安全使用IE浏览器

安全使用IE浏览器

无辜的WINDOWS用户由于漏洞百出的IE而忍受着巨大的痛苦，攻击却是从服务器而来
                                              -------------Joel Scambray

与广大的IE用户面临普遍攻击相比，WEB服务器和数据库服务器的被入侵显然更能吸引
媒体的眼球，其实并不仅仅是IE浏览器，发生在客户端的很多事情经常被人遗忘，更需
要着重说明的一点是，对一些重要公司的网络入侵不少是从客户端的异常开始的。

眼下，不少公司为了维护自己公司网络的安全，已经架起了防火墙，也许你所在的公司
也不例外，诚然，防火墙能御黑于墙外，为安全的内部环境起到重要的作用，但是，大
多数防火墙却没有对内部用户们的外部网络WEB访问作限制，因此部分返回的包含恶意
代码的数据在防火墙看来是完全合法的，IE漏洞的威胁便直接摆到了那些没有安全技
术、甚至几乎没有安全意识的最终普通用户面前。而恶性的事件往往是连环的，内部用
户的沦陷又很有可能使你苦心经营的防火墙行同虚设，于是安全的大门被打开了，如果
你的公司曾经在中央一套做过几次广告的话，那么很有可能会有几家媒体主动再为你做
一次免费广告。

言归正传，用户们在使用IE浏览器的时候，安全威胁主要来自四个方面：

1、溢出

溢出涉及到了IE体系架构自身的一些基本特性，比如说，超长的URL被用来使包含真正
数据的内部缓冲区发生超容，导致正常代码执行中断，操作系统安全预警瘫痪。溢出发
生时可导致IE浏览器产生拒绝服务，使计算机死机，更严重的，会执行攻击者提供的任
意的代码而无须与用户进行交互确认。

通常防备这种威胁的办法是安装IE最新版本，并及时安装最新的补丁。

2、陷阱链接

网络上很多地方存在着未知的链接，在未打开它们之前，你不知道会发生什么事情，甚
至有时候在打开它们之后你还是不知道发生了什么事情。链接的后面可能是攻击者为骗
取你的帐号密码而建立的一个虚假的交通银行，尽管在地址栏里显示的是交通银行的网
址，也有可能是一个想获得当前用户SMB凭据的假SMB服务器。（WINDOWS往往会自动尝
试以当前用户身份登陆）

不点击不可信的链接，不管是在WEB站点上，还是在电子邮件里，这是原则。

3、读写本地文件

读本地文件往往是发生在从本地IE浏览器的COOKIE中获取用户的密码等敏感数据的时
候，而写本地文件通常是因为临时目录或缓存目录在默认位置和不适当的泄露而发生，
如果能在临时目录中写入文件，那就意味着这个文件可以执行，并可以运行在IE所在的
本地计算机安全区域的环境里。

改变临时目录或缓存目录的默认位置，并及时打好最新的补丁可以有效的防止读写本地
文件的发生。

4、IE某些功能强大的组件的启用或误用

ActiveX控件和JAVA脚本使WEB网页变的是如此多姿多彩，但是病毒、木马和其他的恶意
代码也往往嵌入其中，攻击者们再通过骗子手段或强盗行径，使IE使用者执行攻击者事
先准备的代码

这个时候，安装一个网页防火墙杀毒软件是一个不错的主意，实际上很多杀毒厂家也提
供了这样的软件。但是它的局限是仅仅对已经出现的是病毒、木马和恶意代码起作用，
对于未知的却无能为力了，而“安全区域”等很多IE自身的安全设置却可以在宏观上降
低这些风险。

 

上面所有的针对IE浏览器的安全威胁，都没有丝毫夸大之处，那么，如何在享受WEB的
冲浪乐趣的同时尽可能的避免这些可能出现的安全威胁？下面我们以IE自身的一些措施
为主逐个谈谈。

1、使用安全区域

IE 4.0以后的所有版本都为你能够安全的使用IE浏览器提供了一个不错的工具-------
“安全区域，”在INTERNET属性的“安全”里面我们可以看到它，默认情况下它包含四
个不同区域，鼠标点上可以看见每个详细的解释，我就不一一赘述了，这个工具并不复
杂，我们主要说一些并不常见的东西。

实际上，安全区域还有第五个区域，这就是“我的电脑”，通常这个是不可配置的，因
为它在这个位置不可见，但是ActiveX控件等实际上就是由“我的电脑”下载的，而不
是在网站上下载的。另外也可以根据需要设置自己个性的区域。而IE却没有提供创建其
他安全区域的用户界面，这个时候就需要我们修改注册表了。

安全区域的相关内容在注册表的以下位置。
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones
这里的键值和所代表的区域分别是：
0  我的电脑
1  本地INTRANET
2  受信任的站点
3  INTERNET
4  受限制的站点

我们可以通过添加更多类似子键的办法来创建自定义的安全区域。最简单的办法莫过于
导出现有的，修改后再导入。
我们打开
][HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones/4，导出后命名为4.reg，
然后右键选择编辑，就可以将这个文件打开。

Windows Registry Editor Version 5.00

][HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones/4]
@=""
"DisplayName"="受限站点"
"Description"="该区域中包含可能会损坏您的计算机或数据的网站。"
"Icon"="inetcpl.cpl#00004481"
"CurrentLevel"=dword:00000000
"MinLevel"=dword:00012000
"RecommendedLevel"=dword:00012000
"Flags"=dword:00000003
"1001"=dword:00000003
"1004"=dword:00000003
"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000003
"1402"=dword:00000003
"1405"=dword:00000000
"1406"=dword:00000003
"1407"=dword:00000003
"1601"=dword:00000001
"1604"=dword:00000001
"1605"=dword:00000000
"1606"=dword:00000003
"1607"=dword:00000003
"1800"=dword:00000003
"1802"=dword:00000001
"1803"=dword:00000003
"1804"=dword:00000003
"1805"=dword:00000001
"1A00"=dword:00010000
"1A02"=dword:00000003
"1A03"=dword:00000003
"1C00"=dword:00000000
"1E05"=dword:00010000
"1206"=dword:00000003
"{AEBA21FA-782A-4A90-978D-B72164C80120}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,2
0,/
  17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,39
"1A10"=dword:00000003
"{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=hex:1a,37,61,59,23,52,35,0c,7a,5f,2
0,/
  17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,14,1a,15,39
"1608"=dword:00000003
"1609"=dword:00000001
"1A04"=dword:00000003
"1A05"=dword:00000003
"1A06"=dword:00000003

其实需要我们关注和修改的就下面的几行：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones/4]
@=""
"DisplayName"="受限站点"
"Description"="该区域中包含可能会损坏您的计算机或数据的网站。"
"Icon"="inetcpl.cpl#00004481"
"CurrentLevel"=dword:00000000
"MinLevel"=dword:00012000
"RecommendedLevel"=dword:00012000
"Flags"=dword:00000003

将[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones/4]最后的4改成5，
这样就会多出一个新的安全区域。

"DisplayName"是定义新区域的名称的。
"Description"为新区域提供描述，
"Icon"是用来定义新区域使用的图标的，你可以尝试4480到4490之间任意一个数值（事
实上图标代码没有这个限制）。也可以不使用系统里的图标，而是使用自定义的图标，
比如说将"inetcpl.cpl#00004481"换成"c:/123.ico#0"。
"CurrentLevel"，"MinLevel"，"RecommendedLevel"后面的值表示的是安全的等级：
00000000  很低
00010000  低
00010500  中等偏底
00011000  中
00012000  高
"Flags"后面的值设置的是该安全区域的属性，具体如下：

1   允许更改自定义设置
2   允许用户向这个区域增加WEB站点
4   需要HTTP协议
8   包含能够绕过代理服务器的站点
16  包含未列在其他区域的站点
32  不显示这个区域
64  包含“对该区域内的站点要求服务器验证”的选项。
128 把UNC路径作为INTRANET连接的路径。

例如，0，也就是“我的电脑”，这个区域本来是不显示的，你只要将0/Flags值（十进
制的）减去32，你就能发现IE 的安全设置中多了一项“我的电脑”。这就是IE本地权
限的控制台，在这里禁用ActiveX下载，就可以避免一系列的因为代码可能取得本地代
码权限的问题了。

在IE的状态栏的右端显示的是当前WEB页所处的区域的图标，如果这个图标标识为不明
区域，说明当前网页存在来自不同区域的信息。

如果你是一个管理员，或者要在一个域内为IE建立标准化的安全设置，建议你尝试IE的
管理工具包---IEAK，它可以用来创建分发一个自定义的IE，在
http://www.microsoft.com/windows/ieak/cn/，你可以下载这个工具包，并得到其他更详细的
信息。

2、使用内容审查程序

网站本身的内容往往不会牵扯到安全问题，但是，互联网上往往“赌站与木马并行，色
网与病毒起飞”，攻击者们在最大限度的增加浏览者中招的机会，针对这种情况，IE提
供了“内容审查功能”。如何使用就不赘述了。

在默认的情况下，IE提供了一个叫RSACi的分级系统，RSACi分级概念是由美国斯坦福大
学所发展制订，原本是针对电视电影媒体等传媒所设计，将需过滤的内容分为性、裸
露、语言、暴力四个类别，再将不同的类别分为0到4共5个等级，级数愈高内容伤害程
度也越大。目前该系统正在被ICRA所代替，你可以在http://www.icra.org/icra.rat下
载icra.rat，并通过“内容审查”的“常规”中的“分级系统”，将它导入到“分级系
统”中，不过这个是个英文的，大家可以到http://www.icra.org的官方主页上去了解
更多的信息，幸亏那里还有一个中文繁体版。

3、控制ActiveX控件

全部的禁用ActiveX控件可以使用上面说的办法，但是对于普通的一些用户而言，这样
做可能会有点过，推荐使用下面的办法来控制ActiveX控件的运行：

首先可以尝试使用组策略，在运行里输入GPEDIT.MSC，在“用户配置”---“管理模
板”---“WINDOWS组件”---“IE”---“管理员认可的控件”但是这里的控件基本上都
是微软自己的，添加其他的控件就需要编辑注册表了。

另外我们也可以使用上面所说的IEAK，IEAK将创建一个本地电脑的所有控件的列表，在
这个列表里，我们可以指定哪些控件可以运行，哪些控件禁止运行。

对于想删除某些已经下载的ActiveX控件，可以打开WINNT目录中的Downloaded Program
Files目录，在这里删除即可，千万要记住的是将相应的控件在注册表中也删除，以免
可能引起的IE崩溃。

删除掉的控件在你下次访问该站点的时候会自动下载，如果要确保某一个控件再也不会
运行，还是要修改注册表，

打开注册表位置：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX
Compatibility

在这里新建一个项，名称就是这个控件的名称（由于名称比较长，可在WINNT目录中的
Downloaded Program Files目录中使用键盘复制控件名称），在这个键下新建一个名叫
“Compatibility Flags”的DWORD值，值为1024（十进制）。这样一来，这个控件就永
远不会运行了。

 

这个文章磨磨蹭蹭写了一天了，本来想写到这里就结束，但是，突然心血潮来想看看网
络上别人都是怎么样安全使用IE的，于是就有了下面的总结，把它当作结尾也许更合适
吧。

 

1、不在重要的机器上使用IE浏览WEB。

2、恰当的设置IE安全区域。

3、不在重要的服务器上安装MICROSOFT OFFICE。

4、不点击不可信的链接。

5、及时升级IE补丁，确保使用128位加密钥。

6、仔细的配置出站网关的访问控制，阻塞安全策略之外的通信。

7、在防火墙或网关布置可以过滤WEB页内的恶意代码的过滤系统。

8、不以特权帐户身份浏览网页。