Представляем IE 7 и уровни целостности

Введение

Когда вы работаете в Интернете, ваш компьютер подвергается воздействию многих злоумышленников, программ, вредоносных программ, рекламного ПО, вирусов и веб-сайтов, которые могут привести к летальному исходу. Многие из вас считают, что если у вас на персональном компьютере установлен хороший брандмауэр, на вашем компьютере с Windows XP SP2 настроена безопасность, максимально настроена безопасность IE или вы просто не заходите на «плохие сайты», вы быть в порядке. К сожалению, вредоносные атаки с каждым днем становятся все более изощренными, и большинства этих защитных средств просто недостаточно. Хотя многие из вас, читающих это, держались подальше от Windows Vista, я призываю вас прочитать дальше и посмотреть, что Vista предоставляет по сравнению с Windows XP в отношении защиты в Интернете. Если ваш компьютер когда-либо был заражен вирусом, подвергся атаке вредоносного ПО или получил надстройку без вашего согласия через Интернет... Windows Vista может помочь со всем этим без каких-либо усилий. В этой статье мы обсудим, как Internet Explorer 7 в Windows Vista поставляется с защищенным режимом, работает с контролем учетных записей и предоставляет уровни целостности для защиты каждого вашего шага в Интернете.

Преимущества контроля учетных записей (UAC)

Я знаю, что UAC уже давно закрыт, но для тех, кто не слишком уверен, что предоставляет UAC, давайте погрузимся под капот. Рассмотрим пример.

Когда администратор входит на свой рабочий стол в качестве учетной записи пользователя, имеющего членство в группе администраторов, все задачи выполняются с правами администратора. Это означает, что ЛЮБОЕ приложение или ВСЕ просмотры Интернета выполняются с правами администратора. Как только тот же пользователь входит в систему компьютера с Vista, где включен UAC, весь сценарий меняется. Когда UAC включен, пользователь (вошедший в систему с учетной записью, имеющей членство в группе администраторов) является стандартным пользователем для всех инициируемых задач. Это означает, что любое вредоносное ПО имеет только стандартный пользовательский доступ… который очень ограничен.

Это самое верное определение LUA (доступ пользователя с наименьшими привилегиями), о котором я писал много раз и на которое я ссылаюсь ниже.

Проверить; «5 основных причин безопасности для использования Windows Vista» и «Общие сведения о контроле учетных записей пользователей» для получения дополнительной информации и справки по UAC.

UAC выполняет это, изменяя аутентификацию пользователя и токены процесса, чтобы не включать группу администраторов. Вы можете ясно увидеть это ограничение, если просмотрите токен процесса для пользователя, который вошел в систему на компьютере с Vista, работая от имени пользователя, входящего в группу администраторов.

Чтобы увидеть это, войдите на компьютер с Vista как Администратор, затем нажмите кнопку Пуск | Все программы | Аксессуары | Командная строка. После этого запустите Process Explorer и найдите процесс cmd.exe (он будет находиться под процессом explorer.exe), как показано на рисунке 1.

Рисунок 1: Process Explorer показывает все запущенные процессы

Теперь дважды щелкните процесс cmd.exe, чтобы отобразить лист свойств, затем выберите вкладку «Безопасность», как показано на рис. 2.

Рис. 2. На странице свойств cmd.exe есть вкладка «Безопасность», на которой показана безопасность процесса.

На рис. 2 показано, что с группой «Администраторы» связан параметр «Запретить», что означает снижение привилегий для пользователя.

Защищенный режим IE 7

IE 7 поставляется с новой функцией, которую можно включать и отключать, которая называется защищенным режимом. Защищенный режим — это не отдельная технология, он включает технологии под общим названием «Защищенный режим». Двумя наиболее важными технологиями в защищенном режиме являются UAC и уровни целостности.

Мы уже рассмотрели UAC и рассмотрим уровни целостности в следующем разделе. А пока давайте посмотрим, как включить защищенный режим и посмотрим, где он работает.

Чтобы включить защищенный режим в IE, перейдите к опции панели инструментов «Инструменты», затем выберите «Свойства обозревателя». В окне «Свойства обозревателя» щелкните вкладку «Безопасность», показанную на рисунке 3.

Рис. 3. Вкладка «Безопасность» для настройки параметров Интернета

По умолчанию все ваши зоны будут работать в защищенном режиме, за исключением зоны надежных сайтов. Вы можете изменить все настройки по умолчанию в соответствии с вашими потребностями.

После включения защищенного режима вы сможете увидеть его в действии на каждом посещаемом вами сайте. В нижней части страницы вы увидите, что защищенный режим включен или выключен. На рис. 4 показан сайт, на котором включен защищенный режим.

Рисунок 4. Защищенный режим отображается в нижней части каждого веб-сайта, который вы посещаете.

Изучение уровней целостности

Концепция уровней целостности исходит из идеи о том, что существуют различные области памяти операционной системы компьютера, доступные и контролируемые. Исторически сложилось так, что все приложения, включая IE и веб-приложения, работали в одних и тех же областях памяти. Это позволило вредоносным приложениям воспользоваться уровнем привилегий пользователя (администратора) и получить доступ к другим приложениям, работающим в памяти. Это подвергало слишком много вредоносного кода, доступ к которому осуществлялся из Интернета, но теперь IE 7 в Windows Vista закрывает эту дверь.

Уровни целостности сочетают концепцию UAC с функциями IE 7. Теперь IE 7 изолирует себя от других приложений, работающих на компьютере. Это ограничивает доступ вредоносного кода, приложений и надстроек через Internet Explorer. Это достигается в Windows Vista с помощью различных уровней целостности. IE 7 работает на низком уровне целостности, что означает, что он может взаимодействовать только с другими приложениями, работающими на низком уровне. Большинство приложений работают на уровне целостности «Средний», где происходит изоляция. Поскольку приложения, с которыми хочет установить связь вредоносный код, работают на более высоком уровне (средний), связь запрещена. Вы можете четко увидеть эти уровни целостности, используя Process Monitor, когда работает IE. На рис. 5 показан файл iexplorer.exe при просмотре с помощью Process Monitor.

Рисунок 5: IE 7 работает с низким уровнем целостности

Windows Vista и IE 7 обеспечивают более безопасную среду. Если компания, заявляющая о «более безопасном» продукте, исследуется при работе в Windows Vista, она явно не использует преимущества этой модели безопасности на уровне целостности. Рисунок 6 показывает процесс FireFox и уровень целостности в Process Monitor.

Рисунок 6: Firefox работает со средним уровнем целостности

Это делает IE 7 более безопасным и в целом защищает компьютер лучше, чем если бы IE 7 не работал в Vista.

Резюме

Windows Vista и IE 7 поставляются с некоторыми фантастическими функциями безопасности. Во-первых, UAC — это функция безопасности, которую можно использовать для защиты компьютера и пользователя от приложений и другого вредоносного кода, который хочет получить доступ к компьютеру в качестве «администратора». IE 7 предоставляет полный список функций безопасности, включая защищенный режим и уровни целостности. Защищенный режим можно настроить для всех зон внутри IE по вашему усмотрению. Вы также можете четко видеть, включен или выключен защищенный режим при просмотре каждого веб-сайта. Наконец, IE 7 поставляется со встроенными уровнями целостности. Эти уровни изолируют IE от всех других приложений, работающих на компьютере. Эта изоляция не позволяет любому вредоносному коду взаимодействовать с операционной системой и другими приложениями, работающими на компьютере.