谈到Windows Vista的IE 7安全特性,必须首推其保护模式功能。这个Feature的来头可不小,据说是盖茨亲自点将,可见其重要性。
而只有Windows Vista的IE保护模式,才是真正可以做到既方便、又安全,同时又兼容!
IE保护模式实际上依赖于Windows Vista三大安全特性:UAC(用户帐户保护)、MIC(强制完整性检测)和UIPI(用户界面特权隔离),这也是为什么独立版本的IE 7无福享受的原因。
通俗的来说,保护模式可以让IE运行在最低的特权级别下,比其他任何进程都低。运行在保护模式下的IE进程、IE进程里的插件、还有网页里的代码,根本没有权限干坏事。IE进程“不得入内”的地方包括:用户配置文件夹、HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER等,难怪恶意代码会感到处处掣肘!
更加值得称道的是,保护模式的IE还有很好的兼容性,如附图所示。
l 提供两个“代理人”(Broker Process):
一个叫做IEUser.exe,专门帮助IE打理需要普通用户权限的工作,例如保存文件到配置文件夹。
另一个叫做IEInstal.exe,专门帮助IE处理需要管理员特权的任务,例如安装IE插件等等。
l 除此之外,还提供兼容层功能,可以把文件和注册表的读写重定向到一个低特权(Low Rights)的地方,这有点类似于UAC的重定向功能。
除了“Trusted Sites”外,其他安全区域都默认启用保护模式。有时候可能不希望对某个网页启用“保护模式”,这时候可以关闭“Internet”安全区域的“Enable Protected Mode”选项,如附图所示。需要注意的是,对于Build 5374以前的Windows Vista,必须单击“Custom Level”按钮,然后在弹出的对话框里Disable掉“Protected Mode”选项。