Med varje release av Windows, finns det också en massa nya säkerhetsfunktioner för att åtgärda problem med tidigare versioner av Windows! Det är därför User Account Control ingår i Windows Vista och 7 för att åtgärda problem med Windows XP. Varje utgåva av Internet Explorer som har haft någon form av säkerhetsuppdateringen ingår med det. I IE 7, Skyddat Läge infördes för att förhindra att skadlig kod körs i IE från att ändra eller få åtkomst till system inställningar eller personliga filer. I IE 9, SmartScreen-Filtret har införts för att förebygga socialt konstruerad för attacker. IE 10 är inte annorlunda!
Enhanced Protected Mode är en ny funktion i Internet Explorer 10 som i princip lägger på fler funktioner till Skyddat Läge. Innan vi kommer in på detaljer, här är en snabb översikt av de viktigaste tillägg som ingår i det Fördjupade Skyddat Läge i IE 10:
– 64-bitars processer – När EPM är aktiverat i IE 10, alla processer kommer att köra 64-bitars processer. Det är en del av minnet skydd funktionerna i internet explorer 10 som kan utnyttja den större 64-bitars adressrymd mer effektivt, vilket gör systemet säkrare.
– Skydda den personliga information – Med EPM, DVS 10 är begränsad från att få tillgång till personlig information på platser som Dokument, etc. Till exempel, när du bifogar en fil till ett e-postmeddelande i IE 10 med EPM aktiverad, DVS kommer endast att kunna komma åt filen tillfälligt när du klickar på den Öppna knappen i filöverföring dialogen. Så är inte fallet utan EPM.
– Skydda Intranät – Ett par förändringar i IE 10 nu förhindra DVS fliken processer från att komma åt domän referenser, förhindra flikar från den löpande lokala webbservrar och förhindrar flikar från att ansluta till servrar för intranät.
I Windows 8 finns det två versioner av Internet Explorer 10: Metro style IE och desktop DVS. Dessa är två helt olika djur! För att komma igång, Metro DVS alltid kör med Förbättrad Skyddat Läge är aktiverat. Desktop DVS inte har EPM aktiverat som standard. Varför är detta exakt? Jag förklarar nedan.
Hur Enhanced Protected Mode fungerar i IE
För att förstå hur EPM verkligen fungerar, du behöver för att förstå arkitekturen bakom IE 10. IE 10 har vad som kallas multi-process-arkitektur. I princip innebär detta att det finns nivåer. Den första nivån av processer i Ram eller Manager processer. Detta är din IE 10 fönster. I det fönstret du har flikar eller innehåll processer. Varje webbsida som utförts i IE 10 är gjort så i en av de flik eller innehåll processer. Dessutom, alla ActiveX-kontroller och verktygsfält också köra på fliken eller innehåll processer.
I Windows 8 med båda versionerna av IE, ram eller chef processer ALLTID köras med 64-bitars processer. I Metro-versionen av IE 10, innehållet eller fliken processer också köras med 64-bitars processer. Men i den stationära versionen av IE 10, innehållet eller fliken processer som kör 32-bitars processer. Varför är detta, frågar du? Varför gör den stationära versionen av IE 10 har en manager process som körs i 64-bitars, men de flikar som alla körs i 32-bitars?
Detta eftersom det finns mycket få plugins eller tillägg som har stöd för 64-bitars vid denna tid. Detta är anledningen till att Metro IE inte stödjer några plugins eller verktygsfält som helst. Om du vill installera ett verktygsfält eller kör ett visst plugin, kommer du att byta till den stationära versionen. Eftersom alla flikar kör 32-bitars processer, allt är kompatibla och du kan installera tillägg och plugins utan problem.
Om du aktiverar Utökad Skyddat läge i den stationära versionen av IE 10, alla webbsidor som läses in i Zonen Internet eller Zonen kommer att börja använda 64-bitars processer. Observera att de andra zonerna kommer fortfarande att använda 64-bitars processer, men de kommer inte att ha EPM aktiverad. I tillägg till förmån för 64-bitars processer, den andra fördelen är att aktivera EPM är att den fliken eller innehåll processer är “isolerade” i en AppContainer. Vad sjutton är en AppContainer?
AppContainers i IE 10
Med start i Windows Vista, det var tillskottet av integritet nivåer som tilldelats processer (låg, medium, hög). De nivåer som fastställs vilka delar av system och register processen skulle kunna få tillgång till. Även om en IE tab körs i en Låg integrity level, det hade fortfarande läsa tillgång till hela disken i tidigare versioner av Windows och IE. Med Windows 8 och AppContainer, DVS är blockerad från att läsa och skriva att de flesta av systemet.
Observera att AppContainer är endast en funktion i Windows 8. Det innebär att när IE 10 kommer ut för Windows 7, kommer det bara att aktivera 64-bitars fliken processer för att köra om EPM är aktiverad. Detta innebär också att EPM gör absolut ingenting på en dator med Windows 7 32-bitars system, eftersom en 32-bitars system inte har stöd för 64-bitars flikar eller AppContainer.
Med Tunnelbana IE 10, alla flikar köra i 64-bitars och med EPM aktiverad, vilket innebär att de kör inne AppContainer. För stationära IE 10, flikar körs i 32-bitars låg integritet läge som standard och därför inte körs i AppContainer. För att få den extra trygghet du måste aktivera EPM i desktop-läge, som skulle gå över flikarna för att 64-bitars processer och aktivera AppContainer.
Det är också värt att notera att alla Windows Store apps (Metro apps) kör inne i den här AppContainer objekt.
Fördelarna med AppContainer
Så vad är så bra om AppContainer? Det finns i princip tre viktiga fördelar med att använda AppContainer i IE 10:
1. Inkommande Anslutningar Blockeras – Det första nätverket begränsningen är att ett EPM-fliken kan inte acceptera inkommande nätverksanslutningar. Vissa tillägg har denna förmåga att acceptera fjärranslutningar, som skulle tillåta att någon på distans kan ansluta och komma åt ditt system. Detta är inte längre möjligt med EPM.
2. Loopback-Blockerat – En flik som körs inuti AppContainer inte kan ansluta till ett lokalt med service utanför deras egen behållare. Detta innebär att om du har en IIS-server som körs på din maskin, kan du faktiskt kommer inte att kunna ansluta till den från inuti en EPM-fliken. Om du försöker att gå till http://127.0.0.1 från en IE 10 flik med EPM aktiverat, kommer du att få en den Här sidan kan inte visas fel.
Men kom ihåg, att EPM fungerar bara på flikar som finns på Internet och Begränsade Platser som jag nämnde ovan. http://127.0.0.1 anses vara en Internet-zon URL och det är därför det är blockerade. Men om du skulle skriva det värdnamn som http://localhostdet skulle vara en Lokal Intranät url och därför inte blockeras.
3. Intranät Resurser Blockeras – till Sist, denna begränsningar förhindrar Internet-sidor från att få åtkomst till intranät resurser, som betjänar upp bilder från intranät resurser, etc. Denna funktion lägger till så mycket säkerhet att du faktiskt kommer att blockeras från att gå till en router-adress som http://192.168.1.254 med hjälp av ett EPM-fliken. Detta beror på att webbläsare överväga att ta ett Zonen Internet på adress och EPM kickar in. Du måste lägga till URL: en till i zonen Tillförlitliga Platser (som inte har EPM aktiverad) och sedan kommer du att kunna ladda det.
Jag har provat detta på min dator hemma och det var spärrat, men fick ett meddelande som säger att Privata nätverk tillgång är släckt för den här webbplatsen. Jag fick möjlighet att aktivera den och sedan kunde jag visa URL:
Det är trevligt att du får detta meddelande och du har möjlighet att göra det möjligt snarare än att en Sida inte kan visas fel. Som du kan se, så EPM verkligen gör IE 10 mycket mer säker. Självklart, du har att se din användning av add-ons för att avgöra om du kan göra det möjligt för den stationära versionen av IE.
Vad är trevligt om EPM är att även om du har det aktiverat på den stationära versionen av IE 10 och du kör in på en webbplats som kräver att en ActiveX-kontroll som inte EPM-kompatibla, kommer du att ges möjlighet att åter ladda sidan i en särskild låg integritet 32-bitars tab istället för den normala 64-bitars fliken kör i AppContainer. Några tillägg som inte EPM-kompatibel kommer att vara inaktiverad.
Aktivera Förbättra Skyddat Läge i Skrivbordet IE 10
Slutligen vill jag bara nämna hur du faktiskt skulle slå på EPM i desktop DVS 10 om du vill. Klicka på kugghjulsikonen högst upp till höger, därefter Internet-Alternativ, Avancerat fliken och bläddra ner under Säkerhet.
Slutsats
Det är en hel del tekniska detaljer att hantera, men förhoppningsvis kommer det ger dig en uppfattning om vad den inställningen betyder. Du kommer förmodligen se en massa online guide som visar hur du aktiverar eller inaktiverar Enhanced Protected Mode, men du bör verkligen förstår vad det innebär och hur det fungerar i både version av IE i Windows 8. Om du har några frågor, tveka inte att skriva en kommentar. Njut!