微软根据新一代Vista操作系统的安全性能提高,而为Vista内置的IE浏览器增加一项独有的安全功能--“保护模式”(PRotected Mode)。今天,笔者就与大家探讨一下IE7浏览器“保护模式”的设置和使用方法。
一、什么是IE 7的保护模式
Internet Explorer浏览器的“保护模式”与Vista系统的“用户帐户控制(User Account Control, UAC)”功能有着相同的设计理念,目的都是配合安全机制使用户在浏览网页时,不会被网页内的恶意程序代码修改系统设置。启用保护模式后,IE会提供浏览网页所需要的权限,以及修改用户文件或系统设置的权限限制,例如限制通过ActiveX平台安装附加软件(加载项)、运行程序、修改注册表参数、存取和复制文件等,从而减少遭遇恶意程序代码入侵、被修改主页或绑架浏览器的风险。
二、保护模式原理探讨
IE浏览器的保护模式基于Windows Vista的三项系统安全功能:用户帐户控制(User Account Control)、完整性机制(Integrity Mechanism)及用户界面特权隔离(User Interface Privilege Isolation)。
首先,在“用户帐户控制”的限制下,即使用“系统管理员”的身份运行程序,也会限程序修改系统的权限;其次,“用户界面特权隔离”会限制网页通过不断传输视窗信息或API控制项,使浏览器或相关程序取得较高的完整性级别。
至于“完整性机制”,则会为系统设置三种存取级别:“Low”、“Medium”及“High”,以存取系统的安全性项目(Securable objects),包括写入文件或进行登录等。一般情况下(例如从“开始”菜单中运行程序),系统默认以“Medium”作为存取级别,在该级别下系统使用“User”权限,能够存取和修改用户的所有文件或涉及用户的注册表项目;而无论用户以哪一种帐户身份使用IE,在保护模式下只会被授予“Low”的存取级别,系统会以“Untrusted”的系统权限运行程序,并只能存取低存取级别的路径位置,例如“Temporary Internet Files\Low”文件夹,以保障用户系统不被网页恶意程序码所修改。
三、如何设置保护模式
保护模式是IE的常驻功能。用户想修改保护模式的设置参数或根据需要启用/禁止保护模式,可以先运行IE浏览器,然后在菜单栏上依次点击“工具”→“Internet选项”修改网络设置。
在随后弹出的“Internet选项”窗口的“安全”标签页中,勾选“启用保护模式”一项即可。需要说明的是,在“安全”标签页的“选择要查看的区域”一栏中,有四个区域:Internet、本地Intranet、可信站点、受限站点,它们各有独立的安全设置,因此设置保护模式时也应该分别进行设置。对于一般上网浏览,你只需点选“Internet”一项,再勾选“启用保护模式”(图1),即可放心上网浏览。
图 1
四、为信任的网站禁用保护模式
在部分特殊情况下,用户允许网页存取自己电脑内的文件或程序。在这种情况下就要禁用保护模式。方法是在“Internet选项”的“安全”标签页内,选中“可信站点”一项,然后设置不使用保护模式。
你可以将网站添加到“可信站点”列表,使浏览器进入这些网站时自动禁用保护模式,具体方法是在“安全”标签页点击“站点”按钮,在随后弹出的“可信站点”窗口中,在“将该网站添加到区域”一栏输入网址,再点击“添加”按钮,即可将网站加到“可信网站”列表。最后单击“关闭”按钮完成(图2)。
图 2
五、设置加载项的使用权限
早在Windows xp SP2的时代,IE浏览器已经具备管理ActiveX插件程序等加载项的功能,而Vista中IE 7的管理加载项功能除了可以启用/禁止/删除个别加载项外,还能够设置不需要特殊权限即可运行的加载项。
用户可在IE浏览器的菜单栏上依次点选“工具”→“管理加载项”→“启用或禁用加载项”。在“管理加载项”窗口的“显示”下拉菜单中选择“不请求许可即可运行的加载项”,然后在下方的列表逐一将各个加载项项目设置为启用或禁止状态(图3)。
图 3
此外,想要防止IE的ActiveX插件程序(恶意网站的惯用伎俩)存取系统资料和设置参数,有一个更彻底的方法,那就是禁用ActiveX等所有加载项。用户可到Vista系统的“开始”菜单内依次点选→“所有程序”→“附件”→“系统工具”→“Internet Explorer”(无加载项)(图4),就会启动完全没有附加ActiveX控制项和工具栏等加载项的IE浏览器,让你放放心心地上网浏览。
图 4