(yè)時(shí)，都會(huì)使計(jì)算機(jī)成為惡意攻擊者的目標(biāo)，惡意程序、惡意軟件、惡意廣告、病毒和網(wǎng)站都能給計(jì)算機(jī)帶來(lái)致命威脅。很多人會(huì)認(rèn)為，只要安裝功能完整的防火墻;或者在XP SP2電腦上安裝防毒軟件;盡可能地配置好IE安全;不去訪(fǎng)問(wèn)惡意網(wǎng)站，就不會(huì)有安全問(wèn)題。但是，惡意攻擊技術(shù)每天都在不斷更新，而大家的保護(hù)措施則遠(yuǎn)遠(yuǎn)不夠。雖然很多讀者對(duì)Windows vista不感冒，但我希望大家能夠認(rèn)真閱讀此文，看看Vista能夠提供怎樣優(yōu)于XP的互聯(lián)網(wǎng)安全保護(hù)。如果你的計(jì)算機(jī)曾經(jīng)受到病毒或者惡意軟件攻擊，或者在未經(jīng)同意通過(guò)互聯(lián)網(wǎng)接收廣告，Vista都能夠幫助解決這些問(wèn)題。本文將討論Windows Vista中附有保護(hù)模式的Internet Explorer 7如何與User Account Control結(jié)合應(yīng)用，為用戶(hù)的互聯(lián)網(wǎng)操作提供完整性等問(wèn)題。
    用戶(hù)帳戶(hù)控制(UAC,User Account Control)的好處
    首先讓我們看看下面的例子。
    當(dāng)管理員作為已加入到管理員組的用戶(hù)登錄到桌面時(shí)，所有的任務(wù)都是以管理員的權(quán)限進(jìn)行操作的。這意味著瀏覽任何應(yīng)用程序或者互聯(lián)網(wǎng)都是以管理員權(quán)限進(jìn)行的，當(dāng)同樣的用戶(hù)登錄到Vista電腦(已啟用UAC)，整個(gè)情況都會(huì)變化。當(dāng)UAC啟用時(shí)，用戶(hù)進(jìn)行任何操作任務(wù)都是以標(biāo)準(zhǔn)身份進(jìn)行的(作為管理員組的成員進(jìn)行登錄)，這意味著任何惡意軟件都只有標(biāo)準(zhǔn)用戶(hù)訪(fǎng)問(wèn)權(quán)，這就大大限制了惡意軟件的控制。
    UAC是通過(guò)將用戶(hù)驗(yàn)證和進(jìn)程令牌修改為不包含管理員組來(lái)實(shí)現(xiàn)的，如果你查看登錄到Vista電腦的用戶(hù)的進(jìn)程令牌，就能清楚地看到這種限制。
    為了查看UAC限制效果，可以作為管理員登錄vista系統(tǒng)，然后點(diǎn)擊Start button | All Programs | Accessories | Command Prompt。然后，啟動(dòng)Process Explorer并查找cmd.exe進(jìn)程(將位于explorer.exe進(jìn)程下)。
    現(xiàn)在雙擊cmd.exe進(jìn)程以顯示屬性表，然后選擇安全選項(xiàng)。
    顯示管理員組標(biāo)記的是“deny”，這正是為了減少特權(quán)用戶(hù)。
    IE 7保護(hù)模式
    IE7瀏覽器新增了一個(gè)可以啟用和禁用的功能，也就是所謂的保護(hù)模式。保護(hù)模式不是一種的技術(shù)，而是保護(hù)模式下包含的各種技術(shù)，其中兩個(gè)最重要的技術(shù)就是UAC和完整性級(jí)別(Integrity Levels)。
    我們已經(jīng)簡(jiǎn)要討論了UAC，下節(jié)我們將討論完整性級(jí)別。現(xiàn)在，讓我們來(lái)看看如何啟用保護(hù)模式以及保護(hù)模式的運(yùn)行方式。
    要想啟用IE內(nèi)的保護(hù)模式，請(qǐng)選擇工具欄選項(xiàng)，然后，選擇Internet選項(xiàng)，在Internet選項(xiàng)窗口點(diǎn)擊安全。
    默認(rèn)情況下，所有區(qū)域都會(huì)配置為在保護(hù)模式下運(yùn)行，除了信任網(wǎng)站區(qū)域。你可以修改所有的默認(rèn)設(shè)置以滿(mǎn)足自身需求。
    啟用保護(hù)模式后，你會(huì)發(fā)現(xiàn)訪(fǎng)問(wèn)的每個(gè)網(wǎng)站都將在保護(hù)模式中進(jìn)行，在頁(yè)面的最底端你將看到保護(hù)模式狀態(tài)(啟用或者關(guān)閉)，顯示的是啟用保護(hù)模式的圖例。
    完整性級(jí)別
    完整性級(jí)別(integrity levels)的概念來(lái)自于這樣的想法，即計(jì)算機(jī)操作系統(tǒng)內(nèi)存中有很多可以訪(fǎng)問(wèn)和控制的不同的區(qū)域。從歷看，所有應(yīng)用程序(包括IE和web應(yīng)用程序)都在相同的內(nèi)存區(qū)域運(yùn)行。這也讓惡意程序能夠利用用戶(hù)權(quán)限級(jí)別(管理員)以及訪(fǎng)問(wèn)在內(nèi)存運(yùn)行的其他應(yīng)用程序，并且這樣向很多惡意代碼打開(kāi)了大門(mén)，但是現(xiàn)在IE7可以關(guān)閉這扇門(mén)。
    完整性級(jí)別結(jié)合了IE7中UAC的概念，IE7現(xiàn)在與運(yùn)行在計(jì)算機(jī)上的其他應(yīng)用程序是分離的，這樣就限制了惡意代碼、程序和插件能夠通過(guò)瀏覽器獲得的權(quán)限操作。在Windows Vista中這是通過(guò)不同的完整性級(jí)別來(lái)實(shí)現(xiàn)的：IE7瀏覽器使用“Low”的低完整性級(jí)別，即意味著它只能與其他“Low”運(yùn)行的應(yīng)用程序進(jìn)行通信。大多數(shù)應(yīng)用程序運(yùn)行的是“Medium”完整性級(jí)別，這也是與發(fā)生瀏覽器發(fā)生分離的原因所在。由于惡意代碼想要進(jìn)行通信的應(yīng)用程序是以更高的“Medium”運(yùn)行的，因此惡意代碼將無(wú)法與應(yīng)用程序通信。當(dāng)IE運(yùn)行時(shí)，你可以通過(guò)使用Process Monitor清楚地查看完整性級(jí)別。顯示的是查看Process Monitor中的iexplorer.exe圖例。
     Windows Vista和IE 7為用戶(hù)提供了更加安全的環(huán)境，如果某個(gè)行業(yè)人士在運(yùn)行Windows Vista時(shí)認(rèn)為還需要“更加安全”的產(chǎn)品的話(huà)，那么他肯定沒(méi)有充分利用這個(gè)完整性級(jí)別安全模式的優(yōu)勢(shì)。顯示的是FireFox進(jìn)程以及Process Monitor的完整性級(jí)別監(jiān)控。
    這使IE7更加安全并能夠更加全面地保護(hù)計(jì)算機(jī) 。
    總結(jié)
    Windows Vista 和IE7為我們帶來(lái)很多不錯(cuò)的安全功能。首先，UAC安全功能可以用來(lái)保護(hù)計(jì)算機(jī)和用戶(hù)免受那些想要以“管理員”身份訪(fǎng)問(wèn)計(jì)算機(jī)的惡意程序和惡意代碼的攻擊。IE 7提供了充分的安全功能，這包括保護(hù)模式和完整性級(jí)別。保護(hù)模式可以按照用戶(hù)要求配置IE內(nèi)的所有區(qū)域。用戶(hù)在訪(fǎng)問(wèn)每個(gè)網(wǎng)站時(shí)可以清楚地看到保護(hù)模式的開(kāi)啟狀態(tài)。最后，IE 7的內(nèi)置完整性級(jí)別功能，這些完整性級(jí)別能夠?qū)E與其他在計(jì)算機(jī)運(yùn)行的應(yīng)用程序隔離開(kāi)來(lái)。這種隔離狀態(tài)能夠防止惡意代碼與計(jì)算機(jī)的操作系統(tǒng)或者其他應(yīng)用程序進(jìn)行通信。