当你使用浏览器访问任何网页时，都会使计算机成为恶意攻击者的目标，恶意程序、恶意软件、恶意广告、病毒和网站都能给计算机带来致命威胁。很多人会认为，只要安装功能完整的防火墙;或者在XP SP2电脑上安装防毒软件;尽可能地配置好IE安全;不去访问恶意网站，就不会有安全问题。但是，恶意攻击技术每天都在不断更新，而大家的保护措施则远远不够。虽然很多读者对Windows vista不感冒，但我希望大家能够认真阅读此文，看看Vista能够提供怎样优于XP的互联网安全保护。如果你的计算机曾经受到病毒或者恶意软件攻击，或者在未经同意通过互联网接收广告，Vista都能够帮助解决这些问题。本文将讨论Windows Vista中附有保护模式的Internet Explorer 7如何与User Account Control结合应用，为用户的互联网操作提供完整性等问题。

　　用户帐户控制(UAC,User Account Control)的好处

　　首先让我们看看下面的例子。

　　当管理员作为已加入到管理员组的用户登录到桌面时，所有的任务都是以管理员的权限进行操作的。这意味着浏览任何应用程序或者互联网都是以管理员权限进行的，当同样的用户登录到Vista电脑(已启用UAC)，整个情况都会变化。当UAC启用时，用户进行任何操作任务都是以标准身份进行的(作为管理员组的成员进行登录)，这意味着任何恶意软件都只有标准用户访问权，这就大大限制了恶意软件的控制。

　　UAC是通过将用户验证和进程令牌修改为不包含管理员组来实现的，如果你查看登录到Vista电脑的用户的进程令牌，就能清楚地看到这种限制。

　　为了查看UAC限制效果，可以作为管理员登录vista系统，然后点击Start button | All Programs | Accessories | Command Prompt。然后，启动Process Explorer并查找cmd.exe进程(将位于explorer.exe进程下)，正如图1所示。

 

   

　　图1 Process Explorer能够显示所有正在运行的进程

    
    现在双击cmd.exe进程以显示属性表，然后选择安全选项，正如图2所示。

 

图2 cmd.exe属性表包含一个安全选项来显示进程的安全状况

    
    图2显示管理员组标记的是“deny”，这正是为了减少特权用户。 　　 IE 7保护模式

　　IE7浏览器新增了一个可以启用和禁用的功能，也就是所谓的保护模式。保护模式不是一种的技术，而是保护模式下包含的各种技术，其中两个最重要的技术就是UAC和完整性级别(Integrity Levels)。

　　我们已经简要讨论了UAC，下节我们将讨论完整性级别。现在，让我们来看看如何启用保护模式以及保护模式的运行方式。

　　要想启用IE内的保护模式，请选择工具栏选项，然后，选择Internet选项，在Internet选项窗口点击安全，如图3所示。

 

   

　　图3 Internet选项配置的安全选项

    
    默认情况下，所有区域都会配置为在保护模式下运行，除了信任网站区域。你可以修改所有的默认设置以满足自身需求。

　　启用保护模式后，你会发现访问的每个网站都将在保护模式中进行，在页面的最底端你将看到保护模式状态(启用或者关闭)，图4显示的是启用保护模式的图例。

 

　　图4 保护模式会在访问的网页底端显示
 完整性级别

　　完整性级别(integrity levels)的概念来自于这样的想法，即计算机操作系统内存中有很多可以访问和控制的不同的区域。从历史上看，所有应用程序(包括IE和web应用程序)都在相同的内存区域运行。这也让恶意程序能够利用用户权限级别(管理员)以及访问在内存运行的其他应用程序，并且这样向很多恶意代码打开了大门，但是现在IE7可以关闭这扇门。

　　完整性级别结合了IE7中UAC的概念，IE7现在与运行在计算机上的其他应用程序是分离的，这样就限制了恶意代码、程序和插件能够通过浏览器获得的权限操作。在Windows Vista中这是通过不同的完整性级别来实现的：IE7浏览器使用“Low”的低完整性级别，即意味着它只能与其他“Low”运行的应用程序进行通信。大多数应用程序运行的是“Medium”完整性级别，这也是与发生浏览器发生分离的原因所在。由于恶意代码想要进行通信的应用程序是以更高的“Medium”运行的，因此恶意代码将无法与应用程序通信。当IE运行时，你可以通过使用Process Monitor清楚地查看完整性级别。图5显示的是查看Process Monitor中的iexplorer.exe图例。

 

   

　　图5 IE 7以低完整性级别运行

    
    Windows Vista和IE 7为用户提供了更加安全的环境，如果某个行业人士在运行Windows Vista时认为还需要“更加安全”的产品的话，那么他肯定没有充分利用这个完整性级别安全模式的优势。图6显示的是FireFox进程以及Process Monitor的完整性级别监控。

 

   

　　图6 Firefox以中等完整性级别运行

    
    这使IE7更加安全并能够更加全面地保护计算机 。

　　总结

　　Windows Vista 和IE7为我们带来很多不错的安全功能。首先，UAC安全功能可以用来保护计算机和用户免受那些想要以“管理员”身份访问计算机的恶意程序和恶意代码的攻击。IE 7提供了充分的安全功能，这包括保护模式和完整性级别。保护模式可以按照用户要求配置IE内的所有区域。用户在访问每个网站时可以清楚地看到保护模式的开启状态。最后，IE 7的内置完整性级别功能，这些完整性级别能够将IE与其他在计算机运行的应用程序隔离开来。这种隔离状态能够防止恶意代码与计算机的操作系统或者其他应用程序进行通信。