轻松配置IE浏览器安全

圣手居士

　　没有人可以否认，作为一款出色的并被广泛使用的浏览器，IE同时受到了如此多的批评和赞扬。当你坐在电脑前使用IE的时候，你会习惯于它的简单易用和强大的整合功能，但同时你也会受到针对IE漏洞设计的恶意脚本和病毒的侵扰。正所谓鱼和熊掌不可兼得，在微软努力修补漏洞的同时，我们又能做些什么呢？
　　为了方便大家更加熟悉和了解如何更好的使用IE，我以一个干净的，未经任何保护的IE为开始，通过配置逐渐地将它变得安全，更为重要的是，文章不光介绍如何配置，更将一些常见问题的原理介绍给大家，这样在遇到相似的问题时，我们能更加从容的应对。GIUU
为了塑造一个纯净的IE，我借助VMware这个工具来有效地实现我的环境，系统为windows XP professional with sp1。这时IE的版本为6.0.2800.1106，下面我们就开始强化浏览器的旅程。
　　首先当然是修补漏洞。这两天针对IE不利的消息可真不少，一个ADODB.Stream就够乱的，还加上几个沉睡6年的漏洞被披露，好在微软很聪明，ADODB.Stream的补丁已经推出了，估计剩下的也很快也会被补上，不过有一点我们可以肯定，那就是微软的网站要常去。

圣手居士

　　其次是IE中internet高级选项的配置，这部分一般不需要做什么特别大的修改
只有几点需要提示：
　　若在安装VB后总是出现纠正页面错误提示，请在internet选项--高级中选中“禁止脚本调试”并去掉选择“显示每个脚本错误的通知”
　　若您为windows2003 server的用户，请在internet选项—高级中的“播放网页中的动画”以正常显示GIF文件。

圣手居士

接下来就该轮到IE设置中的重头戏：安全设置了。在开始之前，我们需要简单了解几种控件和脚本，以便于更好的理解安全配置中的含义。
ActiveX：ActiveX组件实际上是指一些可执行的代码或一个程序，比如一个.EXE、.DLL或.OCX文件，通过ActiveX技术，程序员就能够将这些可复用的软件组装到应用程序或者服务程序中去，嵌入到网页中，随网页传送到客户的浏览器上，并在客户端执行。通过编程，ActiveX控件可以与Web浏览器交互或与客户交互。
脚本：英文为Script，实际上脚本就是程序，一般都是有应用程序提供的编程语言。应用程序包括浏览器(javascript、VBScript)、多媒体创作工具，应用程序的宏和创作系统的批处理语言也可以归入脚本之类。
为了更直观地让大家看到安全设置在网站中浏览起到的重要作用，我禁用了浏览器的所有功能，然后登录一些非常危险的网站（这些网站中不良信息将不会出现在截图中），通过逐渐打开一些功能使大家清楚地看到几乎所有我们能够遇到的现象和问题。

圣手居士

现象一：自动弹出其他地址连接。

圣手居士

　　我们最为常见的问题，造成这个问题出现的位置在活动脚本
　　事实上，弹出新的页面只是利用这个功能的一种方式，许多的活动脚本其实都运行在同一浏览页面内，尽管许多网站（甚至windows update界面）都需要多次得活动脚本的支持才能做到完整地打开网页，但由于此项功能结合ActiveX控件漏洞造成绝大多数攻击行为，大家还是应该谨慎的使用此选项。所以，在你对站点有充分的信任之前，请保持你禁止这个功能！

圣手居士

现象二：询问安装某项软件。

圣手居士

现象三：某些程序出现在了进程当中。

圣手居士

这两个问题一样常见，造成此问题的位置在ActiveX控件和插件设置部分。
事实上，就算是常常出现的广告都需要ActiveX的支持，这些广告为某一格式（比如flash格式），通过在线打开来正常显示。而像第二幅图中出现的现象是“下载ActiveX控件”和“运行ActiveX控件和插件”这两项功能共同作用的结果。然而我们要清楚的是某些恶意程序或者病毒并没有这么无害，他们一旦得到了执行的权限就会肆无忌惮地破坏你的系统，所以我的建议是：
对标记为可安全执行脚本的ActiveX 控件执行脚本：禁用
对没有标记为可安全执行脚本的ActiveX 控件进行初始化执行脚本：禁用
下载未签名的ActiveX控件：禁用
下载已签名的ActiveX控件：禁用
运行ActiveX控件和插件：提示
这样可以保证一些你想要的插件，例如flash player可以正常的出现在提示中，而前面的几个选项则是恶意程序获得执行权限之前留在你硬盘上的帮凶，不要被“已签名”这种词汇蒙蔽，恶意程序可以轻易地伪装成“已签名”而骗过浏览器，所以除非网站指名需要你开启下载控件，例如银行的在线支付系统的客户端，否则请不要使他们处在开启状态。

圣手居士

那么如何解决总是弹出询问安装软件的对话框呢？很简单，若我们需要这个软件，那么只要我们安装了它，下次它就不会再弹出提示了，如果我们对出品商的所有软件都信任（比如MS）那我们可以勾中“总是信任”复选框，而对于我们不需要的软件，采取以下三步就可以避免它们的出现。
第一步：点击证书

圣手居士

第二步：选择安装证书

圣手居士

第三步：安装证书到不信任域

圣手居士

现象四：浏览器被改得面目全非、注册表被破坏

圣手居士

避开了ActiveX成功下载可执行文件

圣手居士

造成此问题的位置在java小程序脚本
Java小程序脚本和ActiveX的地位可以说是平等的，Java脚本可以被用来做小到更改一下浏览器的背景，大到格式化你的硬盘，有些人认为java脚本不能做到像ActiveX那样下载程序而认为危害比ActiveX要小，那就大错特错了。事实上，使用java脚本对注册表进行修改比利用ActiveX方便得多，而且利用java脚本进行的跨站脚本攻击（CSS或者XSS）可以轻易截获你的个人信息，盗取个人账户。更有甚者，在禁用了活动脚本的情况下，使用java脚本在关闭浏览器的时候打开新的页面并下载得到伪装的可执行程序！
由于多数使用java脚本的网站多将其用于特效显示或者制作投票窗口这种小程序上，所以关闭它并不会对浏览绝大多数网站造成太大影响。同样地，鉴于它的危害，在你充分信任网站之前，请务必禁用这个选项。

圣手居士

现象五：浏览器自动跳转至其他页面

圣手居士

造成此问题的位置在
这是一个在论坛中常用到的功能，用来提示和防止刷屏，当然这个功能在任何一个页面也都可以用到。虽然代码很简单<META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://website">然而，即使是这样简单的功能，也会被攻击者利用成为类似活动脚本似的攻击方式，所以……不用我说了，除非相信这个页面，否则禁用。顺便说一下，如果是类似论坛cookie提示中使用的meta refresh可以通过手动刷新代替。

圣手居士

最后需要提醒大家注意的是曾经有一个攻击建立在“通过与访问数据资源”这个选项上，利用MSXML的强大功能夺取权限，不过这个漏洞已经于早些时候被MS发出的补丁堵上了。真不知道安全设置中的哪个选项又会成为攻击着手的目标，反正update是要常去的。

圣手居士

综上所述，我们已经了解了几乎所有利用浏览器弱点和程序特性针对浏览器发生的攻击了。很显然，如果我们想获得绝对的安全，那么同时我们也将丧失几乎所有的正常功能。所以在上网浏览的时候，我们需要一部分网站成为我们可以信赖的网站，比如搜狐、网易等等，我们大可以将这些网站置入“受信任的站点”列表中，给与它们更高的权限，虽然这些网站会带来令我们反感的商业插件和广告，但我们可以通过简单的手段屏蔽。而在某些情况下，我们就特别需要提高警惕，尤其是当你在浏览一些属于危险内容（尤其是成人内容）的网站、和在公共聊天室时，就需要格外的提高警惕了，在这些场合下，一些经过伪装的文件通过你的下载和安装会使我们针对浏览器的一切配置形同废纸一张。最后我还要特别提醒那些沉溺于QQ或网游的人们，由于这些虚拟世界也存在着巨大的利润，针对它们的攻击多种多样，并且攻击更多的利用了这些软件本身的诸多漏洞，所以在浏览这些领域的网站的时候，我也强烈建议这些玩家们使用更为谨慎的浏览策略，这样才能保证自己的利益不被侵害。
我的建议安全设置策略是：
对于可信赖的网站：直接将其放入信赖站点中，并允许浏览器使用受信任的站点策略。
对于危险站点：将上述更改施加于“中”级安全配置中即可。
最后还要提醒那些习惯使用第三方修改器（IE助手、超级兔仔）的朋友们，由于这些软件并没有通过微软官方的测试，所以它们对浏览器和注册表键值直接进行修改的行为可能导致不可预知的错误，并且由于它们不能做到治本，所以针对有伪装和传播特性的恶意程序和病毒不能做到完全清除，这会导致系统继续受到侵害而用户没有发觉，这样损失更大。所以我提醒大家慎用第三方修改器，科学和完整的解决将在第二篇中为大家详细介绍。

圣手居士

中篇：消除潜在威胁
通过阅读上篇文章，你是否对自己的浏览器抱有更大信心了呢？我相信经过这样一番强化后，日常浏览接触到的内容将不会再对你的浏览器构成什么威胁了。然而，对于那些常常将浏览器置身于危险环境中的朋友们，你们将不可避免地遭到恶意代码的侵袭，这时请不要慌张，正确的处理将使你们化险为夷。
首先我们来说说潜在威胁：通常情况下，当你浏览一个含有恶意脚本的网站时，你会碰到不止一种恶意脚本，而是多个。它们分工明确：一部分负责修改注册表；一部分负责将自己添加到进程和启动程序。这一切有可能发生在一分钟之内，但也有可能发生在你重起电脑后。当然，这一切很有可能没有完成就因为其它原因终止了，而我们要做的就是养成一些好的习惯，这样即使我们受到了恶意脚本的侵扰，良好的习惯也可以减轻甚至破坏它们的攻击过程。

圣手居士

其实所谓消除潜在威胁无非是定期清除一下internet临时文件夹、历史纪录、自动完成和cookie，但有两处我认为一些符合我描述条件的朋友需要注意：若你是使用页面模式进行登录的管理员或者你的邮箱非常的重要，例如论坛版主或邮件服务，如果黑客想窃取你们的权限搞破坏或窃取个人资料，那么机器中存留的cookie会成为黑客得逞的助手之一，所以如果有必要，可以将需要输入用户名和密码的页面放入编辑cookie策略中