企業IT管理員IE11升級指南 系列：

Internet Explorer 11增強保護模式 (EPM) 介紹

每個Internet Explorer的新版本，都會引入新的安全增強機制，以幫助使用者更安全地瀏覽Internet。增強保護模式最先在Internet Explorer10中被引入，並在Internet Explorer11中得到了進一步的加強。在保護模式開啟的情況下，即使攻擊者已經利用了瀏覽器本身，或者利用了瀏覽器中執行的控制元件的漏洞，使用者的資料依然可以保持安全狀態。

增強保護模式的前身“保護模式”，最先出現在Windows Vista中的Internet Explorer7上。它提供了“深度的保護”，以幫助防止攻擊者安裝惡意軟體，或者修改系統設定，哪怕他們已經成功運行了可以利用漏洞的程式碼。例如，通常瀏覽器無須修改系統設定，或者寫入使用者的“文件”目錄。保護模式基於最小許可權的原則——通過限制Internet Explorer所擁有的能力，使得入侵程式碼所獲得的能力也相應地受到了限制。

增強保護模式進一步運用最小許可權的概念，對Internet Explorer的能力做了進一步的限制。下列是增強保護模式保障安全的新途徑：

64-位程序

當今絕大多數的PC都擁有64位的CPU，並安裝了64位的Windows。64位最眾所周知的特點是它擁有更廣闊的記憶體地址空間。無論是系統還是應用程式，都可以在64位環境下定址更多的記憶體。

一個32位的二進位制數字差不多可以表達40億的數字空間。而一個64位的地址空間要更加遼闊——幾乎可以是18P（18,446,744,073,709,551,616）。64位不僅僅讓應用程式可以定址更多的實體記憶體，它也使得像ASLR（隨機化的地址空間佈局）這樣的已有記憶體保護功能更有效果。像”堆溢位“這類通過在記憶體特定位置植入惡意程式碼的攻擊，在64位下面變得十分困難，因為要想佔滿整個64位地址空間，在實踐中是不可行的。

保護使用者的個人資訊

當用戶執行一個程式時，該程式會獲得訪問當前計算機中任何資源的許可權，包括使用者的個人文件。增強保護模式限制Internet Explorer訪問使用者的個人資料，除非得到使用者的明確允許。這能幫助避免侵入程式碼在沒有得到使用者許可的情況下訪問使用者資訊。

例如，考慮基於web的郵件系統。如果使用者希望將”文件“目錄中的某個檔案作為附件新增到郵件中，Internet Explorer會提示使用者明確允許網站訪問”文件“目錄下的檔案的。

 

相關推薦