摘要：解析瀏覽器的安全設(shè)置，說明安全設(shè)置中兩個重要構(gòu)成因素，即安全區(qū)域和安全區(qū)域中的安全選項(xiàng)。結(jié)合案例，針對瀏覽器可能出現(xiàn)的各式問題，提出按照以預(yù)防為主的主動安全設(shè)置策略進(jìn)行安全設(shè)置，并給出了修復(fù)瀏覽器的方法。

關(guān)鍵詞：瀏覽器；安全設(shè)置；主動安全設(shè)置策略；安全區(qū)域

0 引言

校園網(wǎng)中計算機(jī)最常出現(xiàn)的問題就是上網(wǎng)問題，不是打不開網(wǎng)頁，就是無法鏈接，這些基本上是瀏覽器的安全問題。為此，本文分析了Internet瀏覽器安全設(shè)置的構(gòu)成，通過案例說明了瀏覽器的安全設(shè)置策略，提出了以主動安全為主的預(yù)防方法。文章最后給出了修復(fù)瀏覽器的方法，以使讀者自我解決上網(wǎng)問題。

1 安全設(shè)置

Microsoft Internet Explorer(瀏覽器)保護(hù)四個缺省的安全區(qū)域：Internet、局域內(nèi)部網(wǎng)(本地Intranet)、受信任的站點(diǎn)和受限制的站點(diǎn)。Internet Explorer安全區(qū)域是一種系統(tǒng)，該系統(tǒng)將聯(lián)機(jī)內(nèi)容根據(jù)其可信任的程度劃分為多個“類別”(或“區(qū)域”)。可以根據(jù)對各個域中內(nèi)容的信任程度，將特定的Web域指定到一個區(qū)域。然后，該區(qū)域基于區(qū)域設(shè)置來限制Web內(nèi)容的功能。

默認(rèn)情況下，大多數(shù)的Web站點(diǎn)都被視為Internet區(qū)域的一部分，該區(qū)域具有一些能夠阻止腳本和其他活動代碼訪問本地系統(tǒng)上的資源設(shè)置。與此相反，“本地Intranet”區(qū)域是一個限制少很多的區(qū)域，該區(qū)域包含所有使用通用命名約定(UNC)路徑建立的網(wǎng)絡(luò)連接，以及不使用代理服務(wù)器或者名稱中不含句點(diǎn)(例如http：／／local)的網(wǎng)站，前提是這些網(wǎng)站尚未分配到“受限制的站點(diǎn)”或“受信任的站點(diǎn)”區(qū)域，它允許某些內(nèi)容訪問和操縱本地系統(tǒng)上的內(nèi)容。默認(rèn)情況下，本地計算機(jī)上存儲的文件在本地區(qū)域中運(yùn)行。瀏覽器還提供2個其他的區(qū)域：可信區(qū)域和受限區(qū)域，可以將完全信任或引起懷疑的Web站點(diǎn)添加到這些區(qū)域中。

保護(hù)計算機(jī)安全需要考慮各種因素的平衡。對軟件和其他內(nèi)容下載越開放，就要冒更大的風(fēng)險，可能會破壞本地數(shù)據(jù)；但是，設(shè)置限制越大，Web的可用性和用途就會越小。

瀏覽器的安全功能使計算機(jī)安全獲得了有效的平衡。在第一次安裝Internet Explorer時，它將所有的Web站點(diǎn)放在一個區(qū)域(Internet區(qū)域)中，并設(shè)置中等程度的安全級別以加強(qiáng)保護(hù)。這有助于安全瀏覽，而當(dāng)要下載潛在的不安全的內(nèi)容時，系統(tǒng)就會給出提示。

Microsoft Internet Explorer允許為那些安全區(qū)域定義用戶安全層次即安全沒置。每個安全區(qū)域均包含諸多的安全選項(xiàng)，可以根據(jù)組織和用戶的需要，能夠啟用或禁用安全選項(xiàng)。Internet Explorer用戶層次的安全選項(xiàng)根據(jù)它們的性質(zhì)劃分為如下幾種類型：ActiveX控件和插件、下載、Java、其他、腳本、用戶身份驗(yàn)證。

1．1 ActiveX控件和插件

“控件”也被稱為“組件”，是指一些可執(zhí)行的代碼或一個程序，是軟件的組成部分，如果把軟件看作是一輛汽車，那么控件就是其中的儀表、發(fā)動機(jī)、甚至是外殼等零部件。通過ActiveX技術(shù)，程序員能夠?qū)⑦@些可復(fù)用的軟件組裝到應(yīng)用程序或者服務(wù)程序中去，嵌入到網(wǎng)頁中，隨網(wǎng)頁傳送到用戶的瀏覽器上，并在用戶端執(zhí)行。ActiveX插件以前也叫做OLE控件或OCX控件，它是一些軟件組件或?qū)ο?，可以將其插入到Web網(wǎng)頁或其它應(yīng)用程序中。

ActiveX控件和插件選項(xiàng)規(guī)定了瀏覽器如何改進(jìn)、下載、運(yùn)行和允許ActiveX控件和插件與腳本相互作用。

如果用戶從一個站點(diǎn)下載—個ActiveX控件，但是下載站點(diǎn)與控件所在的網(wǎng)頁不同，兩個站點(diǎn)分別屬于不同的區(qū)域，那么瀏覽器將對這兩個站點(diǎn)的區(qū)域設(shè)置應(yīng)用更多的約束。例如，如果用戶在一個區(qū)域內(nèi)(如Internet)訪問一個Web頁，此區(qū)域的ActiveX控件選項(xiàng)設(shè)置為允許下載，但是從另外一個區(qū)域(如Intranet)下載代碼，該區(qū)域的ActiveX控件選項(xiàng)設(shè)置是首先提示用戶，那么在下載ActiveX控件之前，瀏覽器將首先提示用戶。

表1標(biāo)示了包括在ActiveX控件和插件中的安全選項(xiàng)和它們的說明：

表1 AetiveX控件、插件的安全選項(xiàng)及說明

1．2下載

下載選項(xiàng)指明瀏覽器如何處理從Internet的下載，如表2所示。

表2下載安全選項(xiàng)及說明

1．3 Java

Java選項(xiàng)控制權(quán)限，這個權(quán)限是當(dāng)在一個安全的區(qū)域下載和運(yùn)行Java程序時授予Java程序的。根據(jù)用戶安裝的瀏覽器組件，用戶可能不能看到或設(shè)置那些選項(xiàng)。

如果從某個站點(diǎn)下載Java程序，而這個站點(diǎn)與網(wǎng)頁所使用的站點(diǎn)不同，那么對于這兩個站點(diǎn)的區(qū)域設(shè)置就會添加更多的約束。

Java的惟一設(shè)置是Java權(quán)限，表3中的選項(xiàng)能夠設(shè)置Java權(quán)限。表3 Java的安全選項(xiàng)及說明

1．4其他

其他的選項(xiàng)控制文件和數(shù)據(jù)的訪問選項(xiàng)。配置時可以使用表4中的選項(xiàng)：

表4 其它的安全選項(xiàng)及說明

1．5腳本

腳本是一種計算機(jī)語言，可以使得本來要用鍵盤進(jìn)行的相互式操作自動化。一個Shell腳本主要由原本需要在命令行輸入的命令組成，或在一個文本基準(zhǔn)編輯程序中，用戶可以使用腳本來把一些常用的操作組合成一組序列。腳本選項(xiàng)指明瀏覽器如何處理它所遇到的任何一個腳本，包括表5中的選項(xiàng)：

表5 腳本的安全選項(xiàng)及說明

1．6用戶身份認(rèn)證

認(rèn)證是用以辨識及證明嘗試發(fā)出信息或接收數(shù)據(jù)的用戶身份的程序或方法。用戶身份認(rèn)證確定怎樣處理超文本鏈接傳輸協(xié)議(HTTP)的用戶身份認(rèn)證?？梢杂帽?中的四個值的任何一個來設(shè)置登錄選項(xiàng)。

表6 用戶身份證明的安全選項(xiàng)及說明

2 案例

表7歸納了瀏覽器經(jīng)常出現(xiàn)的問題，設(shè)置了相應(yīng)的安全設(shè)置。

表7 案例分析

3 恢復(fù)瀏覽器和系統(tǒng)

以下是瀏覽器的修復(fù)步驟。

3．1斷開網(wǎng)路連接、清除所有上網(wǎng)記錄

這樣做的目的主要是為了斷絕二次感染的途徑。清除的上網(wǎng)記錄包括Internet臨時文件夾、歷史記錄、cookie、密碼和自動完成表單。第二，到％windows％~Downloaded Program Files查看已經(jīng)被安裝的ActiveX控件。如果不清除這其中有害的控件，不管之前做了哪些修改，再次連接到網(wǎng)絡(luò)時系統(tǒng)也會把它們默認(rèn)成為可安全執(zhí)行的操作而再次污染瀏覽器。所以清除的最后一步就是查看這些控件的屬性，不妨一并刪除那些有害的和不確定的控件，反正不確定的那些控件可以再次下載。因?yàn)檫@些插件，在每次啟動時讀取有害文件篡改瀏覽器，直接刪除它就可以不再受到它的影響了。

3．2查看可疑的系統(tǒng)進(jìn)程、服務(wù)和啟動項(xiàng)

這部分的操作只是為了一個目的：防止惡意程序在系統(tǒng)重啟時被加載。做好這一步，即使硬盤中留有一些惡意程序的運(yùn)行文件，這些程序會隱藏在很深的地方，但是由于缺少了啟動它們的手段，所以感染也會很困難了。在這里推薦一個大家非常熟悉但卻幾乎不怎么用到的工具：系統(tǒng)信息。在系統(tǒng)工具系統(tǒng)信息中可清楚地看到當(dāng)前進(jìn)程、服務(wù)項(xiàng)、啟動項(xiàng)和IE文件管理，系統(tǒng)信息提供的進(jìn)程不僅列出了進(jìn)程，而且還表明了進(jìn)程的路徑，利用這些信息可以輕而易舉地判定哪些是惡意程序的進(jìn)程并直接找到它們所在的位置。為了辨別哪些是正常的進(jìn)程，哪些是病毒進(jìn)程，則可以在google上找到詳盡的進(jìn)程描述。對病毒進(jìn)程可通過任務(wù)管理器結(jié)束它的運(yùn)行，然后由它所在的位置徹底刪除源文件。

惡意程序會在用戶電腦里建立一個服務(wù)，使用這種手段的惡意程序危害大，所以不能放過。服務(wù)項(xiàng)有很多，詳細(xì)的服務(wù)說明仍然可以在google上找到。然后刪除惡意程序的服務(wù)。

最后由msconfig命令關(guān)閉垃圾程序。

3．3恢復(fù)受損的注冊表

建議使用組策略恢復(fù)。事實(shí)上，組策略編輯器就是注冊表鍵值的編輯器，適用于系統(tǒng)的可視化部分被大量更改和熟悉組策略的用戶。在“運(yùn)行”菜單中輸入gpedit．msc進(jìn)入組策略編輯器，找到用戶配置——管理模板，在這里可解鎖被鎖的注冊表，還有針對Ⅲ瀏覽器和桌面的設(shè)置。

3．4徹底解決瀏覽器

如果瀏覽器因?yàn)樾薷脑斐蔁o法啟動，一個更徹底的辦法就是卸載瀏覽器。卸載瀏覽器不是覆蓋安裝，瀏覽器不能從添加／刪除中卸載。用以下方法，方法1：打開“注冊表編輯器”，找到[HKEY_LOCAL_MACHINE＼SOFYWARELMicrosoftLActiveSetupkInstalled Components＼{89820200-ECBD-llcf-8B85-00AA00584383}]，將Islnstalled的DWORD值改為0。方法2：將Windows xp光盤插入光驅(qū)，然后單擊“開始→運(yùn)行”命令，在“運(yùn)行”對話框中輸入“Rund1132 setupapi，InstallHinfSection Defaultlnstall132 C：＼windows\\inl\\ie．inf”命令，回車后系統(tǒng)會打開安裝進(jìn)程對話框，開始重新安裝ie6．0。

如果發(fā)現(xiàn)系統(tǒng)文件有損壞，比如顯示不正常或者功能受損，可以在“運(yùn)行”中輸入SFC，這個命令是掃描所有受損的系統(tǒng)文件并用正確的Microsoft版本替換不正確的版本，這就徹底完成了對惡意程序的查殺和系統(tǒng)的恢復(fù)。

4 結(jié)束語

虛擬世界存在著巨大的利潤，針對它們的攻擊多種多樣，實(shí)現(xiàn)攻擊主要是利用了軟件本身的諸多漏洞，所以強(qiáng)烈建議使用謹(jǐn)慎的瀏覽策略，這樣才能保證自己的利益不被侵害。但是想獲得絕對的安全，那么同時也將喪失幾乎所有的正常功能。所以在上網(wǎng)瀏覽的時候，需要將一部分可以信賴的網(wǎng)站，比如搜狐、網(wǎng)易等等，置入“受信任的站點(diǎn)”列表中，給與它們更高的權(quán)限。雖然這些網(wǎng)站會帶來令人反感的商業(yè)插件和廣告，但可以通過簡單的手段屏蔽。而在某些情況下，就特別需要提高警惕，尤其是瀏覽一些屬于危險內(nèi)容(尤其是成人內(nèi)容)的網(wǎng)站或公共聊天室時，就需要格外的注意。建議安全設(shè)置策略是：對于可信賴的網(wǎng)站：直接將其放入信賴站點(diǎn)中，并允許瀏覽器使用受信任的站點(diǎn)策略。對于危險站點(diǎn)，應(yīng)用更加詳細(xì)的安全配置策略。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。