企业IT管理员IE11升级指南【1】—— Internet Explorer 11增强保护模式 (EPM) 介绍

每个Internet Explorer的新版本，都会引入新的安全增强机制，以帮助用户更安全地浏览Internet。增强保护模式最先在Internet Explorer10中被引入，并在Internet Explorer11中得到了进一步的加强。在保护模式开启的情况下，即使攻击者已经利用了浏览器本身，或者利用了浏览器中运行的控件的漏洞，用户的数据依然可以保持安全状态。

增强保护模式的前身“保护模式”，最先出现在Windows Vista中的Internet Explorer7上。它提供了“深度的保护”，以帮助防止攻击者安装恶意软件，或者修改系统设置，哪怕他们已经成功运行了可以利用漏洞的代码。例如，通常浏览器无须修改系统设置，或者写入用户的“文档”目录。保护模式基于最小权限的原则——通过限制Internet Explorer所拥有的能力，使得入侵代码所获得的能力也相应地受到了限制。

增强保护模式进一步运用最小权限的概念，对Internet Explorer的能力做了进一步的限制。下列是增强保护模式保障安全的新途径：

64-位进程

当今绝大多数的PC都拥有64位的CPU，并安装了64位的Windows。64位最众所周知的特点是它拥有更广阔的内存地址空间。无论是系统还是应用程序，都可以在64位环境下寻址更多的内存。

一个32位的二进制数字差不多可以表达40亿的数字空间。而一个64位的地址空间要更加辽阔——几乎可以是18P（18,446,744,073,709,551,616）。64位不仅仅让应用程序可以寻址更多的物理内存，它也使得像ASLR（随机化的地址空间布局）这样的已有内存保护功能更有效果。像”堆溢出“这类通过在内存特定位置植入恶意代码的攻击，在64位下面变得十分困难，因为要想占满整个64位地址空间，在实践中是不可行的。

保护用户的个人信息

当用户运行一个程序时，该程序会获得访问当前计算机中任何资源的权限，包括用户的个人文档。增强保护模式限制Internet Explorer访问用户的个人资料，除非得到用户的明确允许。这能帮助避免侵入代码在没有得到用户许可的情况下访问用户信息。

例如，考虑基于web的邮件系统。如果用户希望将”文档“目录中的某个文件作为附件添加到邮件中，Internet Explorer会提示用户明确允许网站访问”文档“目录下的文件的。

 

保护公司信息资产

大多数的公司内部网络，包含了至关重要的信息，必须确保有效的保护。增强保护模式通过三种途径降低入侵者访问公司网络的可能。首先，访问Internet站点所对应的“标签进程”，通常它们用于加载不被信任的站点内容，这些进程对用户的域账号信息是没有访问权限的。其次，这些标签进程无法以本地web服务器方式工作，这使得攻击程序要想伪装成公司内部站点变得十分困难。第三，它们无法访问公司内部的网站。 

默认设置与兼容性

现代样式的Internet Explorer总是运行在增强保护模式下——用户无需对此作任何配置——打开浏览就能获得最佳的安全保障。而由于现代样式的Internet Explorer不加载Flash之外的插件，使得这一安全功能对于兼容性的要求被降到最小。最新的Flash插件已经能够兼容增强保护模式。

许多插件，例如Java Applet，以及一些Internet Explorer工具栏，尚不能兼容增强保护模式。所以桌面样式的Internet Explorer默认是关闭增强保护模式的。用户可以在Internet选项对话框的高级标签页中打开它。Internet Explorer11提供了一个额外的选项，供用户选择是否用64位运行增强保护模式。如果不勾选它，增强保护模式的Internet Explorer进程和普通进程一样运行在32位下面。而在Internet Explorer10中，增强保护模式始终运行在64位下面。

在启用增强保护模式之后，与增强保护模式不兼容的插件会被自动禁用。如果您的网站需要该插件才能工作，您可以单独对该网站停用增强保护模式。

总结

Windows产品组会不断在产品的“深度保护”机制上做进一步的投资。而在现实世界中，它也是一个广为应用的理念。增强保护模式作为一个额外的安全层，保护您的信息免于受到恶意的攻击。

原文链接：http://www.cnblogs.com/developersupport/p/IE11-EPM-protection.html