IE浏览器遭受攻击,是每一个网络用户都曾经遇到过的!轻则篡改主页或是网页怎么也关不完,重则被种下木马或是系统多处设置被改,最过分的就是系统崩溃!那些恶梦般经历真是三天三夜也说不完呀。
是IE太脆弱吗?不是,是我们太不注意系统安全造成的。大多数用户在使用系统时,都会使用local administrators(本地管理员组)中的用户来进行登录。这样,大家在操作过程中确实很方便,但安全问题也会随之而来。在网页中加带的一些脚本和控件也会是管理员的权限来运行,所以它们执行也是畅通无阻的,任何的操作都能完成,你的系统就在一瞬间被他们破坏掉了。
要想安全,必须要降低脚本和控件运行时的权限,最简单的一种方式就是,使用users(普通用户组)中的用户来登录。这样虽然安全,阻止了网页中恶意代码的执行,但在其它操作时,却给用户带来了极大的不方便,处处都受到限制。
能不能实现即方便,又安全的操作,只把IE的运行权限降低,而用户在进行其它操作时,依旧是管理员权限呢?
下面给大家提供两种方法,可以很方便的实现!(一般人我不告诉他!)
方法一:利用“运行方式”加固IE
在C:\Program Files\Internet Explorer下找到IEXPLORE.EXE,并创建它的快捷方式。将IEXPLORE.EXE的快捷方式复制到桌面上,并在上面点右键,选择“打开方式”命令,在弹出的“运行身份”窗口上勾选“保护我的计算机和数据不受未授权程序的活动影响”的复选框,点选确定,IE浏览器被打开。
这时,我们可以在地址栏里输入一个比较恶劣的网站来测试一下,当前的效果如何。
我们以3721网站为例:打开后,进行网页浏览,然后检查IE属性和系统,发现什么也被修改,主动点选“在线安装”上网助手,提示不能安装。
又试了一些恶意网站,不管是改主页的还是修改系统的,用这种方法都能全身而退。
用“运行方式”运行IE浏览器,虽然非常安全,但是有以下两个缺陷:
1、限制太严格,例如IE浏览器无法加载收藏夹。
2、每次运行IE浏览器,还需要增加额外的步骤,不是很方便。
方法二:利用“基本用户”类型加固IE
这个方法我们将给XP系统启用一个“基本用户”(Basic User)类型,这个“基本用户”(Basic User)类似于Windows Vista的“标准用户”(Standard User),只是默认没有启用。
我们先来看一下,当前系统中开启了什么样的安全级别!
在运行里输入“Runas /ShowTrustLevels”,我们看到默认情况下,winxp只开启了“不允许的”和“不受限的”两个安全级别。
下面一起来把“基本用户”这个安全级别来开启一下!
1、启用基本用户类型
(1)打开注册表编辑器,定位到以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
(2)新建一个名为Levels的DOWRD键值,其数据数值为20000(16进制)。
再次运行“Runas /ShowTrustLevels”,可以看到安全级别中多了一个“基本用户”。
2、以“基本用户”安全级别来启动IE
(1)快捷方式:
在运行中输入 runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\IEXPLORE.EXE" 即可,为了方便我们可以新建一个快捷方式,在项目位置里输入以上的命令,这样每次双击该快捷方式,就能够以“基本用户”的身份启动IE浏览器了。
(2)软件限制策略
打开“本地安全策略”管理单元(如果第一次设置软件限制策略,请右键单击“软件限制策略”,选择“创建新的策略”菜单项),展开软件限制策略→安全级别,在右侧的详细窗格里可以看到“基本用户”,这和“Runas /ShowTrustLevels”命令看到的信任级别是一致的。
新建一个路径规则,指定安全级别为“基本用户”,这样每次运行IE浏览器,都可以运行在更安全的级别。方法如下:
右键单击“软件限制策略”中的“其它规则”,在右键快捷菜单中选择“新路径规则”,在“新路径规则”中的“路径”项中添入IE的路径,IE默认安装情况下我们输入C:\Program Files\Internet Explorer\IEXPLORE.EXE,或通过“浏览”来进行查找。
在“安全级别”中选择“基本用户”,然后“确定”,可以看到在“其它规则”中多了一条刚才新建的IE的路径规则!
用“快捷方式”和“软件限制策略”作好布署后,打开IE,浏览一些臭名昭著恶意网站,IE和系统百毒不侵!
注:如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务,请暂时禁用“软件限制策略”,否则这些管理任务将无法顺利完成。
利用“运行方式”和“基本用户”类型两种方法来加固IE的对比:
1、利用“运行方式”比用“基本用户”类型会稍麻烦一些。
因为每次都要用右键通过“运行方式”去操作,而“基本用户”类型,只要一次设置完成后,以后就一劳永逸了,不管是用“快捷方式”还是通过“软件限制策略”都很方便。
2、利用“运行方式”比“基本用户”类型更安全。
利用“运行方式”来启动IE,尽管是以管理员帐户Admin登录系统,但是IE进程不能访问用户的配置文件夹(%USERPROFILE%),连收藏夹、我的文档都不能访问,IE也不能在分区根目录写入文件,对注册表没有写的权限,可以防止病毒、网页恶意脚本滥用特权做坏事。
利用“基本用户”类型来启动IE,限制相对少一些,IE进程可以访问配置文件夹等其他资源(包括收藏夹和我的文档),可以读写HKEY_CURRENT_USER下的绝大多数注册表键值,但是仍然不能写HKEY_LOCAL_MACHINE下的注册表键值,只有只读权限。
虽然利用“基本用户”类型比利用“运行方式”权限稍大,但用户也大可放心使用,不会受到网页恶意脚本的攻击。
另:不但是IE可以用上述方法,其它软件(比如:QQ等)也可以通过“运行方式”和“基本用户”类型两种方法来让软件以低权限的身份来运行,以保证系统的安全。
[ 本帖最后由 wdlxmzd 于 2008-6-13 23:15 编辑 ]
微博帐号登录