讓您的IE瀏覽器抵禦網絡威脅
摘自:http://windows.chinaitlab.com/strategy/768286.html
技術難度:Windows高級應用
適用人羣:家庭用戶、企業用戶,特別是經常使用隸屬於Administrators組(系統管理員組)登陸系統並使用IE訪問互聯網的高風險用戶。
適用系統:Microsoft Windows XP
Professional(原版/SP1/SP2)或者Media Center Edition + Microsoft Internet Explorer
在當今信息社會,互聯網無疑是傳播惡意軟件(Malicious
Software)、木馬(Trojan)和病毒(Virus)的危險區域。而我們的生活已經離不開互聯網,那麼在這些小則使您電腦性能下降、重則使您信息泄露並且軟硬件損壞的網絡威脅面前,我們的計算機安全至關重要。聽了微軟MVP/MCT彭愛華老師的課程以後,我想在此將IE瀏覽器的最佳安全保護方法呈現給大家,讓大家的IE瀏覽器能抵禦幾乎所有的惡意軟件,絕大多數的通過IE自下載、運行的木馬和病毒,讓您輕鬆上網,抵禦威脅。
具體實施方案如下:
一、我們要向系統添加一個默認不存在的“基本用戶”,並讓IE瀏覽器始終以該低權限用戶的身份在保護狀態下執行。
1、點擊“開始”->“運行”,或者按Win+R快捷鍵,打開“運行”對話框,輸入“regedit.exe”並且執行,此時您將會打開“註冊表編輯器”窗口;
2、在註冊表編輯器內的左欄,依次雙擊鼠標左鍵展開“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer”,單擊Safer下展開的“CodeIdentifiers”項,然後轉到右邊的窗格里,在空白處單擊鼠標右鍵,選擇“新建->DWORD 值(D)”;
3、立即將新建的註冊表項命名爲“Levels”(請注意大小寫以及拼寫的正確性),雙擊該鍵值,在打開的“編輯 DWORD 值”對話框裏“基數”下選擇“十六進制(H)”,然後在“數值數據(V):”一欄填入“20000”(也就是十進制的兩萬),點“確定”後關閉註冊表編輯器;
4、再次點擊“開始”->“運行”,或者按Win+R快捷鍵,打開“運行”對話框,此時輸入“gpedit.msc”並且執行,此時您將會打開“組策略”窗口;
5、在打開的“組策略”窗口的左欄,依次展開“計算機配置\Windows 設置\安全設置\軟件限制策略”,如果您是第一次配置軟件限制策略,您可能會在執行此操作後在右邊的窗格中看到黃色驚歎號——“沒有定義軟件限制策略”。此時您不必着急,只需回到左邊窗格中,用鼠標右鍵單擊“軟件限制策略”並點擊“創建新的策略(C)”即可繼續;
6、執行第5步後,您的“軟件限制策略”之下會多出“安全級別”與“其他規則”兩項,此時點擊“其他規則”,並在右邊窗格里的空白處單擊鼠標右鍵選擇“新路徑規則(P)...”;
7、在彈出的“新路徑規則”設置窗口中,點擊“瀏覽”按鈕並定位至IEXPLOR.EXE(比如您的系統裝在C盤,則其默認的路徑應該是“C:\Program Files\Internet Explorer\IEXPLORE.EXE”),確定後會回到“新路徑規則”配置窗口,這時您應該可以在“路徑(P):”的文本框裏看到您的IEXPLOR.EXE的具體路徑了。在下邊的“安全級別(S):”一欄,點開下拉菜單,並選擇“基本用戶”,單擊“應用”與“確定”後退出組策略編輯器。注意:如果您在下拉菜單中找不到“基本用戶”則說明您在步驟2-3中出現了問題,請再次仔細複查更正;
到這裏,“添加基本用戶”和“讓IE瀏覽器以受保護的低權限運行”的兩個目的就達到了,只要您再次點擊桌面上或者開始菜單中或者快速啓動欄裏的Internet Explorer按鈕或者快捷方式,或者不加任何附加命令的直接運行IE,它都將以保護態運行,使您免受網絡威脅的干擾。
但是,如果用戶要安裝某些控件(ActiveX)或者在別無選擇的情況下直接在IE中下載並運行某些程序該怎麼辦呢?要知道,在保護態下這樣做是不會被系統允許的。所以我們要以防萬一,重建一個用來暫時啓動高權限非保護模式下的原汁原味的IE瀏覽器:
8、回到桌面,在桌面空閒處單擊鼠標右鍵,選擇“新建->快捷方式”;
9、在打開的“創建快捷方式”窗口中的“請鍵入該項目的位置(T):”之下的文本框中輸入以下方框中的全部內容:(1、注意空格與引號等格式,本人推薦您複製;2、若您的系統不是安裝在C盤,那麼請您將下面的“C:\”改爲您的系統盤符,其他不符的情況也一樣靈活更改,但注意,“runas /trustlevel:不受限的”這一段是不可能變更的!)
| runas /trustlevel:不受限的 "C:\Program Files\Internet Explorer\IEXPLORE.EXE" |
10、確認輸入無誤之後,點擊“下一步”,自己給該快捷方式命名。爲了以示區分,推薦您將其命名爲“IE高權限”或者“IE不受保護模式”等字眼;
11、單擊“完成”按鈕之後,您將會在桌面上看到您剛建好的一個非常“醜陋”的快捷方式。
若您想將其美化,可以這樣做,用鼠標右鍵單擊該圖標並選擇“屬性”,在打開的屬性對話框中選擇“快捷方式”選項卡(默認已經爲您選好,一打開就是),點擊下方的“更改圖標(C)...”按鈕,然後在選擇您喜愛的圖標後點“確定”退出即可。
這樣一來,您就可以在平常情況下點擊系統默認的啓動IE瀏覽器的按鈕或者快捷方式來以保護模式運行IE,使您免受網絡大多數威脅的侵害;
在您需要安裝插件、直接下載運行絕對安全可靠的軟件時,您可以雙擊您自建的“IE非保護模式”或者“IE高權限”快捷方式來暫時還原您最原始的易受侵害的IE瀏覽器。
值得注意的是,有且僅有您以該“高權限運行IE”的快捷方式啓動的IE窗口及其自身打開的多選項卡(針對IE7.0)纔不受系統保護,你同時以正常方式打開的IE窗口仍然是受保護的,他們分別存在於內存中的不同進程之中,互相不受影響。
二、我們對以上方法進行測試與檢驗。
1、以系統自帶的正常方式啓動IE瀏覽器(即,不要通過高權限快捷方式啓動),然後在地址欄輸入“http://cn.zs.yahoo.com/start.htm”以訪問雅虎助手安裝頁面。
2、若未自動彈出“您還沒有安裝雅虎助手工具條,是否下載?”的對話框,點擊網頁中的“立即下載”按鈕,進行下載;
3、在“文件下載 - 安全警告”對話框中,點擊“運行(R)”按鈕;(注意:千萬不要點擊“保存(S)”按鈕,因爲當您保存到本地文件夾或者位於本地計算機上的其他位置之後再雙擊鼠標運行,已經不再是在IE內存進程之內,等同於直接運行本地文件或者程序,系統不會有任何保護措施!)
4、在完全下載完畢準備運行之前,SP2的用戶會看見彈出的“Internet Explorer - 安全警告”對話框,
此時您點擊“運行(R)”按鈕之後,會發現我們的成效——雅虎助手安裝失敗的提示,其原因爲您啓動的IE是以低權限的“基本用戶”帳戶身份運行的,不具備同您登陸的系統管理組(Administators)用戶一樣的高權限。
三、特別注意與友情提示。
1、使用以上方法不是萬能的,僅僅能針對絕大多數的在程序設計中顧及了或者需要利用系統安裝權限的軟件(包括正常軟件、流氓軟件、木馬、病毒),所以爲了您系統更高的安全,請務必確保您的系統安裝並啓用了防火牆,安裝並使用了能實時更新病毒庫的殺毒軟件以及實時監控程序。本方法不能成爲也不可能成爲殺毒軟件與防火牆等安全產品的替代品;
2、使用以上方式武裝您的IE瀏覽器定會見到良好成效,但您若是企業用戶,請諮詢您的系統管理員,以免與企業的統一整體方案相沖突;
3、本方法僅針對下載提示框中選擇“運行”方式直接通過IE進程試圖運行軟件的情況(絕大多數流氓軟件或者悄無聲息的惡意軟件選擇此方式傳播),不針對選擇“保存”並保存到本地計算機然後雙擊鼠標運行程序的情況。關於這兩種情況的實例,請看上面第二節(“我們對以上方法進行測試與檢驗”)中的第3點;
4、本方法僅這對隸屬於Administrators組的一切用戶帳戶適用,Power Users組很多情形下也適用,Users組或者其它用戶組不適用,其根本原因是隻有Administrators組以及部分時候的Power Users組纔是互聯網面前的高風險用戶羣體,您若使用Users組用戶登陸系統並訪問互聯網,不僅您的IE瀏覽器,您的任何操作都是以很低的權限執行的,就算本地安裝軟件也得不到系統的允許。因此低權限組用戶或者常常使用低權限組用戶帳戶登陸使用計算機的用戶沒有必要用此方法;
5、以上的部分操作——特別是第一節中的操作——必須以系統管理員身份或者隸屬於Administrators組的用戶帳戶登陸系統進行操作,否則會因不具備相應的權限而被系統拒絕;
6、Microsoft Windows Vista用戶因具備了UAC高級功能而不需要此文,Microsoft Windows XP Home用戶因無法編輯組策略與註冊表而不能應用此文。
四、對實現該方法原理的闡釋。
基本原理:
Microsoft Windows XP Professional/Media Center Edition是基於NT技術的高端系統,在Microsoft Windows Vista出來之前,系統中並沒有或者說並沒有很好地引入“以低權限運行程序以保護用戶安全,且僅在必要時得到用戶允許之後才臨時地獨立提升權限”的概念。因此,沒有相關的安全設置,用戶以什麼用戶組身份登陸系統,就具有多高的相應的權限並且以該權限執行所有的常規程序,包括IE在內。但是我們可以通過相應的策略設置來彌補這一缺點。
Microsoft Windows XP系統是根據對程序的訪問令牌(Token)的檢查來確定程序應該具有什麼權限並給與相應權限的。以IE瀏覽器舉例,它的訪問令牌具有“用戶帳戶”“組賬戶列表”“特權列表(Privilege)”三大部分以及“其他安全信息”,當使用IE瀏覽器下載或者安裝什麼軟件或是插件(ActiveX)時,就要涉及到訪問本地資源了,畢竟東西是下載並安裝到本地計算機上的嘛,這時系統就要檢查IE的令牌來分配給它相應的權利。比如登陸系統的是Administrators組的用戶,系統就會認爲是管理員,並且分配給你最高的特權(Privilege)。可訪問的資源(包括註冊表、服務、配置文件、系統目錄等等)對應有一個“訪問控制列表(ACL)”(用來定義用戶/工作組與文件、目錄或其他資源相關的訪問權限的一組數據。在活動目錄服務中,一個ACL是一個存儲訪問權限與被保護對象相互之間關係的列表。在
Windows NT操作系統中,一個ACL作爲一個二進制值保存,稱之爲安全描述符),其中包括“所有者帳戶(Owner)”“組帳戶”“自由訪問列表(DACL)”與“系統訪問列表(SACL)”,其中,SACL管制審覈,DACL管制對象訪問。DACL與SACL中又有若干項具體的“訪問控制條目(ACE)”(每一個ACE包括一個安全標識符(SID),這個標識符標識這個ACE的應用對象(用戶或小組)以及允許或者拒絕訪問的ACE信息的類型)。
當IE要訪問本地資源時,Windows就要執行安全檢查,將IE訪問令牌中的信息與訪問控制列表(ACL)中的DACL下的ACE一一對比,以確定IE對註冊表鍵值有沒有修改權,IE對系統目錄有沒有讀寫權等等。
因此我們要做的就是改變IE的訪問令牌,以最低的、最安全的權限來使用IE,剝奪其特權,做到令牌與DACL下的ACE對比時,系統認爲其不具備寫入系統磁盤文件以及註冊表鍵值的權限。
對實現方法的解釋:
1、regedit.exe是系統的註冊表編輯器,通過它可以增、刪、修改註冊表鍵值;
2、gpedit.msc是系統的組策略編輯器,可以修改系統的各項策略,包括軟件策略、安全策略等;
3、[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]下的DWORD值“Levels:0x20000”對應着XP系統中的隱藏着的“基本用戶(Basic User)”,該用戶相當於Windows Vista中的“標準用戶(Standard User)”,權薏桓叩苤蔥諧9嬡撾瘛R韻賂鯴P中三個安全級別的權限概述對比:
| 不允許的 | 無論用戶的訪問權如何,軟件都不會運行。 |
| 基本用戶 | 允許程序訪問一般用戶可以訪問的資源,但沒有管理員或 Power User 的訪問權 |
| 不受限的 | 軟件訪問權由用戶的訪問權來決定。 |
4、定義軟件限制策略中的路徑規則可以對位於某一固定路徑下的具體程序進行限制,若設置爲“不允許的”,那麼該程序就不能運行;若設置爲“不受限的”,就同默認的未限制的沒有什麼區別;若設置爲“基本用戶”,就是以一定的保護模式運行該程序,而且是永久性的。注意:若建立的是“散列規則”,計算機就會計算其Hash值,那麼與你選定的程序相同的同一版本程序無論位於本地計算機或者遠程計算機的什麼位置都將被應用所選定的安全級別,其好處就是被限制的文件不會因存儲位置的改變而逃脫限制;
5、runas.exe是系統自帶的實用程序,它在命令提示符(CMD)下運行,有語法規定。本文使用的參數“/trustlevel:”只是衆多參數中的一個,其目的是臨時地、一次性地改變某一具體程序運行的安全級別,究竟有哪些安全級別可以在CMD下執行"runas /showtrustlevels"來查看或者在組策略編輯器的[計算機配置\Windows 設置\安全設置\軟件限制策略\安全級別]下察看。爲了避免每次需要時的冗長的命令語句,我們建立了IE高權限的快捷方式;
6、以不同安全級別打開的多個IE瀏覽器在內存中各自具有獨立的進程,互不影響,他們的安全級別不同那麼具有的訪問令牌也不同;
7、在“文件下載 - 安全警告”對話框中,若點擊“保存(S)”按鈕,則會將下載的文件保存到本地文件夾或者位於本地計算機上的其他位置,找到本地文件後再雙擊鼠標運行,由於已經不再是在IE進程之內而是在explorer.exe下,是直接運行本地程序的行爲,所以系統會以你登陸帳戶的相應權限執行,不再以IE的保護模式——基本用戶安全級別執行,因此,惡意軟件可以正常被安裝(如果你以隸屬於Administrators組的用戶身份登陸系統)。