none
使用访问策略提高新IE(7.0~10)安全性的若干问题 RRS feed

  • 问题

  • 本人用的是IE9@NT6.x.

    从IE7开始就引入了"代理人(Broker Process)"概念, 通过ieinstal和ieuser来处理权限请求.

    但是, 新的IE也还是有漏洞出现, 即使及时更新补丁, 谁也无法保证某版本的IE绝对安全, 所以, 我想通过"软件限制策略"和ACL策略来进一步提高IE的安全性.

    IE从7.0开始就提升至必须管理员权限才能使用, 因此我有以下疑问:

    1, 浏览网页时, IE 7.0~10 的管理权限是必要的吗? 哪些行为需要高权限?

    2, 除了iexplore.exe外, 同目录下其他的 .exe 能否设为"基本用户", 这样会不会影响其功能实现? 这样做对提高安全有没有帮助?

    3, iediagcmd, ieinstal, ielowutil, ieuser, ExtExport 分别有什么作用?

    4, 如何用ACL进一步提高IE的安全性?

    谢谢!



    2012年10月14日 10:37

全部回复

  • Hi,

    通过Software Restirction 可能很难实现对IE的使用控制,我看了下 你可能是想设置  BASIC USER "基本用户" 这个security level  (普通用户能进行IE访问,但需要ADMIN权限进行操作的时候则会被BLOCK)   但通过其他帖子看起来 这样设置好像并不会work http://social.technet.microsoft.com/Forums/da-DK/w7itprosecurity/thread/cbaf8c12-c506-45a0-81c6-92505058208e  你需要测试一下

    IE的管理员权限不是必须的 但当你需要安装一些ACTIVEX,ADDON,计算机证书时,你没有ADMIN权限是完成不了的。

    对于其他的DLL,EXE我觉得没有必要去做限制  你设置POLICY的时候可以设整个IE目录下的; 修改ACL的话是可能会造成问题的 不必要


    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    2012年10月18日 9:35
  • 您好!

    谢谢关注!

    您提供的链接我看了, 恰好我昨晚切换至Win7系统测试策略规则时, 也同样发现Windows7的"基本用户"不能正常工作, 会直接被阻止运行. 发帖者说要把"基本用户"设为系统默认级别才行. 而我平时常用的Win2008(non-R2)在默认设置下一切正常.

    据我了解, IE7之后, 低权限的行为直接由iexplore.exe执行, 更高的权限则交给ieinstal, ielowutil, ieuser. 理论上说如果iexplore.exe是"基本用户"的话, 其子进程都继承这一权限, 网页木马难以发作. 我是担心万一新的IE漏洞被恶意利用, 所以想设置最后的防线.

    经测试, iexplore.exe 必须管理员权限才能运行, 而IE目录下其它exe文件平时不启动, 所以暂时没有条件验证在"基本用户"下能否正常工作. 

    我先前是设置了iexplore.exe为"不受限的", IE目录下其它exe均为"基本用户", 似乎能正常浏览网页. 我不会限制DLL的, 因为会大幅降低性能的.

    IE目录的ACL, 我把Admin和Users组设为只能读取和执行程序, 不能修改和写入, 需要更新时才恢复. 相信有点作用吧?

    • 已编辑 反馈者 2012年10月18日 13:01
    2012年10月18日 12:20
  • Hi,

    1.默认设置就是啥都不配 basic user不是默认设置
    2.是的 这就是你先前提到的 代理人 技术  需要更高的权限的时候在另外一个IE进程运行
    3.因为你配置了basic  user 所以才造成了 “必须管理员"  而这里个 basic user 经过测试确实会有问题 所以不建议配置

    4.ACL你其实可以去看下 IE FOLDER的设置   users组已经是 读取 和 执行了 而管理员是full control

    感染病毒 木马其实不是对于IE程序本身具有大权限造成的  很多情况是用户直接信任了一些不安全的网站 被加载恶意的add-on

    我建议您升级到IE8;每个月打好我们的IE积累补丁;对IE的security setting做好严格的配置;并保证在客户端有一款安全软件作监控 比如微软的security essential 等等

    我理解你对于IE的顾虑 就我的理解 软件层面的防护 只是被动的防御性的;人为的认识 操作 才是最根本的 
    有很多情况用户在被提示 这可能来自一个不安全的地址 是否要继续浏览或者安转的时候 无视了这些信息 而造成的


    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    2012年10月20日 3:39
  • 您好!

    自从XP升级到2008之后, 我们就使用IE9.0了. 我不是经常打补丁的, 目前只Updated两次 :)

    请问, IE10.0会支持Vista和2008么?

    用户的安全意识的确是安全的短板, 大部分用户并不具备很多的安全知识, 这恐怕是不容易改变的现实情况. 我的体会是, 对潜在威胁的提示都会中止浏览, 但对跳转至非加密网页的提示通常都会忽略并继续, 我不知道有什么风险, 不继续的话似乎不能浏览网页了.

    Chrome和Opera都会把临时文件拆解并保存为无后缀文件, 这样可以提高浏览器的安全性, IE采用这种方法可行吗?

    2012年10月28日 5:56
  • Hi,

    IE10是不支持WIN7之前版本的

    IE安全性历来被重视 所以定期我们都会有积累补丁放出 对各类漏洞及时修复 相当重要
    我不明白您说的是否是访问HTTPS网站时的提示  这就和证书有关了
    至于其他浏览器对TEMP文件的拆解 这涉及到IE的产品设计了 不是我们作为用户可以去决定的了  我建议您了解下IE的 protected mode 因为没有找到最新的TECH文档 只有这个IE7版本的说明:http://www.microsoft.com/china/msdn/library/webservices/WebApp/ProtectedMode.mspx?mfr=true


    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    2012年10月28日 8:24