WEB开发网
开发学院操作系统Windows Vista Windows Vista IE 7保护模式开发者生存指南 阅读

Windows Vista IE 7保护模式开发者生存指南

 2008-08-22 17:24:11 来源:WEB开发网   
核心提示:保护模式之简介 Internet Explorer 7的保护模式是Vista中的一项新特色,隶属于用户账户控制(UAC)的一部分,Windows Vista IE 7保护模式开发者生存指南,保护模式通过对运行于IE进程内的代码进行限制,来达到保护电脑的目的,其受到的限制更严,只能对注册表及文件系统的特定低权限区域进行写

保护模式之简介

Internet Explorer 7的保护模式是Vista中的一项新特色,隶属于用户账户控制(UAC)的一部分。保护模式通过对运行于IE进程内的代码进行限制,来达到保护电脑的目的,即便一个恶意网页利用了IE或IE插件中的某个代码注入bug,它也不能对系统造成损害。

完整性级别及UIPI

Windows Vista对需要保证其安全的对象引入了一个新的属性:强制完整性级别,由以下四个级别组成:

Ø系统级:由系统组件使用,通常应用程序不应使用。

Ø高级:运行于提升至管理员权限的进程所有。

Ø中级:运行于正常状态的进程所有。

Ø低级:由IE及Windows Mail使用,以提供保护模式。

Windows在运行某个进程时,通常也会包含其完整性级别,且一旦进程运行之后,级别不可更改,只能在进程创建的那一刻进行设置。进程的完整性级别会带来以下三种主要的影响:

1、进程所创建的任何安全对象都具有同样的完整性级别。

2、进程不能访问比自身完整性级别更高的资源。

3、进程不能向比自身完整性级别更高的进程发送窗口消息。

以上列表并非完整,但这三个对IE插件的影响尤为显著,前两者防止低级别进程篡改IPC资源,如包含敏感数据的共享内存、或影响程序正确执行的关键数据;后者则被称为用户界面进程隔离(User Interface Process Isolation UIPI),设计于防止某些破坏性的攻击,如攻击者通过发送消息,诱使某个进程运行不安全代码。

虚拟化

虚拟化(在微软的某些文档中也称为重定向)是一种防止进程向注册表及文件系统受保护区域写入的功能,且不会影响程序的正常功能。对完整性为中级的进程来说,受保护区域为系统关键区域,如HKLM、System32及Program Files目录,等等;对完整性为低级的进程来说,其受到的限制更严,只能对注册表及文件系统的特定低权限区域进行写入,任何对此区域之外的写请求都会被禁止。

1 2 3 4 5 6  下一页

Tags:Windows Vista IE

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接