|
|
IE浏览器,我想你安全、再安全些--Updated
4 O6 |! v, w7 VIE浏览器是一个颇具争议的组件,不少用户一想到IE,恐怕脑子里就会浮现起曾经遭遇过的惨状:主页被恶意修改,IE动辄无缘无故关闭,注册表被改得乱七八糟,莫名其妙跳出网页……
& w6 Q g8 S3 Z# H$ E5 u也难怪, IE是连接Internet的门户,难免会受病毒蠕虫等的“骚扰”。想让IE练就 “金刚不坏”之体,那就得首先分析一下恶意网页为什么可以为所欲为:大多数用户都是用管理员身份登录系统,IE默认获得管理员的访问令牌,这样网页中的恶意代码就会以最高的特权对系统进行篡改。只有让IE运行在更低的特权级别,才能防止恶意网页破坏系统。+ T/ T' |4 G, p
怎样才能让IE以更低的特权运行?Windows Vista可以满足要求,其UAC功能可以让所有用户进程运行在Standard User的特权级别,但是Vista还“犹抱琵琶半遮面”,其实我们的XP一样可以达到类似的目的!+ k& a, c7 p. o
提示 为了讲述的方便,这里假设以管理员帐户Admin登录系统。' r3 @# C5 M& s# b* Y
一、“运行方式”给IE穿上铁布衫
7 o. u3 k) V& g" ?右键单击IE的快捷方式,选择“运行方式”命令,在打开对话框上,确保勾选“保护我的计算机和数据不受未授权程序的活动影响”复选框,如下图所示。
3 c/ f$ p2 H2 N! q
: x. ?2 l) T9 p![]()
0 i+ }: A. a) O1 x! P& ?3 E1 D8 t
% o+ O! g3 p8 |2 t N用这种方法启动IE,对几个“臭名卓著”的恶意网站进行测试,结果非常安全。同时还能用来对付DuDu加速器、3721等流氓插件!
$ [5 Z( O" j, W/ B- i3 Q: q为什么?原来这时的IE浏览器会获得一个受限的访问令牌(Restricted Token),无法对系统目录和注册表进行写操作,网页中的恶意代码也就没办法破坏系统。
6 I, B, b% Q" C当然,还得让实验来说话:" ?/ s( R' _( x) i! @" u4 B
分别在“运行方式”和正常模式下打开IE浏览器,然后用Process Explorer双击打开这两个IE进程的属性对话框,切换到“Security”标签页,即可查看这两个进程所获得的访问令牌,如下图所示。/ t7 a2 f9 y2 I0 r. y$ d( ]5 e5 c
![]() 9 [& v, G7 Y/ R$ T
" ^: N! S5 Z4 h& K" L6 O
很显然,相对于正常模式,“运行方式”打开IE进程所获得的受限令牌,其内容发生了以下两大变化:
, j* u2 |0 D& ~u 用户和组的SID2 {, [( h- f( D. w
(1)Administrators或Power Users组帐户的SID被标记为拒绝(Deny)。& w2 p& y$ f6 @6 |; |* Q
如果某个资源拒绝Administrators或Power Users访问,则进程无法访问该资源;而且进程会忽略除Deny之外的其他访问权限。
2 a$ Z$ Y; H4 t, z+ t P. z& `(2)除了Admin、Administrators和Power Users组帐户外,其他帐户的SID都加入受限(Restricted)列表:当进程访问资源时,必须经过两次安全检查:一次是检查令牌中启用的SID,另一次是检查受限列表里的SID,只有两次检查都通过,才能访问成功。
2 H$ q2 i% ~: Bu 特权(Privilege)
0 g) T4 H& @1 d" _" A: X' [仅保留SeChangeNotificatonPrivilege(跳过遍历检查)特权。, [$ Q: ?3 \0 a; k% A) o
难怪这时的IE特别安全,尽管是以管理员帐户Admin登录系统,但是IE进程不能访问用户的配置文件夹(%USERPROFILE%),连收藏夹、我的文档都不能访问!+ J2 t. G7 `/ d) I
IE也不能在分区根目录写入文件,对注册表没有写的权限。同时只有SeChangeNotificatonPrivilege(跳过遍历检查)特权,可以防止病毒滥用特权做坏事。1 V2 h/ Z1 _+ ?9 P# K5 S* r. a
提示 配置文件夹ACL包括Admin和Administrators和SYSTEM,由于Administrators被标记为Deny,而Admin帐户没有对应的Restricted SID(在第二次安全检查时失败),所以无法访问。
: H" @& Q4 I5 w) n7 q( V/ _4 }2 Q二、“基本用户”类型帮助IE强身健体 J0 b+ c5 O+ X) N1 l9 d4 {8 z
用“运行方式”运行IE浏览器,虽然非常安全,但是有以下两个缺陷:
; g/ Z' F+ ~) _1 Q4 j6 @/ N4 ju 限制太严格,例如IE浏览器无法加载收藏夹。$ C9 K3 |: z; W, V+ v7 `) L) c
u 每次运行IE浏览器,还需要增加额外的步骤,很不方便。
0 Y! m4 i6 F8 q& N8 \0 U本文将介绍如何给XP系统启用一个“基本用户”(Basic User)类型,这个“基本用户”(Basic User)类似于Windows Vista的“标准用户”(Standard User),只是默认没有启用。9 K. h& m5 [( ~1 n1 z
1.启用基本用户类型
9 k0 H4 ~& b" ^(1)打开注册表编辑器,定位到以下注册表项:
% h0 F9 T" D( @# F5 S/ I- q0 F6 FHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
3 Y. R' d& I) l( h4 ~+ @(2)新建一个名为Levels的DOWRD键值,其数据数值为0x20000。
9 t/ B5 r! m6 Q3 `! X4 u2.Runas命令
% y+ c! V7 b% A: b7 T$ r打开命令提示符窗口,运行以下命令:
; Q8 Q/ S3 Y8 L! P5 s# B* ]Runas /ShowTrustLevels
/ H* z6 F0 w! v即可看到系统当前的信任级别,如附图所示,其中有一个“基本用户”,对应新增加的注册表键值(Levels:0x20000)。
% u" _+ j6 V- d8 z6 A9 v* l& _$ k
![]() , i; P2 I& [* ^
: o% H/ }) N& O* D7 U
运行以下命令,即可以“基本用户”的身份启动IE浏览器:. D; d4 K) m" I
runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"7 K' Q9 {9 Y1 ~ \4 f
可以新建一个快捷方式,在项目位置里输入以上的命令,这样每次双击该快捷方式,就能够以“基本用户”的身份启动IE浏览器。
6 c e3 r& t# Q3 J* W. f& d' z3.软件限制策略# u0 Z' x6 _% r; x7 ^
打开“本地安全策略”管理单元(如果第一次设置软件限制策略,请右键单击“软件限制策略”,选择“创建新的策略”菜单项),展开软件限制策略→安全级别,在右侧的详细窗格里可以看到“基本用户”,如附图所示,这和“Runas /ShowTrustLevels”命令看到的信任级别是一致的。5 r# h0 F2 ~, x7 R" `
, B/ Z0 I9 X9 @) y+ |3 a# q# u![]()
: y+ S! C" e# {: _. d! F9 @6 Z7 {2 \' w, F
可以新建一个路径规则,如附图所示,指定安全级别为“基本用户”,这样每次运行IE浏览器,都可以运行在更安全的级别。8 p2 R- w1 q; x& J0 E
3 O& z x" F! r![]()
2 B) k/ v% e/ u) {* D
. {: C6 q9 n Y) d2 @- w7 ~! t6 m 每次新建的一条“基本用户”的软件限制策略,都会在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072注册表项下新增一个子项。如果是路径策略,则会新增一个Path子项;如果是散列策略,这会新增一个Hash子项。注册表项里的131072是什么?实际上就是前面增加的那个Levels:0x20000,0x20000正好就是131072。' R% R {: e2 Z! O: |- K5 c0 ^
4.查看基本用户的访问令牌
) b) h+ {. Z _* ^用Process Explorer查看此时的IE浏览器属性,发现其访问令牌和Windows Vista的“标准用户”功能所获得访问令牌相似,如附图所示。8 ~7 @9 D$ @; E" t' J& ]" @
8 v6 c* w# e2 S2 U: }& s* f+ P7 W
![]() 4 |- v1 T4 T# j8 L7 b
: u: u% [4 M7 C3 Q0 b! T6 r$ iWindows Vista的标准用户、Windows XP的基本用户、和运行方式之间的区别如下:
3 B3 ]8 J( D" K- p(1)Vista的“标准用户”比XP的“基本用户”多出了几个特权(Privilege),只是默认禁用。
/ z% c! I2 b0 ?" S4 d1 ]* E(2)XP的“基本用户”所获得的访问令牌相对于“运行方式”(Restricted Token)来说,限制相对少一些,只是将Administrators和Power Users组标志为Deny,而并没有将其他帐户放入Restricted SID列表,这样IE进程可以访问配置文件夹等其他资源(包括收藏夹和我的文档),可以读写HKEY_CURRENT_USER下的绝大多数注册表键值,但是仍然不能写HKEY_LOCAL_MACHINE下的注册表键值。
+ K2 G0 R9 k9 T H7 y三、命令工具
}& ?) W. k, v# f0 b1 M这里推荐Michael Howard所写的命令行工具DropMyRights。7 X" b4 N, _* _1 r; A
DropMyRights的使用语法如下:
: U n" Y7 ~) _1 [+ c& WDropMyRights {path} [N|C|U]0 C1 R+ U; B: R
这里的path是指应用程序的路径,N指代基本用户(Basic User),C指代受限用户(Restricted User),U是指不信任用户。' T+ N+ L- l6 ^, E% w" Z$ Z
如果要以基本用户身份运行IE浏览器,可以创建一个快捷方式,将项目位置设置为:9 `+ v/ B" Y' D6 E" }
DropMyRights "C:\Program Files\Internet Explorer\IEXPLORE.exe" N3 G" @. I' t0 f( r( @) p
这样就可以在需要时双击该快捷方式,以更加的安全环境下运行IE浏览器。3 i, X+ T( x; |0 B
四、注意6 G3 n) |' G! k. x
B( B" i; z; b0 v8 R% v; S0 A3 Q) n
如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成,例如笔者曾经死活安装不上MSN Space的上传图片控件,系统也不报错,原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista,因为Vista的UAC可以自动识别是否需要管理员特权。
5 X/ ]& I& W# B
/ [; l' x0 E& L6 B! I$ R% O. ^5 u提示
# B/ Q' O4 l, J1.本文部分内容参考自Michael Howard的文章《Browsing the Web and Reading E-mail Safely as an Administrator》(两篇),原文链接如下: l) a2 \6 R/ B
http://msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/secure11152004.asp
4 }8 j$ Q1 T! _http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp
( _9 |0 O- b# L1 y2.本文提到的Process Explorer,可以到以下网站下载:. f8 W' D+ f- \ g; J7 \+ p
http://www.sysinternals.com/Utilities/ProcessExplorer.html
' Z$ s7 Y F* U6 a/ Q- n" n本文提到的DropMyRights,可以到以下网站下载:
) s# H* n: D/ D% U. w. ghttp://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi4 h$ O8 y' ^& s, g* Y) S
3.Windows Vista的核心安全功能UAP,目前已经正式改名为UAC(User Account Control)。
+ i5 p+ v7 I A+ g w& d: S) s$ K% v4 a* m+ K- Q
! i# W4 e z6 U+ W. A/ B0 v; k# C
& d/ c4 }: S& f+ B! N. l, U
: ?1 ?/ N6 [6 b7 _2 Q3 I& y/ i9 ~% O
' s9 r$ V4 T$ l( w3 r
Comments3 z+ P8 C: P! k" J) N) r2 X* W
# re: IE浏览器,我要你安全、再安全些
5 {5 m! A# ~! A5 t ]) n
% |) Z) O5 c8 x' A6 p d$ v如果IE被安装了太多插件(包括Spyware或Malware),要想启动一个无插件状态的IE,可以直接运行“"C:\Program Files\Internet Explorer\iexplore.exe" –extoff”(只适用于Vista下)。 . ~2 b' [ H; K" x) n
# re: IE浏览器,我要你安全、再安全些 ) k- W& Q9 B9 i
. n3 o. s( U. `* I7 q如果XP下的IE要实现NoAddon的功能,应该用什么办法呢? 3 y2 Q, m5 @3 P9 `5 C9 W# Y( ~
# re: IE浏览器,我要你安全、再安全些 ) F$ C% A# A6 s; @5 U
# d( A3 {" F( B- S1 K* s/ d8 C9 j
XP中的IE没有该参数,所以估计只能打开IE(此时已经加载所有插件),然后在IE的“工具”——“管理加载项”中一一禁用这些插件。 0 V/ d( b0 X( m* ~# m9 f
# re: IE浏览器,我要你安全、再安全些 9 q8 ?& @: l/ k( v3 g# O
1 G& s( t" K/ }- F+ u
IE7有一种启动方式叫做“Start without Add-ons”
8 T+ T0 H. J' \: e" f: f2 t# re: IE浏览器,我要你安全、再安全些
8 O$ ~2 ]$ n/ p; E! W9 b' K+ R" Y; L$ [6 G
IE 7.0也有这个功能,太棒了,期待啊~~ & p" q$ Y% P9 b( `7 j
IE的很多常见问题就是由于第三方插件的冲突和干扰所导致的。 , G& c+ S4 U+ B- v2 H2 Q5 I
# re: IE浏览器,我想你安全、再安全些 h" O6 C& E0 a8 j1 d: h
/ b- S! h; P, bvista的安全模式里面我记得好象也有IE的安全模式,就是"Start without Add-ons"
2 P& k. r6 G) v9 s' ~6 m# re: IE浏览器,我想你安全、再安全些--Updated ) v2 M! k6 T: _6 E* ~4 m
1 ^$ f8 I3 m, x0 }% m$ ?7 e
如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成,例如笔者曾经死活安装不上MSN Space的上传图片控件,系统也不报错,原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista,因为Vista的UAC可以自动识别是否需要管理员特权。 ! I, b( \' i+ }& T
# re: IE浏览器,我想你安全、再安全些--Updated / a+ w( q" g! i" V; e. |
& _: D' Q/ z( @. Z是的,在HelpOnline论坛上有很多关于IE种种故障的案例,我都是先建议禁止所有插件来看看是否为插件所导致的(事实证明很多情况下都是),如果不是再重装IE(也很方便,一个命令即可)。不过IE 7以前的版本没有一个很方便禁止所有插件的方法,而IE 7提供的这一模式基本等同与诊断模式。 7 u6 b0 k8 M! l7 }3 G% b* }3 D5 F
# re: IE浏览器,我想你安全、再安全些--Updated
5 m& D) F5 O4 e8 {: X( q
- X( W. V' j5 m( V& g我也遇到过很多的这样的问题,基本上都是先卸载掉IE的插件就能解决,甚至都不需要重新安装IE. ! N% J9 s7 ^" L2 j; P* F7 a
# re: IE浏览器,我想你安全、再安全些--Updated
( c( c) E$ ] G" P1 e
. c9 y- M( `2 |) ?- U+ e: ]嗯,遇到IE 6.0 SP2相关问题,可以采用以下常规排错方法: * @% R* @/ ~# Q7 `1 `& u
1.在IE浏览器窗口上单击工具、Internet选项。 2 u$ n) V: ?; V; {0 j
在打开的对话框的“常规”里单击删除文件,并勾选“删除所有脱机文件”,然后单击确定。
7 ]% k s! J- ~% H, R9 i6 F单击删除Cookies,然后单击确定。
% d/ D4 _+ H: A5 L. g单击清除历史,然后单击确定。 % {5 I4 L4 p8 A
2.在Internet选项的“高级”标签页,确保清空“启用第三方浏览器扩展”复选框。
+ L1 Q/ f8 C8 P5 H+ W3 q! W3.在Internet选项对话框上切换到“程序”标签页,然后单击管理加载项。 2 `; i. ?1 o- P4 v
在打开的对话框上,单击“发行者”,然后禁用所有发行者不是“Microsoft Corporation”的加载项。 3 ]" M l; A1 m ]* r7 ^
单击确定,保存设置。
; ^* q# \8 R/ m( Z! Q' R# re: IE浏览器,我想你安全、再安全些--Updated , l$ h' K: n0 k) A% w" Y- o: ~
% x8 [6 G( a8 T, Z+ j# G" ?1 g; |3 z盆盆,我不太擅长组策略的设置,我有一个疑问,就是你这种限制之后其他的IE核心的浏览器的权限是否也会降下来呢? 还有这个组策略是否仅针对由explorer进程下创建的IE进程有限制作用呢?
- s& e) ~- b0 d+ Z当其他和explorer差不多同级的进程创建了浏览器进程,后者是否会继承前者的权限呢? |
|
/1 
IP卡
狗仔卡
发表于 2008-3-7 10:33:23
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2008-3-7 19:33:04
