|
|
IE浏览器,我想你安全、再安全些--Updated( h; ]6 {2 n% L! g. s
IE浏览器是一个颇具争议的组件,不少用户一想到IE,恐怕脑子里就会浮现起曾经遭遇过的惨状:主页被恶意修改,IE动辄无缘无故关闭,注册表被改得乱七八糟,莫名其妙跳出网页…… T! x1 A/ @1 k
也难怪, IE是连接Internet的门户,难免会受病毒蠕虫等的“骚扰”。想让IE练就 “金刚不坏”之体,那就得首先分析一下恶意网页为什么可以为所欲为:大多数用户都是用管理员身份登录系统,IE默认获得管理员的访问令牌,这样网页中的恶意代码就会以最高的特权对系统进行篡改。只有让IE运行在更低的特权级别,才能防止恶意网页破坏系统。
; M3 u2 q5 }8 M& U1 F8 K怎样才能让IE以更低的特权运行?Windows Vista可以满足要求,其UAC功能可以让所有用户进程运行在Standard User的特权级别,但是Vista还“犹抱琵琶半遮面”,其实我们的XP一样可以达到类似的目的!+ W( P. A- C( Z6 M: G
提示 为了讲述的方便,这里假设以管理员帐户Admin登录系统。- J8 n! @& J+ E; T4 J
一、“运行方式”给IE穿上铁布衫
$ ?( W2 c# y' i* L& X7 v* F右键单击IE的快捷方式,选择“运行方式”命令,在打开对话框上,确保勾选“保护我的计算机和数据不受未授权程序的活动影响”复选框,如下图所示。
5 S" k, L5 G% u' c9 i9 `2 V3 Z4 C6 q9 k- U& W
![]()
" T. T' b3 @' d( {$ @+ G; z, O$ E: l2 r% n$ X8 N
用这种方法启动IE,对几个“臭名卓著”的恶意网站进行测试,结果非常安全。同时还能用来对付DuDu加速器、3721等流氓插件!
8 c& N4 S( T7 F% q. T为什么?原来这时的IE浏览器会获得一个受限的访问令牌(Restricted Token),无法对系统目录和注册表进行写操作,网页中的恶意代码也就没办法破坏系统。
! t0 Q! h0 k# m当然,还得让实验来说话:5 h: k0 ^; f! ~4 |
分别在“运行方式”和正常模式下打开IE浏览器,然后用Process Explorer双击打开这两个IE进程的属性对话框,切换到“Security”标签页,即可查看这两个进程所获得的访问令牌,如下图所示。
0 [5 V: `, k$ n# t' Y O1 R; Y![]()
. e! L) d8 n4 E+ D$ E- @) n9 k8 d4 ~0 r/ R/ N7 P9 X4 x/ T
很显然,相对于正常模式,“运行方式”打开IE进程所获得的受限令牌,其内容发生了以下两大变化:
% ]) Z0 B6 n8 E, c! M( o/ iu 用户和组的SID
6 ^( |) }. ^7 e/ |; \& q(1)Administrators或Power Users组帐户的SID被标记为拒绝(Deny)。: x8 U; r) l8 I* F- v
如果某个资源拒绝Administrators或Power Users访问,则进程无法访问该资源;而且进程会忽略除Deny之外的其他访问权限。
1 V% i, M" `, i$ j(2)除了Admin、Administrators和Power Users组帐户外,其他帐户的SID都加入受限(Restricted)列表:当进程访问资源时,必须经过两次安全检查:一次是检查令牌中启用的SID,另一次是检查受限列表里的SID,只有两次检查都通过,才能访问成功。" ]8 w; u; m. _" |7 ~: J/ a
u 特权(Privilege)
+ f) W$ e9 u2 Z# W% `仅保留SeChangeNotificatonPrivilege(跳过遍历检查)特权。
, C0 ^- y6 v6 \" S. G( L! k$ W难怪这时的IE特别安全,尽管是以管理员帐户Admin登录系统,但是IE进程不能访问用户的配置文件夹(%USERPROFILE%),连收藏夹、我的文档都不能访问!
9 m/ D1 u( S* p( L' ?IE也不能在分区根目录写入文件,对注册表没有写的权限。同时只有SeChangeNotificatonPrivilege(跳过遍历检查)特权,可以防止病毒滥用特权做坏事。; F4 ]8 [7 ?$ ~, E. r% J
提示 配置文件夹ACL包括Admin和Administrators和SYSTEM,由于Administrators被标记为Deny,而Admin帐户没有对应的Restricted SID(在第二次安全检查时失败),所以无法访问。
$ ], C: J/ h3 A! k- ?0 Y8 n; b二、“基本用户”类型帮助IE强身健体
( n; r5 ]8 F- w+ x5 m用“运行方式”运行IE浏览器,虽然非常安全,但是有以下两个缺陷:
, N' q9 b o" F" yu 限制太严格,例如IE浏览器无法加载收藏夹。
8 G2 y B2 `, F l! vu 每次运行IE浏览器,还需要增加额外的步骤,很不方便。
1 _$ a, q' H' P, @4 U本文将介绍如何给XP系统启用一个“基本用户”(Basic User)类型,这个“基本用户”(Basic User)类似于Windows Vista的“标准用户”(Standard User),只是默认没有启用。
' f; |. ?0 S* j1.启用基本用户类型6 i3 G5 r! W9 P& E, }
(1)打开注册表编辑器,定位到以下注册表项:8 n7 h6 m7 k3 x0 h
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
# c" R2 R: |+ B7 C/ T/ O) J0 {(2)新建一个名为Levels的DOWRD键值,其数据数值为0x20000。
' n+ m8 u) D [. H* Q' v6 P# J2.Runas命令% G) D) R* ^+ s4 P( m: `) b [
打开命令提示符窗口,运行以下命令:
z' _! }9 K1 `1 T$ ^9 X, bRunas /ShowTrustLevels
8 E3 \$ `' b+ \# L9 [5 i! a即可看到系统当前的信任级别,如附图所示,其中有一个“基本用户”,对应新增加的注册表键值(Levels:0x20000)。
9 w$ m* C* h: b4 i; A6 I# c; n, O" g2 g y0 f3 W0 m; g
![]()
0 {. k# s% a1 ?
& `; [ n( |0 ]$ W2 F; D运行以下命令,即可以“基本用户”的身份启动IE浏览器:
2 g: H) r* L3 X5 B7 s7 G' X+ Jrunas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"$ R. S$ R& W+ o
可以新建一个快捷方式,在项目位置里输入以上的命令,这样每次双击该快捷方式,就能够以“基本用户”的身份启动IE浏览器。4 D& \3 E/ G7 E. F
3.软件限制策略
5 d; {% b# Z3 h/ D. z$ z; z打开“本地安全策略”管理单元(如果第一次设置软件限制策略,请右键单击“软件限制策略”,选择“创建新的策略”菜单项),展开软件限制策略→安全级别,在右侧的详细窗格里可以看到“基本用户”,如附图所示,这和“Runas /ShowTrustLevels”命令看到的信任级别是一致的。
4 ?: Z% X5 ^5 w/ Q
6 |2 ^9 K2 b6 `![]()
, G9 N- R6 m. D1 H
9 j6 }9 f/ f' P# O0 M可以新建一个路径规则,如附图所示,指定安全级别为“基本用户”,这样每次运行IE浏览器,都可以运行在更安全的级别。
' K2 \' T/ R1 m# ]: @# b& B, E* E! g
" a) p2 S% J( m' B1 s' }% i4 @![]()
0 X( l; I5 u% e, ^# ^- S! t* B
9 V/ k# v4 ]1 r! ^6 t; z 每次新建的一条“基本用户”的软件限制策略,都会在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072注册表项下新增一个子项。如果是路径策略,则会新增一个Path子项;如果是散列策略,这会新增一个Hash子项。注册表项里的131072是什么?实际上就是前面增加的那个Levels:0x20000,0x20000正好就是131072。
7 o# [& p& R9 p; E7 z4 [, t/ }4.查看基本用户的访问令牌& [$ n( }& C( H0 C" R5 Y' Z9 \, [4 _
用Process Explorer查看此时的IE浏览器属性,发现其访问令牌和Windows Vista的“标准用户”功能所获得访问令牌相似,如附图所示。
9 D* D. @, e+ _/ O, B8 b% C; \" A8 [" {% Z/ B# n' C6 N- p) _8 k% h- b
![]() 3 z; W: c: c3 Q: `0 D" n
3 ?" i( G r o7 t' }6 f- w: MWindows Vista的标准用户、Windows XP的基本用户、和运行方式之间的区别如下:
/ ^! n2 b& n: E6 d! L$ p(1)Vista的“标准用户”比XP的“基本用户”多出了几个特权(Privilege),只是默认禁用。
& `% `, c1 m, `1 |/ |(2)XP的“基本用户”所获得的访问令牌相对于“运行方式”(Restricted Token)来说,限制相对少一些,只是将Administrators和Power Users组标志为Deny,而并没有将其他帐户放入Restricted SID列表,这样IE进程可以访问配置文件夹等其他资源(包括收藏夹和我的文档),可以读写HKEY_CURRENT_USER下的绝大多数注册表键值,但是仍然不能写HKEY_LOCAL_MACHINE下的注册表键值。1 ^4 Z) w: A ]
三、命令工具
! L; X" W& |: Q. R5 a0 N# L这里推荐Michael Howard所写的命令行工具DropMyRights。$ {$ b: N! f, U* A, f0 M, w' l
DropMyRights的使用语法如下:
k6 n* v6 `9 m a( F) M7 WDropMyRights {path} [N|C|U]3 S' }+ w: o# N1 I- _
这里的path是指应用程序的路径,N指代基本用户(Basic User),C指代受限用户(Restricted User),U是指不信任用户。
7 [4 _" [4 O- P M% n4 c9 M如果要以基本用户身份运行IE浏览器,可以创建一个快捷方式,将项目位置设置为:
' P Y, I- v8 ?2 XDropMyRights "C:\Program Files\Internet Explorer\IEXPLORE.exe" N
1 Y1 F3 Y8 n2 F这样就可以在需要时双击该快捷方式,以更加的安全环境下运行IE浏览器。 s# o5 t1 ?/ X6 T, g
四、注意0 c+ R s6 f/ z0 M9 f f8 l8 |- b9 B
/ j; b( S$ ]& ?! r& W: f! q2 g. ~) [, i# ^ P+ ~' t
如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成,例如笔者曾经死活安装不上MSN Space的上传图片控件,系统也不报错,原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista,因为Vista的UAC可以自动识别是否需要管理员特权。( ?" N4 f& z. C1 I+ `" @
- w: H1 e7 b: b* c
提示
( J1 B4 s' c+ p5 w. D4 z& {! y9 z& D1.本文部分内容参考自Michael Howard的文章《Browsing the Web and Reading E-mail Safely as an Administrator》(两篇),原文链接如下:, B- w3 ^+ T7 z+ z0 ~
http://msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/secure11152004.asp N3 H- {; P4 j* b: W
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp
& Q% P1 @6 m! i- f+ A2.本文提到的Process Explorer,可以到以下网站下载:* H- Z1 `) j7 G0 b8 k
http://www.sysinternals.com/Utilities/ProcessExplorer.html+ i* w) Q% H9 v! ~& g7 u
本文提到的DropMyRights,可以到以下网站下载:
( X4 e9 I$ E0 w0 P& q" c8 H1 jhttp://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi% [. F: e* {6 o" f
3.Windows Vista的核心安全功能UAP,目前已经正式改名为UAC(User Account Control)。1 m# k B7 p% k
4 O" P/ {! m* i& @8 v
) q3 O& N0 z: {" X& A% @0 K: B+ i+ c7 V: M% W
8 S. u; p0 b( U, ^; ]
' `3 D: L4 m* h$ D1 Z3 u6 h- r3 v; H7 l9 }
Comments. k" B1 V$ }$ l' x% y$ E# Y
# re: IE浏览器,我要你安全、再安全些
+ i1 f* x: g+ A5 `& W+ y5 h1 U3 a5 P1 I' N5 z- t* M4 {1 @
如果IE被安装了太多插件(包括Spyware或Malware),要想启动一个无插件状态的IE,可以直接运行“"C:\Program Files\Internet Explorer\iexplore.exe" –extoff”(只适用于Vista下)。 . k& p5 {, a* |' J3 }! G+ c
# re: IE浏览器,我要你安全、再安全些
6 p% k2 L7 S, n$ {* r$ Q% e! J) z8 V3 s# a) R: O) B, ~2 L. y
如果XP下的IE要实现NoAddon的功能,应该用什么办法呢?
* w" `$ U% n3 u" l4 O \+ Y# re: IE浏览器,我要你安全、再安全些
( u7 l: ~( X; s, T/ T( h; S+ P/ y V" v3 Z
XP中的IE没有该参数,所以估计只能打开IE(此时已经加载所有插件),然后在IE的“工具”——“管理加载项”中一一禁用这些插件。
) m/ q' J% @* o, P8 o8 i# re: IE浏览器,我要你安全、再安全些 6 V* w( h8 |, K
4 n! K6 Q& \- C2 I6 k1 l
IE7有一种启动方式叫做“Start without Add-ons”
) ]5 S5 h+ i3 a0 O8 x' Y# ]# re: IE浏览器,我要你安全、再安全些 7 u1 d2 V+ q5 G5 l- ]8 Z
4 Y$ Z# L! `5 @! d' I
IE 7.0也有这个功能,太棒了,期待啊~~
# @, D6 A8 W# V/ O# iIE的很多常见问题就是由于第三方插件的冲突和干扰所导致的。 - i) ?5 W [. S/ }
# re: IE浏览器,我想你安全、再安全些
5 n* g( V: M! q, V H' c" }4 a
& u$ }) q& ~# w ]3 ~8 S& nvista的安全模式里面我记得好象也有IE的安全模式,就是"Start without Add-ons" 7 b( D7 j) S3 T3 P/ D/ d
# re: IE浏览器,我想你安全、再安全些--Updated
2 W1 u# [# F8 e; R. B! R f' h* }: o+ q2 _6 Q
如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成,例如笔者曾经死活安装不上MSN Space的上传图片控件,系统也不报错,原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista,因为Vista的UAC可以自动识别是否需要管理员特权。 5 K3 M8 W( ^8 h2 f3 N5 |2 R
# re: IE浏览器,我想你安全、再安全些--Updated . r# \# x/ z* Z
7 ^! ]' W( a* g. d9 X
是的,在HelpOnline论坛上有很多关于IE种种故障的案例,我都是先建议禁止所有插件来看看是否为插件所导致的(事实证明很多情况下都是),如果不是再重装IE(也很方便,一个命令即可)。不过IE 7以前的版本没有一个很方便禁止所有插件的方法,而IE 7提供的这一模式基本等同与诊断模式。
9 ]8 R4 ?7 j( V. y" q# re: IE浏览器,我想你安全、再安全些--Updated ) v! b# h) v, ^
8 ~' F. z' a" D9 M我也遇到过很多的这样的问题,基本上都是先卸载掉IE的插件就能解决,甚至都不需要重新安装IE. * j1 ?1 }% Y* ?2 I/ I, L
# re: IE浏览器,我想你安全、再安全些--Updated
& {1 o' k6 v6 |; R" E+ g3 B5 E2 c! n+ l; W/ x6 g& i7 i! q: _! q
嗯,遇到IE 6.0 SP2相关问题,可以采用以下常规排错方法:
9 F, v0 Q3 t- w Q+ V3 V5 [1.在IE浏览器窗口上单击工具、Internet选项。 + I7 s" u7 z0 V* {/ o1 W. c
在打开的对话框的“常规”里单击删除文件,并勾选“删除所有脱机文件”,然后单击确定。
p( a6 X4 |- X6 F! P单击删除Cookies,然后单击确定。
9 V! U; o- n5 L' a' d6 @# _' d单击清除历史,然后单击确定。 3 e4 S1 {/ h+ ^0 R1 m# @
2.在Internet选项的“高级”标签页,确保清空“启用第三方浏览器扩展”复选框。
9 l8 w4 |/ Y% L" c6 E1 r3.在Internet选项对话框上切换到“程序”标签页,然后单击管理加载项。 % K0 M* h# A, t4 D% _ k9 x& ?/ u7 I
在打开的对话框上,单击“发行者”,然后禁用所有发行者不是“Microsoft Corporation”的加载项。 2 H& h+ \" V! @* o0 A! h
单击确定,保存设置。
4 _8 d. a8 X' r6 i; D# re: IE浏览器,我想你安全、再安全些--Updated
3 |! V3 L2 X! Q# W' F$ E8 ^! C2 w N6 H/ G: d! J* I7 E
盆盆,我不太擅长组策略的设置,我有一个疑问,就是你这种限制之后其他的IE核心的浏览器的权限是否也会降下来呢? 还有这个组策略是否仅针对由explorer进程下创建的IE进程有限制作用呢?
7 v9 @' y3 m6 `# C: V- e! T) y当其他和explorer差不多同级的进程创建了浏览器进程,后者是否会继承前者的权限呢? |
|
/1 
IP卡
狗仔卡
发表于 2008-3-7 10:33:23
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2008-3-7 19:33:04
