揭秘Vista IE7安全保护特性

　　当你使用浏览器访问任何网页时，都会使计算机成为恶意攻击者的目标，恶意程序、恶意软件、恶意广告、病毒和网站都能给计算机带来致命威胁。很多人会认为，只要安装功能完整的防火墙;或者在XP SP2电脑上安装防毒软件;尽可能地配置好IE安全;不去访问恶意网站，就不会有安全问题。但是，恶意攻击技术每天都在不断更新，而大家的保护措施则远远不够。虽然很多读者对Windows vista不感冒，但我希望大家能够认真阅读此文，看看Vista能够提供怎样优于XP的互联网安全保护。如果你的计算机曾经受到病毒或者恶意软件攻击，或者在未经同意通过互联网接收广告，Vista都能够帮助解决这些问题。本文将讨论Windows Vista中附有保护模式的Internet Explorer 7如何与User Account Control结合应用，为用户的互联网操作提供完整性等问题。

　　用户帐户控制(UAC,User Account Control)的好处

　　首先让我们看看下面的例子。

　　当管理员作为已加入到管理员组的用户登录到桌面时，所有的任务都是以管理员的权限进行操作的。这意味着浏览任何应用程序或者互联网都是以管理员权限进行的，当同样的用户登录到Vista电脑(已启用UAC)，整个情况都会变化。当UAC启用时，用户进行任何操作任务都是以标准身份进行的(作为管理员组的成员进行登录)，这意味着任何恶意软件都只有标准用户访问权，这就大大限制了恶意软件的控制。

　　UAC是通过将用户验证和进程令牌修改为不包含管理员组来实现的，如果你查看登录到Vista电脑的用户的进程令牌，就能清楚地看到这种限制。

　　为了查看UAC限制效果，可以作为管理员登录vista系统，然后点击Start button | All Programs | Accessories | Command Prompt。然后，启动Process Explorer并查找cmd.exe进程(将位于explorer.exe进程下)，正如图1所示。

windows.chinaitlab.com__20090209101905313.jpg (82.17 KB)
2009-2-9 15:48

　　图1 Process Explorer能够显示所有正在运行的进程

　　现在双击cmd.exe进程以显示属性表，然后选择安全选项，正如图2所示。

　　图2 cmd.exe属性表包含一个安全选项来显示进程的安全状况

windows.chinaitlab.com__20090209101911977.jpg (72.23 KB)
2009-2-9 15:48

　　图2显示管理员组标记的是“deny”，这正是为了减少特权用户。