微軟根據新一代Vista操作系統的安全性能提高，而為Vista內置的IE瀏覽器增加一項獨有的安全功能--“保護模式”(PRotected Mode)。今天，筆者就與大家探討一下IE7瀏覽器“保護模式”的設置和使用方法。

　　一、什么是IE 7的保護模式

　　Internet Explorer瀏覽器的“保護模式”與Vista系統的“用戶帳戶控制(User Account Control, UAC)”功能有著相同的設計理念，目的都是配合安全機制使用戶在瀏覽網頁時，不會被網頁內的惡意程序代碼修改系統設置。啟用保護模式后，IE會提供瀏覽網頁所需要的權限，以及修改用戶文件或系統設置的權限限制，例如限制通過ActiveX平臺安裝附加軟件(加載項)、運行程序、修改注冊表參數、存取和復制文件等，從而減少遭遇惡意程序代碼入侵、被修改主頁或綁架瀏覽器的風險。

　　二、保護模式原理探討

　　IE瀏覽器的保護模式基于Windows Vista的三項系統安全功能：用戶帳戶控制(User Account Control)、完整性機制(Integrity Mechanism)及用戶界面特權隔離(User Interface Privilege Isolation)。

　　首先，在“用戶帳戶控制”的限制下，即使用“系統管理員”的身份運行程序，也會限程序修改系統的權限;其次，“用戶界面特權隔離”會限制網頁通過不斷傳輸視窗信息或API控制項，使瀏覽器或相關程序取得較高的完整性級別。

　　至于“完整性機制”，則會為系統設置三種存取級別：“Low”、“Medium”及“High”，以存取系統的安全性項目(Securable objects)，包括寫入文件或進行登錄等。一般情況下(例如從“開始”菜單中運行程序)，系統默認以“Medium”作為存取級別，在該級別下系統使用“User”權限，能夠存取和修改用戶的所有文件或涉及用戶的注冊表項目;而無論用戶以哪一種帳戶身份使用IE，在保護模式下只會被授予“Low”的存取級別，系統會以“Untrusted”的系統權限運行程序，并只能存取低存取級別的路徑位置，例如“Temporary Internet Files/Low”文件夾，以保障用戶系統不被網頁惡意程序碼所修改。

　　三、如何設置保護模式

　　保護模式是IE的常駐功能。用戶想修改保護模式的設置參數或根據需要啟用/禁止保護模式，可以先運行IE瀏覽器，然后在菜單欄上依次點擊“工具”→“Internet選項”修改網絡設置。

　　在隨后彈出的“Internet選項”窗口的“安全”標簽頁中，勾選“啟用保護模式”一項即可。需要說明的是，在“安全”標簽頁的“選擇要查看的區域”一欄中，有四個區域：Internet、本地Intranet、可信站點、受限站點，它們各有獨立的安全設置，因此設置保護模式時也應該分別進行設置。對于一般上網瀏覽，你只需點選“Internet”一項，再勾選“啟用保護模式”(圖1)，即可放心上網瀏覽。

圖 1

　　四、為信任的網站禁用保護模式

　　在部分特殊情況下，用戶允許網頁存取自己電腦內的文件或程序。在這種情況下就要禁用保護模式。方法是在“Internet選項”的“安全”標簽頁內，選中“可信站點”一項，然后設置不使用保護模式。

　　你可以將網站添加到“可信站點”列表，使瀏覽器進入這些網站時自動禁用保護模式，具體方法是在“安全”標簽頁點擊“站點”按鈕，在隨后彈出的“可信站點”窗口中，在“將該網站添加到區域”一欄輸入網址，再點擊“添加”按鈕，即可將網站加到“可信網站”列表。最后單擊“關閉”按鈕完成(圖2)。

圖 2

　　五、設置加載項的使用權限

　　早在Windows xp SP2的時代，IE瀏覽器已經具備管理ActiveX插件程序等加載項的功能，而Vista中IE 7的管理加載項功能除了可以啟用/禁止/刪除個別加載項外，還能夠設置不需要特殊權限即可運行的加載項。

　　用戶可在IE瀏覽器的菜單欄上依次點選“工具”→“管理加載項”→“啟用或禁用加載項”。在“管理加載項”窗口的“顯示”下拉菜單中選擇“不請求許可即可運行的加載項”，然后在下方的列表逐一將各個加載項項目設置為啟用或禁止狀態(圖3)。

圖 3

　　此外，想要防止IE的ActiveX插件程序(惡意網站的慣用伎倆)存取系統資料和設置參數，有一個更徹底的方法，那就是禁用ActiveX等所有加載項。用戶可到Vista系統的“開始”菜單內依次點選→“所有程序”→“附件”→“系統工具”→“Internet Explorer”(無加載項)(圖4)，就會啟動完全沒有附加ActiveX控制項和工具欄等加載項的IE瀏覽器，讓你放放心心地上網瀏覽。

圖 4