微軟根據(jù)新一代Vista操作系統(tǒng)的安全性能提高，而為Vista內(nèi)置的IE瀏覽器增加一項獨有的安全功能--“保護模式”(PRotected Mode)。今天，筆者就與大家探討一下IE7瀏覽器“保護模式”的設(shè)置和使用方法。

　　一、什么是IE 7的保護模式

　　Internet Explorer瀏覽器的“保護模式”與Vista系統(tǒng)的“用戶帳戶控制(User Account Control, UAC)”功能有著相同的設(shè)計理念，目的都是配合安全機制使用戶在瀏覽網(wǎng)頁時，不會被網(wǎng)頁內(nèi)的惡意程序代碼修改系統(tǒng)設(shè)置。啟用保護模式后，IE會提供瀏覽網(wǎng)頁所需要的權(quán)限，以及修改用戶文件或系統(tǒng)設(shè)置的權(quán)限限制，例如限制通過ActiveX平臺安裝附加軟件(加載項)、運行程序、修改注冊表參數(shù)、存取和復制文件等，從而減少遭遇惡意程序代碼入侵、被修改主頁或綁架瀏覽器的風險。

　　二、保護模式原理探討

　　IE瀏覽器的保護模式基于Windows Vista的三項系統(tǒng)安全功能：用戶帳戶控制(User Account Control)、完整性機制(Integrity Mechanism)及用戶界面特權(quán)隔離(User Interface Privilege Isolation)。

　　首先，在“用戶帳戶控制”的限制下，即使用“系統(tǒng)管理員”的身份運行程序，也會限程序修改系統(tǒng)的權(quán)限;其次，“用戶界面特權(quán)隔離”會限制網(wǎng)頁通過不斷傳輸視窗信息或API控制項，使瀏覽器或相關(guān)程序取得較高的完整性級別。

　　至于“完整性機制”，則會為系統(tǒng)設(shè)置三種存取級別：“Low”、“Medium”及“High”，以存取系統(tǒng)的安全性項目(Securable objects)，包括寫入文件或進行登錄等。一般情況下(例如從“開始”菜單中運行程序)，系統(tǒng)默認以“Medium”作為存取級別，在該級別下系統(tǒng)使用“User”權(quán)限，能夠存取和修改用戶的所有文件或涉及用戶的注冊表項目;而無論用戶以哪一種帳戶身份使用IE，在保護模式下只會被授予“Low”的存取級別，系統(tǒng)會以“Untrusted”的系統(tǒng)權(quán)限運行程序，并只能存取低存取級別的路徑位置，例如“Temporary Internet Files/Low”文件夾，以保障用戶系統(tǒng)不被網(wǎng)頁惡意程序碼所修改。

　　三、如何設(shè)置保護模式

　　保護模式是IE的常駐功能。用戶想修改保護模式的設(shè)置參數(shù)或根據(jù)需要啟用/禁止保護模式，可以先運行IE瀏覽器，然后在菜單欄上依次點擊“工具”→“Internet選項”修改網(wǎng)絡(luò)設(shè)置。

　　在隨后彈出的“Internet選項”窗口的“安全”標簽頁中，勾選“啟用保護模式”一項即可。需要說明的是，在“安全”標簽頁的“選擇要查看的區(qū)域”一欄中，有四個區(qū)域：Internet、本地Intranet、可信站點、受限站點，它們各有獨立的安全設(shè)置，因此設(shè)置保護模式時也應(yīng)該分別進行設(shè)置。對于一般上網(wǎng)瀏覽，你只需點選“Internet”一項，再勾選“啟用保護模式”(圖1)，即可放心上網(wǎng)瀏覽。

圖 1

　　四、為信任的網(wǎng)站禁用保護模式

　　在部分特殊情況下，用戶允許網(wǎng)頁存取自己電腦內(nèi)的文件或程序。在這種情況下就要禁用保護模式。方法是在“Internet選項”的“安全”標簽頁內(nèi)，選中“可信站點”一項，然后設(shè)置不使用保護模式。

　　你可以將網(wǎng)站添加到“可信站點”列表，使瀏覽器進入這些網(wǎng)站時自動禁用保護模式，具體方法是在“安全”標簽頁點擊“站點”按鈕，在隨后彈出的“可信站點”窗口中，在“將該網(wǎng)站添加到區(qū)域”一欄輸入網(wǎng)址，再點擊“添加”按鈕，即可將網(wǎng)站加到“可信網(wǎng)站”列表。最后單擊“關(guān)閉”按鈕完成(圖2)。

圖 2

　　五、設(shè)置加載項的使用權(quán)限

　　早在Windows xp SP2的時代，IE瀏覽器已經(jīng)具備管理ActiveX插件程序等加載項的功能，而Vista中IE 7的管理加載項功能除了可以啟用/禁止/刪除個別加載項外，還能夠設(shè)置不需要特殊權(quán)限即可運行的加載項。

　　用戶可在IE瀏覽器的菜單欄上依次點選“工具”→“管理加載項”→“啟用或禁用加載項”。在“管理加載項”窗口的“顯示”下拉菜單中選擇“不請求許可即可運行的加載項”，然后在下方的列表逐一將各個加載項項目設(shè)置為啟用或禁止狀態(tài)(圖3)。

圖 3

　　此外，想要防止IE的ActiveX插件程序(惡意網(wǎng)站的慣用伎倆)存取系統(tǒng)資料和設(shè)置參數(shù)，有一個更徹底的方法，那就是禁用ActiveX等所有加載項。用戶可到Vista系統(tǒng)的“開始”菜單內(nèi)依次點選→“所有程序”→“附件”→“系統(tǒng)工具”→“Internet Explorer”(無加載項)(圖4)，就會啟動完全沒有附加ActiveX控制項和工具欄等加載項的IE瀏覽器，讓你放放心心地上網(wǎng)瀏覽。

圖 4