Windows Vista四月专题系列五:您必须知道的IE 7安全特性
Windows Vista里内置的IE浏览器,绝对会让您大吃一惊!送四字评语“脱胎换骨”,亦毫不过分。相对于其前辈IE 6.0,最新的IE浏览器不仅出落得花容月貌、姿色可人(例如多标签页支持、内置RSS支持、页面可以无缝放大缩小),还新增了众多安全特性,非常值得期待。本文就以Windows Vista CTP Build 5374为例,进行介绍IE 7的三大安全特性。
两大版本间的PK
微软将会发布两个版本的IE 7:
l 一个是Windows Vista“独享”的IE 7。
l 还一个是独立安装包版本,可供Windows XP SP2(2003 SP1)用户单独安装使用。
和独立版本的IE 7相比,以下两个安全特性是Windows Vista内置IE浏览器所独有的:
l IE保护模式
l 父母控制功能
在CTP Build 5365里,Windows Vista内置的IE名称已经变成了Internet Explorer 7+,如下图所示,这也是名副其实的。
与其他浏览器的PK
无庸讳言,目前有不少用户在使用第三方的Web浏览器,例如Mozilla Firefox、Opera等。使用第三方浏览器的主要原因是基于安全性的考虑,还有功能上的一些考虑,例如这些浏览器支持多标签页、RRS订阅等。
如果您能耐心等待一段时间的话,那么毫无疑问IE 7将是最佳选择,原因如下:
(1) 并非只有IE浏览器才有漏洞,第三方浏览器照样也有安全漏洞,而且随着名声越大,发现漏洞的概率也相应上升。
(2) IE的安全更新直接整合到Windows Update里,便于集中管理、可以通过WSUS等进行补丁分发,无需我们另外操心。
(3) IE浏览器可以通过组策略进行集中管理和维护,而第三方浏览器则无福享受此等优待。
(4) 如果使用第三方浏览器,就必须忍受某些网页无法正常显示的问题(不是所有网页都是为第三方浏览器开发)。如果这些网页正好关系到企业的关键应用,那么只能要么放弃第三方浏览器,要么重新开发关键应用,这会带来额外的成本开支。
(5) 很多ActiveX加载项无法在第三方浏览器上顺利工作,用户必须花费时间寻找替代品。
(6) 使用第三方浏览器,还可能增加用户培训成本。
(7) 最关键的是,IE 7拥有更多的安全特性的便利功能,那您还犹豫什么?
IE保护模式
谈到Windows Vista的IE 7安全特性,必须首推其保护模式功能。这个Feature的来头可不小,据说是盖茨亲自点将,可见其重要性。
如果您看过笔者的Webcast《IE浏览器的最佳安全保护》,可能会喜欢Windows XP的LUA(最小帐户特权)功能,既方便又安全。但是毕竟这种LUA兼容性不大好(例如无法在线安装合法的插件)。
而只有Windows Vista的IE保护模式,才是真正可以做到既方便、又安全,同时又兼容!
IE保护模式实际上依赖于Windows Vista三大安全特性:UAC(用户帐户保护)、MIC(强制完整性检测)和UIPI(用户界面特权隔离),这也是为什么独立版本的IE 7无福享受的原因。
通俗的来说,保护模式可以让IE运行在最低的特权级别下,比其他任何进程都低。运行在保护模式下的IE进程、IE进程里的插件、还有网页里的代码,根本没有权限干坏事。IE进程“不得入内”的地方包括:用户配置文件夹、HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER等,难怪恶意代码会感到处处掣肘!
更加值得称道的是,保护模式的IE还有很好的兼容性,如附图所示。
l 提供两个“代理人”(Broker Process):
一个叫做IEUser.exe,专门帮助IE打理需要普通用户权限的工作,例如保存文件到配置文件夹。
另一个叫做IEInstal.exe,专门帮助IE处理需要管理员特权的任务,例如安装IE插件等等。
l 除此之外,还提供兼容层功能,可以把文件和注册表的读写重定向到一个低特权(Low Rights)的地方,这有点类似于UAC的重定向功能。
除了“Trusted Sites”外,其他安全区域都默认启用保护模式。有时候可能不希望对某个网页启用“保护模式”,这时候可以关闭“Internet”安全区域的“Enable Protected Mode”选项,如附图所示。需要注意的是,对于Build 5374以前的Windows Vista,必须单击“Custom Level”按钮,然后在弹出的对话框里Disable掉“Protected Mode”选项。
另外,值得一提的是,这个Feature的原名为Low Rights,后来才改名为Protected Mode。从中也可以体现微软一贯的匠心独具,贴近最终用户。尽管Low Rights的原名更能体现其技术本义,但是很显然,对于最终用户来说,弗如Protected Mode容易理解。
类似的例子还有很多,例如BitLocker,原名Secure Startup;而Windows Defender,原名Windows AntiSpyware;再比如UAC(用户帐户保护)的Feature,最初名为LUA(最小帐户特权)、后来改名为UAP(用户帐户保护)、最后才定名为UAC。
可见,微软于大关节,固然纵横捭阖,颇具“大江东去”的手笔;而于枝蔓处,亦求细致入微,深得“晓风残月”的韵致。侠之大者,原当有此巨眼。
提示 有关IE 7保护模式,笔者将会再撰写一篇文章,进一步讨论有关信息。
反钓鱼网站
IE 7另一个值得浓墨重彩宣传的安全特性就是钓鱼网站过滤器(Phishing Filter),这是一个非常有用的功能,介绍之前先说一个发生在笔者身上的真实故事:一天正在看书,突然收到一条手机短信,说是您使用××银行卡在××商场消费了5000元,然后请到××站点输入卡号、密码进行核对……
这种拙劣的伎俩须瞒不过俺去,因为在下是一个彻底的无产阶级,向来严格奉行一切收入完全上交的“基本国策”……所以自然不会上当,但是如果是一位接触计算机时间不长的用户,收到这样的“钓鱼”短信或者邮件,则难保不会上当。
幸好IE 7给我们提供了钓鱼网站过滤器(Phishing Filter)。只要启用了这个安全特性,如果遇到某些网站的特征很像钓鱼网站,IE会自动把该网站的URL信息送到微软的专门数据库进行比对。
如果比对发现是“疑似”钓鱼网站,IE地址栏马上就会呈黄色显示,并会自动弹出一个警告信息,以提醒用户注意,如附图所示。
而如果确认是钓鱼网站,则IE地址栏会红色显示,同时IE浏览器会自动阻止对该网站的访问,如附图所示。如果硬要查看该网站,可以单击“Continue to this website(not recommended)”选项。
加载项的完美管理
加载项(也叫做插件)极大地丰富了IE浏览器的功能,然而这也招来了一些间谍软件的“垂青”,它们也会在IE浏览器里尝试安装加载项。同时不少IE相关问题都可能和一些不完善的第三方加载项有关,例如网页会突然关闭、IE浏览器经常容易崩溃等……
从Windows XP Service Pack 2开始,IE浏览器增加了对加载项的管理功能,可以选择禁用或者启用某些加载项。而到了IE 7,加载项的管理功能又有了很大的提高,我们还可以选择删除某些加载项,如附图所示。
提示 猜猜看,这个删除加载项的功能是谁来完成的?对了,就是前面提到过的IEInstal.exe代理进程!
如果我们想要一次性删除所有的非重要工具按钮、加载项,清除Internet缓存、Cookies、历史、密码,同时恢复所有的IE设置(包括主页等),这时候可以打开“Internet Options”对话框、“Advanced”标签页,单击其上的“Reset Internet Explorer Settings”按钮,在弹出菜单上单击“Reset”按钮即可,如附图所示。
如果仅仅是想启动一个不带加载项的IE版本,可以单击开始菜单、All Programs、Accessories、System Tools、Internet Explorer(No Add-ons)菜单项即可。也可以直接在“Run”对话框里输入以下命令启动不带加载项的IE版本:
"%ProgramFiles%\Internet Explorer\iexplore.exe" -extoff
写在最后
IE 7的新增安全特性当然不仅限于此,其他令人称道的新增安全特性还包括父母控制功能(仅适用于Windows Vista),可以参考MVP刘晖的文章《Windows Vista父母控制功能介绍》。还有包括URL处理保护、URL显示保护、跨安全区域的限制等特性。事实上,IE 7的还有许多令人期待的其他功能改进,但是光这三个重大安全功能,就足可成为期待升级IE 7的最佳理由,不是吗?
IE 7浏览器新增了那么多令人期待的安全特性,这倒也罢了,更加难能可贵的是,微软能把如此庞大的功能组合设计得一丝不乱。可以说IE浏览器就是Windows Vista的具体而微者,充分体现了Windows Vista的三C理念:信心(Confident)、简明(Clear)和互联(Connected)。
IE浏览器的增强安全特性给我们带来了足够的安全保障,这就是Confident,让我们可以更好地在网上遨游(Connected),而所有的一切都非常简单方便,几乎不需要我们进行额外的配置,而这正是Clear的绝佳诠释。