揭秘Vista IE7互联网安全保护特性

　　完整性级别

　　完整性级别(integrity levels)的概念来自于这样的想法，即计算机操作系统内存中有很多可以访问和控制的不同的区域。从历史上看，所有应用程序(包括IE和web应用程序)都在相同的内存区域运行。这也让恶意程序能够利用用户权限级别(管理员)以及访问在内存运行的其他应用程序，并且这样向很多恶意代码打开了大门，但是现在IE7可以关闭这扇门。

　　完整性级别结合了IE7中UAC的概念，IE7现在与运行在计算机上的其他应用程序是分离的，这样就限制了恶意代码、程序和插件能够通过浏览器获得的权限操作。在Windows Vista中这是通过不同的完整性级别来实现的：IE7浏览器使用“Low”的低完整性级别，即意味着它只能与其他“Low”运行的应用程序进行通信。大多数应用程序运行的是“Medium”完整性级别，这也是与发生浏览器发生分离的原因所在。由于恶意代码想要进行通信的应用程序是以更高的“Medium”运行的，因此恶意代码将无法与应用程序通信。当IE运行时，你可以通过使用Process Monitor清楚地查看完整性级别。图5显示的是查看Process Monitor中的iexplorer.exe图例。

　　图5 IE 7以低完整性级别运行

　　Windows Vista和IE 7为用户提供了更加安全的环境，如果某个行业人士在运行Windows Vista时认为还需要“更加安全”的产品的话，那么他肯定没有充分利用这个完整性级别安全模式的优势。图6显示的是FireFox进程以及Process Monitor的完整性级别监控。

　　图6 Firefox以中等完整性级别运行

　　这使IE7更加安全并能够更加全面地保护计算机 。

　　总结

　　Windows Vista 和IE7为我们带来很多不错的安全功能。首先，UAC安全功能可以用来保护计算机和用户免受那些想要以“管理员”身份访问计算机的恶意程序和恶意代码的攻击。IE 7提供了充分的安全功能，这包括保护模式和完整性级别。保护模式可以按照用户要求配置IE内的所有区域。用户在访问每个网站时可以清楚地看到保护模式的开启状态。最后，IE 7的内置完整性级别功能，这些完整性级别能够将IE与其他在计算机运行的应用程序隔离开来。这种隔离状态能够防止恶意代码与计算机的操作系统或者其他应用程序进行通信。

IE 7保护模式

　　IE7浏览器新增了一个可以启用和禁用的功能，也就是所谓的保护模式。保护模式不是一种的技术，而是保护模式下包含的各种技术，其中两个最重要的技术就是UAC和完整性级别(Integrity Levels)。

　　我们已经简要讨论了UAC，下节我们将讨论完整性级别。现在，让我们来看看如何启用保护模式以及保护模式的运行方式。

　　要想启用IE内的保护模式，请选择工具栏选项，然后，选择Internet选项，在Internet选项窗口点击安全，如图3所示。

　　图3 Internet选项配置的安全选项

　　默认情况下，所有区域都会配置为在保护模式下运行，除了信任网站区域。你可以修改所有的默认设置以满足自身需求。

　　启用保护模式后，你会发现访问的每个网站都将在保护模式中进行，在页面的最底端你将看到保护模式状态(启用或者关闭)，图4显示的是启用保护模式的图例。

　　图4 保护模式会在访问的网页底端显示、、

完整性级别

　　完整性级别(integrity levels)的概念来自于这样的想法，即计算机操作系统内存中有很多可以访问和控制的不同的区域。从历史上看，所有应用程序(包括IE和web应用程序)都在相同的内存区域运行。这也让恶意程序能够利用用户权限级别(管理员)以及访问在内存运行的其他应用程序，并且这样向很多恶意代码打开了大门，但是现在IE7可以关闭这扇门。

　　完整性级别结合了IE7中UAC的概念，IE7现在与运行在计算机上的其他应用程序是分离的，这样就限制了恶意代码、程序和插件能够通过浏览器获得的权限操作。在Windows Vista中这是通过不同的完整性级别来实现的：IE7浏览器使用“Low”的低完整性级别，即意味着它只能与其他“Low”运行的应用程序进行通信。大多数应用程序运行的是“Medium”完整性级别，这也是与发生浏览器发生分离的原因所在。由于恶意代码想要进行通信的应用程序是以更高的“Medium”运行的，因此恶意代码将无法与应用程序通信。当IE运行时，你可以通过使用Process Monitor清楚地查看完整性级别。图5显示的是查看Process Monitor中的iexplorer.exe图例。

　　图5 IE 7以低完整性级别运行

　　Windows Vista和IE 7为用户提供了更加安全的环境，如果某个行业人士在运行Windows Vista时认为还需要“更加安全”的产品的话，那么他肯定没有充分利用这个完整性级别安全模式的优势。图6显示的是FireFox进程以及Process Monitor的完整性级别监控。

　　图6 Firefox以中等完整性级别运行

　　这使IE7更加安全并能够更加全面地保护计算机 。

　　总结

　　Windows Vista 和IE7为我们带来很多不错的安全功能。首先，UAC安全功能可以用来保护计算机和用户免受那些想要以“管理员”身份访问计算机的恶意程序和恶意代码的攻击。IE 7提供了充分的安全功能，这包括保护模式和完整性级别。保护模式可以按照用户要求配置IE内的所有区域。用户在访问每个网站时可以清楚地看到保护模式的开启状态。最后，IE 7的内置完整性级别功能，这些完整性级别能够将IE与其他在计算机运行的应用程序隔离开来。这种隔离状态能够防止恶意代码与计算机的操作系统或者其他应用程序进行通信。