Nota sull'IT
.gif)
La modalità protetta di Microsoft Internet Explorer 7, disponibile solo in Microsoft Windows Vista, è una delle funzioni che dimostrano l'impegno costante rivolto al miglioramento della protezione del browser in Internet Explorer. La modalità protetta consente di ridurre la gravità delle minacce in Internet Explorer e nelle estensioni eseguite in Internet Explorer impedendo l'installazione invisibile di malware tramite vulnerabilità del software.
In questa pagina
.gif)
Introduzione
Vantaggi
Funzionamento
Ulteriori riferimenti
Introduzione
La modalità protetta di Internet Explorer 7 è una delle numerose e innovative funzionalità di protezione incluse in Windows Vista. Disponibile solo per gli utenti di Internet Explorer 7 in Windows Vista Enterprise, la modalità protetta offre nuovi livelli di sicurezza e protezione dei dati per gli utenti di Microsoft Windows. Progettata per contrastare gli attacchi basati sull'elevazione dei privilegi, la modalità protetta fornisce la possibilità di esplorare Internet in tutta sicurezza e impedisce agli hacker di prendere il controllo del browser per eseguire codice tramite i diritti di amministratore.
Vantaggi
La modalità protetta è un'innovazione importante nell'ambito delle soluzioni per la protezione di Internet Explorer. Come strategia di difesa avanzata, questa modalità viene utilizzata a integrazione e supporto di molte altre funzionalità di protezione. L'infrastruttura di protezione di Windows Vista utilizza la modalità protetta per assegnare a Internet Explorer i diritti necessari per l'esplorazione del Web e trattenere, invece, i diritti per l'installazione automatica dei programmi o per la modifica dei dati di sistema riservati. La modalità protetta di Internet Explorer consente di bloccare i download dannosi limitando la capacità di scrittura in qualsiasi risorsa nell'area del computer locale diversa dai file temporanei Internet.
L'esecuzione di programmi con diritti utente limitati anziché con diritti di amministratore aumenta il livello di protezione degli utenti poiché limita la capacità del codice di eseguire azioni dannose. Questa difesa aggiuntiva consente di controllare che azioni incluse in script o processi automatici non permettano il download dei dati al di fuori delle directory con diritti minimi quali la cartella dei file temporanei di Internet.
Sebbene la modalità protetta non protegga da tutte le forme di attacco, riduce in modo significativo la capacità di scrivere, alterare o eliminare i dati sul computer dell'utente o di installare malware.
Funzionamento
In Windows Vista, Internet Explorer 7 viene eseguito in modalità protetta per impedire gli attacchi mediante l'esecuzione del processo di Internet Explorer con diritti estremamente limitati. In modalità protetta, Internet Explorer 7 viene eseguito con diritti limitati per impedire la modifica dei file o delle impostazioni dell'utente o di sistema senza l'esplicita autorizzazione dell'utente. Questa funzionalità esclusiva di Windows Vista consente di assegnare agli utenti di Internet Explorer 7 solo i diritti necessari all'esplorazione sul Web e non quelli per la modifica dei file o delle impostazioni. In questo modo, i computer sono protetti dagli attacchi basati sul Web.
L'architettura del nuovo browser introduce un processo broker che consente l'elevazione delle applicazioni esistenti oltre la modalità protetta in un modo più sicuro. Il processo broker svolge un ruolo di mediazione tra il browser Internet Explorer e il sistema operativo e non può essere incluso in uno script per l'esecuzione senza intervento dell'utente. Pertanto, la probabilità di download o di installazione di software indesiderato viene significativamente ridotta. Le limitazioni legate al processo impediscono l'utilizzo di soluzioni alternative per ignorare la modalità protetta. Nessuna azione inclusa negli script o processo automatico è in grado di scaricare i dati o influenzare il sistema.
Per la scrittura nel Registro di sistema di Windows o in altri percorsi è necessario che il processo broker disponga dei diritti elevati appropriati. La modalità protetta offre anche protezione con l'esplorazione a schede tramite l'apertura di nuove finestre, e non di nuove schede, per la visualizzazione dei contenuti esterni all'area di protezione corrente.
La modalità protetta utilizza i meccanismi di integrità di Windows Vista che limitano l'accesso a processi, file e chiavi del Registro di sistema con livelli di integrità più elevati. L'API (Application Programming Interface) della modalità protetta consente ai fornitori di software di sviluppare estensioni e componenti aggiuntivi per Internet Explorer in grado di interagire con il file system e con il Registro di sistema da un processo a bassa integrità, ad esempio la modalità protetta di Internet Explorer. Sfruttando i meccanismi di integrità di Windows Vista e la funzionalità UIPI (User Interface Privilege Isolation), è possibile bloccare l'interazione tra Internet Explorer e le risorse di sistema delle applicazioni con integrità elevata.
I livelli di integrità limitano l'accesso in scrittura dei processi agli oggetti a protezione diretta, in modo analogo a quanto accade con i gruppi di account utente, utilizzabili per limitare i diritti di accesso degli utenti ai componenti riservati del sistema.
Distribuzione della modalità protetta di Internet Explorer
In questa nuova versione di Internet Explorer sono stati introdotti significativi miglioramenti che agevolano le attività di distribuzione e di gestione continuativa. Gli amministratori di Internet Explorer 7 dispongono di controllo centralizzato sulle impostazioni tramite la funzionalità Criteri di gruppo del servizio directory Active Directory. Una nuova versione di Internet Explorer Administration Kit (IEAK) è stata sviluppata per semplificare la creazione di pacchetti di distribuzione personalizzati e apportare specifici miglioramenti alla procedura guidata nel suo complesso. Tramite la versione migliorata del kit IEAK è possibile eseguire distribuzioni completamente personalizzate del browser e configurare come preferenze quasi tutte le impostazioni di Internet Explorer 7.
La modalità protetta comprende anche funzionalità per la compatibilità che consentono di eseguire, lasciandole inalterate, numerose estensioni e forniscono possibili opzioni per l'implementazione delle estensioni interessate. I clienti possono verificare la compatibilità delle applicazioni principali con la modalità protetta e Internet Explorer 7 utilizzando una versione aggiornata dell'Application Compatibility Toolkit incluso in Microsoft Windows XP SP2.
Ulteriori riferimenti
Per ulteriori informazioni
Per ulteriori informazioni sui prodotti e servizi Microsoft, rivolgersi al Microsoft Sales Information Center al numero (800) 426-9400. In Canada, rivolgersi al Microsoft Canada Information Centre al numero (800) 563-9048. Al di fuori dei 50 stati negli Stati Uniti e del Canada, rivolgersi alla filiale Microsoft locale. Per accedere alle informazioni tramite Internet, visitare seguenti i siti Web (le informazioni potrebbero essere in lingua inglese):
http://www.microsoft.com
http://www.microsoft.com/technet/itshowcase
Download
Nota sull'IT
240 KB
File di Microsoft Word
Definizione del documento Nel presente documento viene presentata la modalità protetta di Internet Explorer 7, una funzionalità di protezione del browser disponibile solo per Internet Explorer 7 in Windows Vista Enterprise.
La modalità protetta fornisce nuovi livelli di protezione che impediscono l'installazione invisibile di malware e gli attacchi basati sull'elevazione dei privilegi. La modalità protetta fornisce agli utenti diritti sufficienti per esplorare il Web e consente di proteggere i computer da attacchi basati sul Web.
Destinatari del documento Il documento è rivolto ai responsabili decisionali generali, ai responsabili decisionali tecnici e agli implementatori tecnici.
Prodotti e tecnologie