IE浏览器的最佳安全保护

IE浏览器是一个颇具争议的组件，不少用户一想到IE，恐怕脑子里就会浮现起曾经遭遇过的惨状：主页被恶意修改，IE动辄无缘无故关闭，注册表(Regedit)被改得乱七八糟，莫名其妙跳出网页……
也难怪， IE是连接Internet的门户，难免会受病毒蠕虫等的“骚扰”.想让IE练就 “金刚不坏”之体，那就得最开始分析一下恶意网页为什么或者说怎么会可以为所欲为：大多数用户绝大部分的都是用管理员身份登录(Logon)操作操作系统，IE默认获得管理员的访问令牌，这样网页中的恶意代码就会以最高的特权对操作操作系统进行篡改.只有让IE运行在更低的特权级别，才能防止恶意网页破坏操作操作系统.
如何才能让IE以更低的特权运行？Windows Vista可以满足要求，其UAC功能可以让所有用户进程运行在Standard User的特权级别，但是Vista还“犹抱琵琶半遮面”，当然我们的XP一样可以达到类似的目的！
提示 为了讲述的方便，这里假设以管理员帐户Admin登录(Logon)操作操作系统.
一,“运行方式”给IE穿上铁布衫
右键单击IE的快捷方式，选择(Choose)“运行方式”系统命令，在打开对话框上，确保勾选“保护我的电脑和数据(Data)不受未授权程序(Procedures)(Procedures)的活动影响”复选框，如下图所示.
用这种方法启动操作系统IE，对几个“臭名卓著”的恶意网站进行测试，结果非常安全.同时还能用来对付DuDu加速器,3721等流氓插件！
为什么或者说怎么会？原来这时的IE浏览器会获得一个受限的访问令牌（Restricted Token），根本没有办法对操作操作系统目录和注册表(Regedit)进行写操作，网页中的恶意代码也就没办法破坏操作操作系统.
当然，还得让实验来说话：
分别在“运行方式”和正常模式下打开IE浏览器，然后用Process Explorer双击打开这两个IE进程的属性对话框，切换到“Security”标签页，就可以了查看这两个进程所获得的访问令牌，如下图所示.
很显然，相对于正常模式，“运行方式”打开IE进程所获得的受限令牌，其内容发生了以下两大变化：
u 用户和组的SID
（1）Administrators或者是Power Users组帐户的SID被标记为拒绝（Deny）.
如果某个资源拒绝Administrators或者是Power Users访问，则进程根本没有办法访问该资源；而不能是且进程会忽略除Deny之外的其他访问权限.
（2）除了Admin,Administrators和Power Users组帐户外，其他帐户的SID都加入受限（Restricted）列表：当进程访问资源时，必须经过两次安全认真仔细的检查：一次是认真仔细的检查令牌中启用的SID，另一次是认真仔细的检查受限列表里面的SID，只有两次认真仔细的检查都通过，才能访问成功.
u 特权（Privilege）
仅保留SeChangeNotificatonPrivilege（跳过遍历认真仔细的检查）特权.
难怪这时的IE特别安全，尽管是以管理员帐户Admin登录(Logon)操作操作系统，但是IE进程不能访问用户的配置文件夹（%USERPROFILE%），连收藏夹,我的文档都不能访问！
IE也不能在分区根目录写入文件，对注册表(Regedit)没有写的权限.同时只有SeChangeNotificatonPrivilege（跳过遍历认真仔细的检查）特权，可以防止病毒滥用特权做坏事.
提示 配置文件夹ACL包括Admin和Administrators和SYSTEM，由于Administrators被标记为Deny，而不能是Admin帐户没有对应的Restricted SID（在第二次安全认真仔细的检查时失败），所以根本没有办法访问.
II.“基本用户”类型帮助IE强身健体
用“运行方式”运行IE浏览器，虽然非常安全，但是有以下两个缺陷：
u 限制太严格，比如说是IE浏览器根本没有办法加载收藏夹.
u 每次运行IE浏览器，还需要增加额外的步骤，很不方便.
本文将介绍如何给XP操作操作系统启用一个“基本用户”（Basic User）类型，这一个“基本用户”（Basic User）类似于Windows Vista的“标准用户”（Standard User），只是默认没有启用.
1．启用基本用户类型
（1）打开注册表(Regedit)Editor器，定位到以下注册表(Regedit)项：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
（2）新建一个名为Levels的DOWRD键值，其数据(Data)数值为0x20000.
2．Runas系统命令
打开系统命令提示符窗口，运行以下系统命令：
Runas /ShowTrustLevels
就可以了看到操作操作系统当前的信任级别，如附图所示，当中有一个“基本用户”，对应新增加的注册表(Regedit)键值（Levels:0x20000）.
运行以下系统命令，就可以了以“基本用户”的身份启动操作系统IE浏览器：
runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
可以新建一个快捷方式，在项目位置里输入以上的系统命令，这样每次双击该快捷方式，就可以够以“基本用户”的身份启动操作系统IE浏览器.
3．软件(soft)限制策略
打开“本地安全策略”管理单元（如果第一次设置软件(soft)限制策略，请右键单击“软件(soft)限制策略”，选择(Choose)“创建新的策略”菜单项），展开软件(soft)限制策略→安全级别，在右侧的详细窗格里可以看到“基本用户”，如附图所示，这和“Runas /ShowTrustLevels”系统命令看到的信任级别是一致的.
可以新建一个路径规则，如附图所示，指定安全级别为“基本用户”，这样每次运行IE浏览器，都可以运行在更安全的级别.
每次新建的一条“基本用户”的软件(soft)限制策略，都会在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072注册表(Regedit)项下新增一个子项.如果是路径策略，则会新增一个Path子项；如果是散列策略，这会新增一个Hash子项.注册表(Regedit)项里面的131072是什么？实际上就是前面增加的那个Levels:0x20000，0x20000正好就是131072.
4．查看基本用户的访问令牌
用Process Explorer查看此时的IE浏览器属性，发现其访问令牌和Windows Vista的“标准用户”功能所获得访问令牌相似，如附图所示.
Windows Vista的标准用户,Windows XP的基本用户,和运行方式之间的区别如下：
I.Vista的“标准用户”比XP的“基本用户”多出了几个特权（Privilege），只是默认禁用.
II.XP的“基本用户”所获得的访问令牌相对于“运行方式”(Restricted Token)来说，限制相对少一些，只是将Administrators和Power Users组标志为Deny，而不能是并没有将其他帐户放入Restricted SID列表，这样IE进程可以访问配置文件夹等其他资源（包括收藏夹和我的文档），可以读写HKEY_CURRENT_USER下的绝大多数注册表(Regedit)键值，但是仍然不能写HKEY_LOCAL_MACHINE下的注册表(Regedit)键值.
III.DropMyRights系统命令工具
这里推荐Michael Howard所写的系统命令行工具DropMyRights.
DropMyRights的使用语法如下：
DropMyRights {path} [N|C|U]
这里面的path是指应用程序(Procedures)(Procedures)的路径，N指代基本用户(Basic User)，C指代受限用户(Restricted User)，U是指不相信任用户.
如果要以基本用户身份运行IE浏览器，可以创建一个快捷方式，将项目位置设置为：
DropMyRights "C:\Program Files\Internet Explorer\IEXPLORE.exe" N
这样就可以在需要时双击该快捷方式，以更加的安全环境下运行IE浏览器.
IV.其他重要工具
1．钓鱼网站过滤器
在IE 7正式发布之前，我们可以通过MSN搜索工具栏和Phishing Filter Addinfor MSN Search Toolbar组合工具，来有效地抵御钓鱼网站的欺骗.
MSN搜索工具栏
http://toolbar.china.msn.com/
钓鱼网站过滤器
http://addins.msn.com/phishingfilter/
II.Windows Defender
用以上方法可以有效地抵御恶意程序(Procedures)(Procedures)透过IE浏览器入侵，但是如果恶意程序(Procedures)(Procedures)通过其他方法入侵，比如说是捆绑到共享(Sharing)软件(soft)里，那么以上方法就没有效果（Effect）了，这里我们可以借助微软免费提供的反间谍软件(soft)Windows Defender，对Windows操作操作系统进行实时安全防护.
http://www.microsoft.com/athome/ ... ftware/default.mspx
V.注意
如果确实需要安装某一些IE插件,或者是要运行Windows更新等需要管理员权限的任务，请暂时禁用“软件(soft)限制策略”，不然的话这些管理任务将根本没有办法顺利完成，比如说是笔者曾经死活安装不上MSN Space的上传图片控件，操作操作系统也不报错，原因就是IE浏览器运行在Basic User特权级别下.这里特别期待Vista，因为Vista的UAC可以自动识别是否需要管理员特权.
提示
Windows Vista的核心安全功能UAP，目前已经正式改名为UAC（User Account Control）. -------
很复杂看得不懂，我就是一个菜菜，还是自己注意吧 -------
IE用不习惯呀..慢的来！ -------
方法非常好，学习了，但是还不如直接或者间接用其他国产的算了，省事儿 少时 方便. -------
学习一下. -------
文中好多地方说请看图，可是一张都没看到.. -------
还是直接或者间接换BROWSER好 -------
有用的经验,做法，学习了. -------
提到了3721流氓插件，，
MS是N久前的文章~~~
一般都没用IE上网，TT比较习惯了~~
-------
这一个教材写的不是很通俗