讓IE瀏覽器抵禦網路威脅

技術難度：Windows高階應用
適用人群：家庭使用者、企業使用者，特別是經常使用隸屬於Administrators組(系統管理員組)登陸系統並使用IE訪問網際網路的高風險使用者。
適用系統：Microsoft Windows XP Professional(原版/SP1/SP2)或者Media Center Edition + Microsoft Internet Explorer

在當今資訊社會，網際網路無疑是傳播惡意軟體（Malicious Software）、***（Trojan）和病毒（Virus）的危險區域。而我們的生活已經離不開網際網路，那麼在這些小則使您電腦效能下降、重則使您資訊洩露並且軟硬體損壞的網路威脅面前，我們的電腦保安至關重要。聽了微軟MVP/MCT彭愛華老師的課程以後，我想在此將IE瀏覽器的最佳安全保護方法呈現給大家，讓大家的IE瀏覽器能抵禦幾乎所有的惡意軟體，絕大多數的通過IE自下載、執行的***和病毒，讓您輕鬆上網，抵禦威脅。

具體實施方案如下：

一、我們要向系統新增一個預設不存在的“基本使用者”，並讓IE瀏覽器始終以該低許可權使用者的身份在保護狀態下執行。

1、點選“開始”->“執行”，或者按Win+R快捷鍵，開啟“執行”對話方塊，輸入“regedit.exe”並且執行，此時您將會開啟“登錄檔編輯器”視窗；
2、在登錄檔編輯器內的左欄，依次雙擊滑鼠左鍵展開“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer”,單擊Safer下展開的“CodeIdentifiers”項，然後轉到右邊的窗格里，在空白處單擊滑鼠右鍵，選擇“新建->DWORD 值(D)”；

3、立即將新建的登錄檔項命名為“Levels”（請注意大小寫以及拼寫的正確性），雙擊該鍵值，在開啟的“編輯 DWORD 值”對話方塊裡“基數”下選擇“十六進位制(H)”，然後在“數值資料(V):”一欄填入“20000”(也就是十進位制的兩萬)，點“確定”後關閉登錄檔編輯器；

4、再次點選“開始”->“執行”，或者按Win+R快捷鍵，開啟“執行”對話方塊，此時輸入“gpedit.msc”並且執行，此時您將會開啟“組策略”視窗；
5、在開啟的“組策略”視窗的左欄，依次展開“計算機配置\Windows 設定\安全設定\軟體限制策略”，如果您是第一次配置軟體限制策略，您可能會在執行此操作後在右邊的窗格中看到×××驚歎號——“沒有定義軟體限制策略”。此時您不必著急，只需回到左邊窗格中，用滑鼠右鍵單擊“軟體限制策略”並點選“建立新的策略(C)”即可繼續；

6、執行第5步後，您的“軟體限制策略”之下會多出“安全級別”與“其他規則”兩項，此時點選“其他規則”，並在右邊窗格里的空白處單擊滑鼠右鍵選擇“新路徑規則(P)...”；

7、在彈出的“新路徑規則”設定視窗中，點選“瀏覽”按鈕並定位至IEXPLOR.EXE(比如您的系統裝在C盤，則其預設的路徑應該是“C:\Program Files\Internet Explorer\IEXPLORE.EXE”)，確定後會回到“新路徑規則”配置視窗，這時您應該可以在“路徑(P):”的文字框裡看到您的IEXPLOR.EXE的具體路徑了。在下邊的“安全級別(S):”一欄，點開下拉選單，並選擇“基本使用者”，單擊“應用”與“確定”後退出組策略編輯器。注意：如果您在下拉選單中找不到“基本使用者”則說明您在步驟2-3中出現了問題，請再次仔細複查更正；

到這裡，“新增基本使用者”和“讓IE瀏覽器以受保護的低許可權執行”的兩個目的就達到了，只要您再次點選桌面上或者開始選單中或者快速啟動欄裡的Internet Explorer按鈕或者快捷方式，或者不加任何附加命令的直接執行IE，它都將以保護態執行，使您免受網路威脅的干擾。

但是，如果使用者要安裝某些控制元件(ActiveX)或者在別無選擇的情況下直接在IE中下載並執行某些程式該怎麼辦呢？要知道，在保護態下這樣做是不會被系統允許的。所以我們要以防萬一，重建一個用來暫時啟動高許可權非保護模式下的原汁原味的IE瀏覽器：

8、回到桌面，在桌面空閒處單擊滑鼠右鍵，選擇“新建->快捷方式”；
9、在開啟的“建立快捷方式”視窗中的“請鍵入該專案的位置(T):”之下的文字框中輸入以下方框中的全部內容：(1、注意空格與引號等格式，本人推薦您複製；2、若您的系統不是安裝在C盤，那麼請您將下面的“C:\”改為您的系統碟符，其他不符的情況也一樣靈活更改，但注意，“runas /trustlevel:不受限的”這一段是不可能變更的！)

runas /trustlevel:不受限的 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

10、確認輸入無誤之後，點選“下一步”，自己給該快捷方式命名。為了以示區分，推薦您將其命名為“IE高許可權”或者“IE不受保護模式”等字眼；

11、單擊“完成”按鈕之後，您將會在桌面上看到您剛建好的一個非常“醜陋”的快捷方式。

若您想將其美化，可以這樣做，用滑鼠右鍵單擊該圖示並選擇“屬性”，在開啟的屬性對話方塊中選擇“快捷方式”選項卡(預設已經為您選好，一開啟就是)，點選下方的“更改圖示(C)...”按鈕，然後在選擇您喜愛的圖示後點“確定”退出即可。

這樣一來，您就可以在平常情況下點選系統預設的啟動IE瀏覽器的按鈕或者快捷方式來以保護模式執行IE，使您免受網路大多數威脅的侵害；

在您需要安裝外掛、直接下載執行絕對安全可靠的軟體時，您可以雙擊您自建的“IE非保護模式”或者“IE高許可權”快捷方式來暫時還原您最原始的易受侵害的IE瀏覽器。

值得注意的是，有且僅有您以該“高許可權執行IE”的快捷方式啟動的IE視窗及其自身開啟的多選項卡(針對IE7.0)才不受系統保護，你同時以正常方式開啟的IE視窗仍然是受保護的，他們分別存在於記憶體中的不同程序之中，互相不受影響。

二、我們對以上方法進行測試與檢驗。

1、以系統自帶的正常方式啟動IE瀏覽器(即，不要通過高許可權快捷方式啟動)，然後在位址列輸入“http://cn.zs.yahoo.com/start.htm”以訪問雅虎助手安裝頁面。

2、若未自動彈出“您還沒有安裝雅虎助手工具條，是否下載?”的對話方塊，點選網頁中的“立即下載”按鈕，進行下載；
3、在“檔案下載 - 安全警告”對話方塊中，點選“執行(R)”按鈕；（注意：千萬不要點選“儲存(S)”按鈕，因為當您儲存到本地資料夾或者位於本地計算機上的其他位置之後再雙擊滑鼠執行，已經不再是在IE記憶體程序之內，等同於直接執行本地檔案或者程式，系統不會有任何保護措施！）

4、在完全下載完畢準備執行之前，SP2的使用者會看見彈出的“Internet Explorer - 安全警告”對話方塊，

此時您點選“執行(R)”按鈕之後，會發現我們的成效——雅虎助手安裝失敗的提示，其原因為您啟動的IE是以低許可權的“基本使用者”帳戶身份執行的，不具備同您登陸的系統管理組(Administators)使用者一樣的高許可權。

三、特別注意與友情提示。

1、使用以上方法不是萬能的，僅僅能針對絕大多數的在程式設計中顧及了或者需要利用系統安裝許可權的軟體(包括正常軟體、流氓軟體、***、病毒)，所以為了您系統更高的安全，請務必確保您的系統安裝並啟用了防火牆，安裝並使用了能實時更新病毒庫的防毒軟體以及實時監控程式。本方法不能成為也不可能成為防毒軟體與防火牆等安全產品的替代品；
2、使用以上方式武裝您的IE瀏覽器定會見到良好成效，但您若是企業使用者，請諮詢您的系統管理員，以免與企業的統一整體方案相沖突；
3、本方法僅針對下載提示框中選擇“執行”方式直接通過IE程序試圖執行軟體的情況(絕大多數流氓軟體或者悄無聲息的惡意軟體選擇此方式傳播)，不針對選擇“儲存”並儲存到本地計算機然後雙擊滑鼠執行程式的情況。關於這兩種情況的例項，請看上面第二節（“我們對以上方法進行測試與檢驗”）中的第3點；
4、本方法僅這對隸屬於Administrators組的一切使用者帳戶適用，Power Users組很多情形下也適用，Users組或者其它使用者組不適用，其根本原因是隻有Administrators組以及部分時候的Power Users組才是網際網路面前的高風險使用者群體，您若使用Users組使用者登陸系統並訪問網際網路，不僅您的IE瀏覽器，您的任何操作都是以很低的許可權執行的，就算本地安裝軟體也得不到系統的允許。因此低許可權組使用者或者常常使用低許可權組使用者帳戶登陸使用計算機的使用者沒有必要用此方法；
5、以上的部分操作——特別是第一節中的操作——必須以系統管理員身份或者隸屬於Administrators組的使用者帳戶登陸系統進行操作，否則會因不具備相應的許可權而被系統拒絕；
6、Microsoft Windows Vista使用者因具備了UAC高階功能而不需要此文，Microsoft Windows XP Home使用者因無法編輯組策略與登錄檔而不能應用此文。

四、對實現該方法原理的闡釋。

基本原理：
Microsoft Windows XP Professional/Media Center Edition是基於NT技術的高端系統，在Microsoft Windows Vista出來之前，系統中並沒有或者說並沒有很好地引入“以低許可權執行程式以保護使用者安全，且僅在必要時得到使用者允許之後才臨時地獨立提升許可權”的概念。因此，沒有相關的安全設定，使用者以什麼使用者組身份登陸系統，就具有多高的相應的許可權並且以該許可權執行所有的常規程式，包括IE在內。但是我們可以通過相應的策略設定來彌補這一缺點。
Microsoft Windows XP系統是根據對程式的訪問令牌(Token)的檢查來確定程式應該具有什麼許可權並給與相應許可權的。以IE瀏覽器舉例，它的訪問令牌具有“使用者帳戶”“組賬戶列表”“特權列表(Privilege)”三大部分以及“其他安全資訊”，當使用IE瀏覽器下載或者安裝什麼軟體或是外掛(ActiveX)時，就要涉及到訪問本地資源了，畢竟東西是下載並安裝到本地計算機上的嘛，這時系統就要檢查IE的令牌來分配給它相應的權利。比如登陸系統的是Administrators組的使用者，系統就會認為是管理員，並且分配給你最高的特權(Privilege)。可訪問的資源(包括登錄檔、服務、配置檔案、系統目錄等等)對應有一個“訪問控制列表(ACL)”(用來定義使用者/工作組與檔案、目錄或其他資源相關的訪問許可權的一組資料。在活動目錄服務中，一個ACL是一個儲存訪問許可權與被保護物件相互之間關係的列表。在 Windows NT作業系統中，一個ACL作為一個二進位制值儲存，稱之為安全描述符),其中包括“所有者帳戶(Owner)”“組帳戶”“自由訪問列表(DACL)”與“系統訪問列表(SACL)”，其中，SACL管制稽核，DACL管制物件訪問。DACL與SACL中又有若干項具體的“訪問控制條目(ACE)”(每一個ACE包括一個安全識別符號(SID)，這個識別符號標識這個ACE的應用物件（使用者或小組）以及允許或者拒絕訪問的ACE資訊的型別)。
當IE要訪問本地資源時，Windows就要執行安全檢查，將IE訪問令牌中的資訊與訪問控制列表(ACL)中的DACL下的ACE一一對比，以確定IE對登錄檔鍵值有沒有修改權，IE對系統目錄有沒有讀寫權等等。

因此我們要做的就是改變IE的訪問令牌，以最低的、最安全的許可權來使用IE，剝奪其特權，做到令牌與DACL下的ACE對比時，系統認為其不具備寫入系統磁碟檔案以及登錄檔鍵值的許可權。

對實現方法的解釋：
1、regedit.exe是系統的登錄檔編輯器，通過它可以增、刪、修改登錄檔鍵值；
2、gpedit.msc是系統的組策略編輯器，可以修改系統的各項策略，包括軟體策略、安全策略等；
3、[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]下的DWORD值“Levels:0x20000”對應著XP系統中的隱藏著的“基本使用者(Basic User)”，該使用者相當於Windows Vista中的“標準使用者(Standard User)”，許可權不高但能執行常規任務。以下給出XP中三個安全級別的許可權概述對比:

不允許的
無論使用者的訪問權如何，軟體都不會執行。

基本使用者
允許程式訪問一般使用者可以訪問的資源，但沒有管理員或 Power User 的訪問權

不受限的
軟體訪問權由使用者的訪問權來決定。

4、定義軟體限制策略中的路徑規則可以對位於某一固定路徑下的具體程式進行限制，若設定為“不允許的”，那麼該程式就不能執行；若設定為“不受限的”，就同預設的未限制的沒有什麼區別；若設定為“基本使用者”，就是以一定的保護模式執行該程式，而且是永久性的。注意：若建立的是“雜湊規則”，計算機就會計算其Hash值，那麼與你選定的程式相同的同一版本程式無論位於本地計算機或者遠端計算機的什麼位置都將被應用所選定的安全級別，其好處就是被限制的檔案不會因儲存位置的改變而逃脫限制；
5、runas.exe是系統自帶的實用程式，它在命令提示符(CMD)下執行，有語法規定。本文使用的引數“/trustlevel:”只是眾多引數中的一個，其目的是臨時地、一次性地改變某一具體程式執行的安全級別，究竟有哪些安全級別可以在CMD下執行"runas /showtrustlevels"來檢視或者在組策略編輯器的[計算機配置\Windows 設定\安全設定\軟體限制策略\安全級別]下察看。為了避免每次需要時的冗長的命令語句，我們建立了IE高許可權的快捷方式；

6、以不同安全級別開啟的多個IE瀏覽器在記憶體中各自具有獨立的程序，互不影響，他們的安全級別不同那麼具有的訪問令牌也不同；
7、在“檔案下載 - 安全警告”對話方塊中，若點選“儲存(S)”按鈕，則會將下載的檔案儲存到本地資料夾或者位於本地計算機上的其他位置，找到本地檔案後再雙擊滑鼠執行，由於已經不再是在IE程序之內而是在explorer.exe下，是直接執行本地程式的行為，所以系統會以你登陸帳戶的相應許可權執行，不再以IE的保護模式——基本使用者安全級別執行，因此，惡意軟體可以正常被安裝(如果你以隸屬於Administrators組的使用者身份登陸系統)。

文章引用自：http://blog.sina.com.cn/u/5773dd91010008fn

轉載於:https://blog.51cto.com/lzy821218/295067