企業IT管理員IE11升級指南 系列:
【1】—— Internet Explorer 11增強保護模式 (EPM) 介紹
【2】—— Internet Explorer 11 對Adobe Flash的支持
【6】—— Internet Explorer 11面向IT專業人員的常見問題
【11】—— 通過SCCM 2012和WSUS部署Internet Explorer 11
【16】—— 使用Compat Inspector快速定位IE兼容性問題
Internet Explorer 11增強保護模式 (EPM) 介紹
每個Internet Explorer的新版本,都會引入新的安全增強機制,以幫助用戶更安全地瀏覽Internet。增強保護模式最先在Internet Explorer10中被引入,並在Internet Explorer11中得到了進一步的加強。在保護模式開啟的情況下,即使攻擊者已經利用了瀏覽器本身,或者利用了瀏覽器中運行的控件的漏洞,用戶的數據依然可以保持安全狀態。
增強保護模式的前身“保護模式”,最先出現在Windows Vista中的Internet Explorer7上。它提供了“深度的保護”,以幫助防止攻擊者安裝惡意軟件,或者修改系統設置,哪怕他們已經成功運行了可以利用漏洞的代碼。例如,通常瀏覽器無須修改系統設置,或者寫入用戶的“文檔”目錄。保護模式基於最小權限的原則——通過限制Internet Explorer所擁有的能力,使得入侵代碼所獲得的能力也相應地受到了限制。
增強保護模式進一步運用最小權限的概念,對Internet Explorer的能力做了進一步的限制。下列是增強保護模式保障安全的新途徑:
64-位進程
當今絕大多數的PC都擁有64位的CPU,並安裝了64位的Windows。64位最眾所周知的特點是它擁有更廣闊的內存地址空間。無論是系統還是應用程序,都可以在64位環境下尋址更多的內存。
一個32位的二進制數字差不多可以表達40億的數字空間。而一個64位的地址空間要更加遼闊——幾乎可以是18P(18,446,744,073,709,551,616)。64位不僅僅讓應用程序可以尋址更多的物理內存,它也使得像ASLR(隨機化的地址空間布局)這樣的已有內存保護功能更有效果。像”堆溢出“這類通過在內存特定位置植入惡意代碼的攻擊,在64位下面變得十分困難,因為要想占滿整個64位地址空間,在實踐中是不可行的。
保護用戶的個人信息
當用戶運行一個程序時,該程序會獲得訪問當前計算機中任何資源的權限,包括用戶的個人文檔。增強保護模式限制Internet Explorer訪問用戶的個人資料,除非得到用戶的明確允許。這能幫助避免侵入代碼在沒有得到用戶許可的情況下訪問用戶信息。
例如,考慮基於web的郵件系統。如果用戶希望將”文檔“目錄中的某個文件作為附件添加到郵件中,Internet Explorer會提示用戶明確允許網站訪問”文檔“目錄下的文件的。
保護公司信息資產
大多數的公司內部網絡,包含了至關重要的信息,必須確保有效的保護。增強保護模式通過三種途徑降低入侵者訪問公司網絡的可能。首先,訪問Internet站點所對應的“標簽進程”,通常它們用於加載不被信任的站點內容,這些進程對用戶的域賬號信息是沒有訪問權限的。其次,這些標簽進程無法以本地web服務器方式工作,這使得攻擊程序要想偽裝成公司內部站點變得十分困難。第三,它們無法訪問公司內部的網站。
默認設置與兼容性
現代樣式的Internet Explorer總是運行在增強保護模式下——用戶無需對此作任何配置——打開瀏覽就能獲得最佳的安全保障。而由於現代樣式的Internet Explorer不加載Flash之外的插件,使得這一安全功能對於兼容性的要求被降到最小。最新的Flash插件已經能夠兼容增強保護模式。
許多插件,例如Java Applet,以及一些Internet Explorer工具欄,尚不能兼容增強保護模式。所以桌面樣式的Internet Explorer默認是關閉增強保護模式的。用戶可以在Internet選項對話框的高級標簽頁中打開它。Internet Explorer11提供了一個額外的選項,供用戶選擇是否用64位運行增強保護模式。如果不勾選它,增強保護模式的Internet Explorer進程和普通進程一樣運行在32位下面。而在Internet Explorer10中,增強保護模式始終運行在64位下面。
在啟用增強保護模式之后,與增強保護模式不兼容的插件會被自動禁用。如果您的網站需要該插件才能工作,您可以單獨對該網站停用增強保護模式。
總結
Windows產品組會不斷在產品的“深度保護”機制上做進一步的投資。而在現實世界中,它也是一個廣為應用的理念。增強保護模式作為一個額外的安全層,保護您的信息免於受到惡意的攻擊。