关于使用组策略的IE安全防御方案的补充【作者:气流】

对于组策略的“基本用户”的开启和设置,可以参考A版的“关于IE无软件支持的安全防御方案的
演示
”,这里就不说明了。

而这里要补充的是:
这里IE安全策略所实现的实际效果~~

若以“基本用户”权限启动浏览器,浏览器是无法对系统的关键目录和关键注册表进行写操作的
,基本上就是只读。也就是说,这是对浏览器的比较严格的FD和RD限制。

而更加可贵的是,这种权限是可以继承到子进程之上的。比方说,如果浏览器下载并执行一个病毒,那么这个病毒也不能对你的系统做出有害的更改。

这种权限的继承现在很多HIPS都没有实现,而一条组策略就简单做到了

怎么样,很强大吧

PS:貌似最近流行做视频,所以偶也做了一个演示

从这里下载清晰版:
http://www.namipan.com/d/%e6%9d%83%e9%99%90%e7%bb%a7%e6%89%bf%e6%bc%94%e7%a4%ba.exe/401d9c82185c11047622640ff2fb92ab4eadff62139b8000

Related posts

《关于使用组策略的IE安全防御方案的补充【作者:气流】》有4个想法

    1. 和dw还是有很大差别的。
      dw基于沙盒,采用回滚的方式进行处理,也就是说,dw保护的任何东西都可以恢复原样,这也是他所谓的安全的方法。但事实上,没有任何一款软件可以证明自己可以拦截到windows的所有动作同时又把兼容性做到极致。所以,与其干完坏事后回滚不如直接阻止它干坏事。

      windows的权限虽然不是很容易使用,但是可以有效的阻止用户产生危害系统的动作。
      一般来说,windows的基本用户权限等同于users组权限,所以基本的ie自带功能都可以完美运行,但是一些扩展功能(例如网页版本的windows update)就会因为权限问题而阻止。
      如果你习惯了vista或者win7,那么基本用户对你来说没有任何的障碍。因为vista和win7默认将admin账户设置为基本用户,仅仅在调用特权时才启用uac来获取admin令牌。

发表评论