IE保护模式的益处
MS09-019中修复的漏洞CVE-2009-1140涉及通过UNC路径(例如:\127.0.0.1\c$)导航到本地文件。这种迂回的导航方式对于执行本地内容是必要的,使其在启用了脚本的Internet Explorer Internet区域中运行。
事实证明,启用保护模式功能的IE版本可以防范此攻击。原因是启用保护模式后,IE以较低权限运行,并失去对许多资源的访问权限。这包括访问环回SMB共享的能力。由于此攻击要求用户能够通过环回SMB共享访问index.dat,这意味着攻击无法进行。当然,需要注意的是,禁用保护模式IE或禁用UAC的机器仍然容易受到此攻击。
通常,当我们审视保护模式IE的益处时,我们关注其对浏览器进程中运行的本机代码的影响。在这种情况下,我们可以看到保护模式缓解措施的一个常被忽视的好处。具体来说,保护模式IE中对资源访问的限制可以阻止基于脚本的攻击。
保护模式可以在Internet Explorer的“Internet选项”对话框中配置。要配置保护模式,请单击“安全”选项卡,选择一个Web内容区域,然后更改“启用保护模式”复选框。默认情况下,Internet、Intranet和受限站点区域启用了保护模式。要验证Internet Explorer是否在保护模式下运行,请查看Internet Explorer状态栏中显示的Web内容区域旁边的“保护模式:开”字样。
要启用保护模式,您还需要确保启用了Vista UAC,如这里所述:http://support.microsoft.com/kb/969417。默认情况下,UAC是启用的。
有关保护模式IE的更多信息,请访问:http://msdn.microsoft.com/en-us/library/bb250462.aspx
额外的网络协议锁定缓解措施
我们确定了一个利用Internet Explorer网络协议锁定的额外缓解措施。Internet Explorer可以配置为锁定来自特定网络协议的HTML内容。此功能允许管理员将本地计算机区域锁定的相同限制(http://technet.microsoft.com/en-us/library/cc782928.aspx)应用于任何安全区域中任何任意协议上的任何内容。
警告:如果错误使用注册表编辑器,可能会导致严重问题,可能需要重新安装操作系统。Microsoft无法保证您能解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器需自担风险。
要锁定“file”协议,请将以下文本粘贴到文本编辑器(如记事本)中。然后,使用.reg文件扩展名保存文件。
|
|
您可以通过双击此.reg文件将其应用于单个系统。您还可以使用组策略跨域应用它。有关组策略的更多信息,请访问以下Microsoft网站:
- 组策略集合
- 什么是组策略对象编辑器
- 核心组策略工具和设置
缓解措施的影响:来自Internet/本地Intranet/受限区域中UNC路径的HTML内容将不再自动运行脚本或ActiveX控件。
如何撤销缓解措施:要撤销此缓解措施,请将以下文本粘贴到文本编辑器(如记事本)中。然后,使用.reg文件扩展名保存文件。
|
|
您可以通过双击此.reg文件将其应用于单个系统。您还可以使用组策略跨域应用它。
- David Ross, MSRC Engineering 发布内容“按原样”提供,不提供任何担保,也不授予任何权利。