ＩＥ７的黃金甲

在Vista的開發(fā)過程中，微軟的一個設(shè)計原則就是盡量使用戶進(jìn)程處于低權(quán)限狀態(tài)。因此，作為XP下最受流氓軟件歡迎的大“窟窿”——Internet Explorer，也在Vista中遵循這一原則進(jìn)行了改進(jìn)，這就是“IE7保護(hù)模式”。我們可以在“Internet屬性”中啟用或停止它（如圖1），而IE主窗口的狀態(tài)欄也會即時顯示保護(hù)模式的狀態(tài)。

基本特性

IE7保護(hù)模式需要Vista的三大安全特性：用戶賬戶控制（UAC）、強制完整性控制（MIC）和用戶界面特權(quán)隔離（UIPI）。其中，“用戶賬戶控制”已為大家所熟知，那“強制完整性控制”和“用戶界面特權(quán)隔離”又是什么呢？“強制完整性控制”其實就是一個權(quán)限檢測的機(jī)制，低權(quán)限的進(jìn)程是不能向高權(quán)限的對象（特殊的文件夾和

注冊表鍵值等）寫入數(shù)據(jù)的，這個權(quán)限并非只是NTFS權(quán)限，而是Vista中新加入的“完整性級別”體系。

“用戶界面特權(quán)隔離”的意思是低級別的進(jìn)程無法訪問高級別的進(jìn)程（如發(fā)送信息等），這樣就避免了惡意軟件通過注入進(jìn)程的方式來提升自己的級別。現(xiàn)在大家應(yīng)該明白，用戶賬戶控制（UAC）并非是Vista中最嚴(yán)格的安全機(jī)

制，由強制完整性控制（MIC）和用戶界面特權(quán)隔離（UIPI）構(gòu)筑起來的防線才可稱得上是真正的固若金湯。

運作方式

有了這三層保護(hù)，IE7可以說是穿上了一層黃金甲。但是，如此嚴(yán)格的安全措施，是否會帶來兼容性問題呢？其，微軟早就意識到了這一點。

微軟為保護(hù)模式下的IE7設(shè)置了四個“完整性級別”為低的文件夾：IE臨時文件夾、用戶臨時文件夾、Cookies以及History，它們都在用戶目錄下。如果IE插件要向其他的文件夾寫入數(shù)據(jù)，那么Vista就會使用一個叫做虛擬文件系

統(tǒng)的操作。例如，向用戶目錄寫入的數(shù)據(jù)，就會被虛擬文件系統(tǒng)重定向到“X:\\User\\用戶名\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\”下的“Virtualized\\X\\Users\\用戶名\\”目錄中。對于注冊表也是同理，其虛擬化目錄為“HKCU\\Software\\Microsoft\\Internet Explorer\\InternetRegistry\\REGISTRY\\USER\\用戶名\\Software”。

對于進(jìn)程保護(hù)，微軟則把IE7的單一進(jìn)程拆分為了三個，對應(yīng)三個安全級別。通常我們運行的都是最低級別的IE主進(jìn)程；此外，還有用戶代理進(jìn)程（ieuser.exe）和管理員代理進(jìn)程（ieinstal.exe），兩者都與普通的IE程序位于同一文件夾（如圖2）。它們分別可以進(jìn)行中級特權(quán)的（如操作非低“完整性級別”的對象等）和高級特權(quán)的（如安裝IE插件等）任務(wù)。當(dāng)從網(wǎng)上下載的文件需要啟動系統(tǒng)中的某個程序（高級別對象）來打開時，系統(tǒng)就會彈出警告框來進(jìn)行確認(rèn)（如圖3）——這就是Vista中最強悍的IE7保護(hù)模式。

XP用戶的解決之道

很遺憾，由于Windows XP沒有上述的操作系統(tǒng)安全特性，所以XP版的IE7自然也無法運行于“保護(hù)模式”。不過，如果你對于微軟的操作系統(tǒng)有一定的了解，也可以在管理員賬戶下使用RunAs來以普通用戶的身份來運行IE，以保證瀏覽器進(jìn)程的低權(quán)限原則。而對于文件夾權(quán)限的保護(hù)則可以結(jié)合HIPS（主動防御，也叫系統(tǒng)防火墻）軟件來實現(xiàn)。比如，可以為系統(tǒng)中的關(guān)鍵位置（系統(tǒng)文件夾或注冊表的某些鍵值）設(shè)置不得陌生進(jìn)程寫入的規(guī)則，又或者寫入前需取得用戶許可等條件。雖然比不上Vista的審核機(jī)制那么嚴(yán)密，但也足以抵御一般的流氓軟件入侵了。由于HIPS軟件的使用比較繁瑣，這里就不一一贅述了。向大家推薦幾個常用的主動防御軟件：System SafetyMonitor（http://www.syssafety.com/files.html）、Safe'n'Sec（http://www.safensoft.com/download/）和Tiny Firewall（http://www.ca.com/tinysoftware/）。