默认情况下,IE保护模式并不会对在信任站点区域的任何网站起作用。但是,实际上还不仅仅有这一个例外。
通过以一个低强制完整性级别来运行IE浏览器,IE保护模式会给你额外的保护。这个原理也适用于大多数其他IE对象,诸如菜单条、浏览器帮助对象和其他插件。被IE保护模式自动下载下来的内容被存储在低完整性文件和注册表区域中,因此它不能直接对系统文件和标准中等完整性用户区域进行写访问。
创建IE保护模式是专门用于针对“隐蔽强迫(drive-by)”下载:那些未经用户同意就下载的行为。如果一个用户手动的下载一个文件或故意的执行激活一个内容,它会被标记为中等完整性级别。被一个提升权限的用户所同意的内容(例如安装一个ActiveX控件)则运行在高完整性级别。因此,假若用户被欺骗下载或执行一个内容,IE保护模式就不起作用了。
7、所有Windows进程被数据执行保护(DEP)所保护?
IE主进程Iexplore.exe被排除在Windows的数据执行保护(DEP)缓存溢出的默认保护之外。微软专门选择不启用对Iexplore.exe的数据执行保护(DEP),因为它可能导致Java和许多常用浏览器插件的问题。
因此,即使是在IE保护模式下浏览器也依然将暴露出许多常见的缓存溢出缺陷。但是,即使一个缓存溢出漏洞被成功利用,这个恶意的攻击将会发现它非常难于执行一个有意义的攻击。你可以轻松的对IE浏览器启用数据执行保护(DEP),如果数据执行保护不会引发任何问题的话,你可以保持它运行。
8、文件和注册表虚拟化会阻挡恶意文件和注册表修改?
文件和注册虚拟化的确可以阻挡恶意的修改,但是那是针对有限的一部分位置而说的。默认情况下,原有的应用程序对以下位置进行读写的时候会被重定向到每个用户的虚拟化的区域(这不是一个完整的列表):
·\Program Files何其子文件夹
·64位系统上的\Program Files (x86)
·\Windows和所有的子文件夹,包括System 32
·\Users\%AllUsersProfile% \ProgramData(在XP中是\Documents and Settings\All Users)
·\Documents and Settings
·HKLM\Software
除了这个有限的列表中的写阻挡位置外,以下对象从不会被虚拟化:
·默认的Vista应用程序
·具有可执行扩展名的文件,诸如.EXE、.BAT、.VBS和.SCR。你还可以在注册表中以下位置增加额外的文件扩展名例外:HKLM\System\CurrentControlSet\Services\Luafv\Parameters
\ExcludedExtensionsAdd
·64位的应用程序和过程
·在可执行名单中具有一个被请求的执行级别指示的应用程序,例如大多数Vista进程
·使用管理员权限运行的过程或应用程序
·内核模式应用程序
·修改一个标有Don't_Virtualize注册标志的注册表值的应用程序
关于最后一点,任何在HKLM\Software下的键具有三个新的注册标志,你可以通过Reg.exe来查看:
·Don't_Virtualize
·Don't_Silent_Fail
·Recurse_Flag
标有Don't_Virtualize的任何键不会参与注册虚拟化。你可以使用Reg.exe来显示和设置注册标志。
9、Windows资源保护(WRP)会与Windows文件保护(WFP)一样?
Vista的新的Windows资源保护(WRP)经常被吹捧为Windows文件保护(WFP)的一个插件替代。Windows文件保护(WFP)在Windows 2000中被初次引入,在此前的Windows版本中采用了一个类似的系统文件保护(SFP)。两者都与Windows资源保护(WRP)类似,但是它们的工作原理和完成任务存在巨大的不同。
Windows文件保护只保护文件。而Windows资源保护则对关键文件、文件夹和注册表值进行保护。Windows文件保护和系统文件保护监视对受保护系统文件的修改。如果这个修改是未经授权的,它就使用一个合法的源文件的备份来提到被修改的文件。通常情况下,一个Windows文件保护事件发生的唯一警告是一个快速告警信息或者一个被写到事件日志中的事件。
Windows资源保护首先尽力来防止对系统资源的修改。管理员不能修改系统资源。默认情况下,只有Windows信任的安装安全主体(security principal)才能使用Windows模块安装服务来进行修改。
这儿需要提出的一个重大警告是,假若你个系统管理员或一个提升权限的用户完全掌握了一个受保护资源,并给了它们自己完全控制的权限,它们将能够修改,甚至是删除这些受保护的资源。和Windows文件保护WFP和系统文件保护SFP不同的是,Windows资源保护不会自动的使用一个合法的备份拷贝来替代受保护的文件。Windows资源保护WRP只替代对重起Windows比较关键的系统文件。
为了使Windows资源保护替代所有被修改的受保护资源(这在排障情况下是一个不错的想法),运行以下命令:sfc/scan now。如果你需要一个受保护文件的原始拷贝,你可能必须提供Vista安装文件。
10、Windows防火墙默认情况下不阻挡出站连接?
除了别的功能,Vista还增加了出站连接阻挡功能到Windows防火墙中。不过批评家们迅速指出,Vista默认情况下不阻挡任何出站连接,但是这种说法是不对的。默认情况下,在好几种场合Vista会阻挡出站通信。
Vista防火墙阻挡了一些源自许多默认服务的多余的或不需要的通信。它有82个默认过滤器来防止34个服务出站通信,而不是通过定义端口和IP地址范围来限制。举个例子来说,P2P分组服务被拒绝外出访问任何端口,而不仅仅是它默认的3587端口。另外还有很多其他的默认出站阻止,其中包括那些针对Windows Defender、Session Isolation和SNMP Trap通信等。
不幸的是,没有图形化的界面来配置或查看这些默认的过滤器。不过只想查看的话,这些默认的过滤器被列在注册表中的以下位置:
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
RestrictedServices\static\system
目前,COM脚本工具是其主要的管理界面。
Windows Vista实际上具有比人们想到的更多默认的保护。只有经过合适的配置,你才能将Vista的安全性达到你要求的程度。[原文]