剖析Vista中IE 7.0浏览器“保护模式”

微软根据新一代Vista操作系统的安全性能提高，而为Vista内置的IE浏览器增加一项独有的安全功能--“保护模式”(Protected Mode)。今天，笔者就与大家探讨一下IE7浏览器“保护模式”的设置和使用方法。

一、什么是IE 7的保护模式

Internet Explorer浏览器的“保护模式”与Vista系统的“用户帐户控制(User Account Control, UAC)”功能有着相同的设计理念，目的都是配合安全机制使用户在浏览网页时，不会被网页内的恶意程序代码修改系统设置。启用保护模式后，IE会提供浏览网页所需要的权限，以及修改用户文件或系统设置的权限限制，例如限制通过ActiveX平台安装附加软件(加载项)、运行程序、修改注册表参数、存取和复制文件等，从而减少遭遇恶意程序代码入侵、被修改主页或绑架浏览器的风险。

二、保护模式原理探讨

IE浏览器的保护模式基于Windows Vista的三项系统安全功能：用户帐户控制(User Account Control)、完整性机制(Integrity Mechanism)及用户界面特权隔离(User Interface Privilege Isolation)。

首先，在“用户帐户控制”的限制下，即使用“系统管理员”的身份运行程序，也会限程序修改系统的权限;其次，“用户界面特权隔离”会限制网页通过不断传输视窗信息或API控制项，使浏览器或相关程序取得较高的完整性级别。

至于“完整性机制”，则会为系统设置三种存取级别：“Low”、“Medium”及“High”，以存取系统的安全性项目(Securable objects)，包括写入文件或进行登录等。一般情况下(例如从“开始”菜单中运行程序)，系统默认以“Medium”作为存取级别，在该级别下系统使用“User”权限，能够存取和修改用户的所有文件或涉及用户的注册表项目;而无论用户以哪一种帐户身份使用IE，在保护模式下只会被授予“Low”的存取级别，系统会以“Untrusted”的系统权限运行程序，并只能存取低存取级别的路径位置，例如“Temporary Internet FilesLow”文件夹，以保障用户系统不被网页恶意程序码所修改。