Click to edit Title Slide,Click to edit Master text styles,Second level,Third level,议程,面临的安全问题,解决方法,保护模式,的目标、基础和结构,安全、兼容及使用方便的平衡,部署使用中的常见问题,如何解决应用中的问题,没有终点的旅程,面临的安全问题,恶意软件安装,系统被毁,重至无法启动,数据丢失,密码被盗,窗口满天飞,不敢浏览,共享计算机更难控制,面临的安全问题,演示：,IE 6,浏览不良网,解决方法,建立一个非管理员帐号,用该帐号进行浏览,文件难以被正常帐号使用,启动浏览器甚不方便,点击在其他软件中的连接仍可启动浏览器,运行于正常帐号,工作流程被迫中断,浏览器与系统其他部件的通讯可被不良程式用作突破口,仍运行在一般级别,溢出程序可对其他进程进行粉碎性攻击,解决方法,虚拟化浏览器及其子进程的所有文件、注册表的存访操作,并隔离其对系统其他部件的通讯,文件更加难以被正常帐号使用,启动浏览器甚不方便,点击在其他软件中的连接仍可启动浏览器,工作流程被迫中断,浏览器与系统其他部件的通讯不可能完全切断,性能不好,解决方法,使用虚拟机,(Virtual PC),性能差,文件难以被正常帐号使用,启动浏览器甚不方便,点击在其他软件中的连接仍可启动浏览器,运行于正常帐号,工作流程被迫中断,解决方法,用很少人使用的浏览器,黑客无兴趣光顾,感觉上安全,功能不全,用户一多,安全问题随之而来,火狐,7,月,25,日一天公布,9,个安全漏洞,http:/www.kb.cert.org/vuls/byid?searchview&query=firefox_1505,解决方法,阻止正常写和暗地升级,兼容性改善,工作流程改善,不防止信息泄漏,与系统其他部件有限制性的通讯，可能会引起安全问题,解决方法,保护模式（微软的解决方案）,只能写入有限文件及注册表区,进程的权限有限,不能与较高权限的进程自由通讯,共享数据,未经用户同意,不可启动较高权限的进程,兼容性改善,工作流程改善,不防止信息泄漏,Dan Kaminsky:,我希望保护模式一直打开,即使是,UAC,关闭时。保护模式是一个很好的功能。,Dan Kaminsky,在,DEFCON,上演讲,深受欢迎,大厅溢出。,保护模式,的目标、基础和结构,目标,用户控制软件的安装,下载及设置的改变,恶意软件不可暗地发动功击,插件无需或极少需要改变,用户接口尽量少的改变,保护模式,的目标、基础和结构,基础,UAC(,用户帐户控制,又称,LUA),许多进程去掉了管理员令牌中的管理员特权,行使管理员特权时,用户得到提示,程序溢出时,系统得到保护,保护模式,的目标、基础和结构,基础,MIC(,强制完整性,控制,),没有,MIC,，就没有保护模式,IE,安全对象赋与完整性级别,进程级别由其令牌级别所定,进程只能写入小于等于其级别的区域,系统文件,注册表区为高级区域,用户配置文件夹、注册表区为中级区域,与保护模式有关的还有同步对象等的级别,ICACLS.EXE,保护模式,的目标、基础和结构,基础,UIPI(,用户界面特权隔离,),完整性级别低的进程，不能向完整性级别高的进程发送,Window,消息,低级进程不能对高级进程安装,Hook,主要用于防止著名的,粉碎窗口,(Shatter),攻击,DDE,用户注意了,!,关掉,UIPI,（仅用于调试）,HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,EnableUIPI=0,Protected,Mode,IE,Install an ActiveX control,Change settings,Save a picture,Integrity Control,Broker Process,Redirected settings&files,Compat Redirector,Cache,Web content,Admin-Rights Access,User-Rights Access,Temp Internet Files,HKLM,HKCR,Program Files,HKCU,My Documents,Startup Folder,Untrusted files&settings,保护模式,的目标、基础和结构,Broker Process,安全、兼容及使用方便的平衡,三者之间哪个最重要,?,三者之间哪个最昂贵？,演示,XPS,安全、兼容及使用方便的平衡,对文件和注册表提供虚拟服务,并非所有区域都被虚拟,如,IE,设置及系统区,提供插件存入中级区域功能,低级进程不,能,弹出,提示,窗口,为什么,?,插件需要启动中级进程并与之联系,提供中级代理进程,升级必须有提示,升级免提示表,安全、兼容及使用方便的平衡,对,ActiveX,的安装提供高级代理,全新可选的标准用户安装,ActiveX,服务器,(IT,专业人士请留意,),其他程序安装由,UAC,的,AIS,提供服务,较高级的,COM,服务器可在清单中指定允许低级进程对其进行,绑定,(BIND),允许指定的窗口消息,(Windows Message),来自于低级进程,安全、兼容及使用方便的平衡,对,Drag&Drop,（拖放）格式与目的地进行控制,提供目的程序表,危险插件阻止表,保护模式的运行由,URL,的区域控制,部署使用中的常见问题,插件写至非允许区域,插件的,卸载,对系统区、用户区的写操作,向较高级进程送窗口消息,与较高级进程共享内存区和,MUTEX,较高级进程存访安全模式,Cookie,插件类型,:,病毒扫描器、游戏插件、工具栏、,IME,如何解决应用中的问题,用户,可信区域,(Trusted Sites),暂时关掉保护模式,运行高级,IE,公司管理员,免提示表,HKLMSOFTWAREMICROSOFTInternet ExplorerLow RightsElevationPolicy,拖放策略表,HKLMSOFTWAREMICROSOFTInternet ExplorerLow RightsDragDrop,对,Intranet,关掉保护模式,App Compat Toolkit,如何解决应用中的问题,软件开发商,免提示表,拖放策略表,在低级运行,App Compat Toolkit,Filemon,Regmon,关掉,UIPI(,用户界面特权隔离,),提供卸装程序,避免使用,RUNDLL32,如何解决应用中的问题,软件开发商,新的程序接口,(New APIs),IEShowSaveFileDialog,IECancelSaveFile,IESaveFile,SHGetKnownFolderPath(FOLDERID_LocalAppDataLow),IEGetWriteableHKCU,如何解决应用中的问题,软件开发商,新的程序接口,(New APIs),IEIsProtectedModeProcess,IEIsProtectModeURL,IELaunchURL,ChangeWindowsFilterMessage,演示,IE 7,保护模式,IE 7,浏览不良网站,议程,面临的安全问题,解决方法,保护模式,的目标、基础和结构,安全、兼容及使用方便的平衡,部署使用中的常见问题,如何解决应用中的问题,没有终点的旅程,Internet Explorer Blog,http:/ Explorer Feedback Alias,Internet Explorer Developer Center,http:/ Explorer 7 App Compat Toolkit,http:/ Explorer 7 External Bug Database,https:/ Chats and Webcasts,http:/ Learning and Certification,http:/ Community Sites,http:/ Groups,http:/