IEAK 11 和安全性

請將 Internet Explorer 與您新增和現有的安全性措施搭配使用,確定公司的電腦在使用網際網路時不會遭到侵害。

加強的保護模式

Internet Explorer 10 導入了加強的受保護模式,會將新功能套用到現有的受保護模式處理程序。其中包括:

  • 限制對 AppContainer 中較高階處理程序的存取。IE 與 Internet Explorer (傳統型) 依預設會開啟此功能

  • 為 64 位元索引標籤處理程序提高記憶體安全性惡意探索方面的安全性。IE 依預設會開啟此功能,但 Internet Explorer (傳統型) 則需要另行開啟

憑證與數位簽章

網頁瀏覽器的安全性功能有助於防止使用者下載到有害的程式。根據您所使用的安全性層級和平台,使用者可能會無法下載沒有數位簽章的程式,或在下載時受到警告。數位簽章可向使用者顯示程式的來源、驗證程式未遭竄改,並確保使用者在安裝自訂瀏覽器時不會收到不必要的警告。

因此,IE 自訂精靈 10 所建立的自訂 .cab 檔案應進行簽署,除非您使用 [低] 安全性設定來預先設定 [近端內部網路] 區域。您透過瀏覽器套件為這些平台發佈的任何自訂元件,也應進行簽署。

了解憑證

若要以數位方式簽署您的套件和自訂程式,您必須先取得數位簽章。您可以從憑證授權單位或私人控制的憑證伺服器取得憑證。如需關於取得憑證或設定憑證伺服器的詳細資訊,請參閱下列內容:

取得憑證時,您應注意公開金鑰和私密金鑰,這是加密和解密的軟體發行者所建立的一組成對金鑰。它們會在您要求憑證時產生於您的電腦上,而您的私密金鑰絕不會傳送給憑證授權單位或任何其他方。

了解程式碼簽署

  • 如果您想要透過網際網路發佈自訂套件,您必須簽署所有的自訂元件和 CMAK 設定檔套件 (如果有使用)。在啟動 IE 自訂精靈 11 之前,請確定兩者皆已簽署。一般而言,其各自的製造商應該都已加以簽署。若非如此,您可以使用簽署工具 (SignTool.exe) ( SignTool.exe (簽署工具)) 或使用檔案簽署工具 (Signcode.exe) (Signcode.exe (檔案簽署工具)) 加以簽署。您應閱讀這些工具所隨附的文件,以了解所有簽署選項的詳細資訊。

    此外,在執行 Internet Explorer 10 自訂精靈之後,強烈建議您簽署 IEAK 套件和 Branding.cab 檔案 (如果您將它與套件分開使用)。您也可以使用上述的工具來執行此作業。

    如需詳細資訊,請下載程式碼簽署的最佳做法 (程式碼簽署的最佳做法)。

  • 如果您想要透過內部網路發佈自訂套件,請使用 [低] 安全性設定來簽署自訂檔案或預先設定 [近端內部網路] 區域,因為預設的安全性設定不允許使用者下載未經簽署的程式或程式碼。

了解您的私密金鑰

您的電腦在數位憑證的註冊程序期間會建立兩個金鑰。一個是公開金鑰,會傳送給您想要與其通訊的任何人;另一個是私密金鑰,會儲存在您的本機電腦上,且必須保密。使用私密金鑰可為您的資料加密,而對應的公開金鑰則用來解密。

您必須保持私密金鑰的私密性。為此,我們建議您:

  • 將測試和發行簽署分開。使用內部測試根憑證授權單位所建立的測試憑證,設定平行的程式碼簽署基礎結構。這有助於確保您的憑證不會儲存在不安全的建置系統上,而降低它們遭到侵害的可能性。

  • 防竄改的儲存裝置。將您的私密金鑰儲存在安全、防竄改的硬體裝置上。

  • 安全性。使用實體安全機制保護您的私密金鑰,例如相機和讀卡機。

 

 

顯示: