让管理员帐户自动获得一个标准用户的访问令牌
以减少WindowsVista系统的受攻击面
二)MIC强制完整性控制)这是WindowsVista安全架构中新增加的一种检测机制
大家知道
Windows
XP安全体系里
安全子系统把进程的访问令牌和资源的访问控制列表进行匹配比较
以确认该进程是否具有访问该资源的权限
而在WindowsVista下
除了遵守传统的安全控制机制外
还必须检查进程和资源对象的完整性级别
完整性级别低的进程
不能写入完整性级别高的资源对象
三)UIPI用户界面特权隔离)完整性级别低的进程
不能向完整性级别高的进程发送?Window消息
完整性级别的深远影响在WindowsVista底下
系统不光是查看资源对象的ACL
还要查看进程和资源对象各自的完整性级别IntegrityLevel)
就算进程满足资源对象的ACL要求
如果进程的完整性级别更低
那么该进程还是无法拥有资源对象的写入权限
而运行在保护模式下的IE浏览器
IE进程的完整性级别是Low
这可以从它的访问令牌里得知
借助ProcessExplorer查看IE进程属性的&ldquo
安全&rdquo
标签页
可以看到其访问令牌里有一个&ldquo
MandatoryLabel\LowMandatoryLevel&rdquo
的SID相应的标志位win732位操作系统是&ldquo
Integrity&rdquo
)
这表明IE进程的完整性级别是&ldquo
Low&rdquo
独立的四套班子读者朋友可能会问
既然原来
对于保护模式下的
)IE临时文件
%userprofile%\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Low
)?系统临时目录
%userprofile%\AppData\Local\Temp\Low
)Cookies
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\Low
)??历史
%userprofile%\AppData\Local\Microsoft\Windows\History\Low这些目录的完整性级别都是&ldquo
Low&rdquo
以便IE进程能够正常访问
注意值得一提的是
收藏夹并没有保护模式?IE的独立版本
IE保护模式的文件虚拟重定向?WindowsVista为了能够让绝大多数加载项都能在IE浏览器上正常运行
IE保护模式采用一种虚拟重定向技术
原来IE保护模式在以下目录中
创建一个和[用户配置文件夹]完全一致的目录层次[拥有&ldquo
Low&rdquo
的完整性级别]
%userprofile%\AppData