セキュリティー

ID #1032

InternetExplorerの保護モード


Windows Vista では、MicrosoftR Internet Explorer 7 は保護モードで実行されます。Internet Explorer プロセスをかなり制限された権限で実行することによって、ユーザーを攻撃から保護することができます。保護モードでは、攻撃によるユーザーのマシン上での データの書き込み、変更、または破壊や、悪意のあるコードのインストールの可能性を大幅に軽減できます。また、認証なしに自己インストールを行う悪性の コードからユーザーを保護できます。これは、Windows Vista をインストールしたときに、Internet Explorer の既定のモードとなります。

保護モードにより発生する現象
■Internet Explorer 7 を使用するアプリケーションがインターネット ゾーンまたはイントラネット ゾーンにある場合、ディスクに直接書き込むことができません。
■アプリケーションで新しいプロンプトの処理方法が認識されないことがあります。

保護モードは、新しい整合性メカニズムに基づいて構築されており、整合性レベルの高いプロセス、ファイル、レジストリキーといったセキュリティオブ ジェクトへの書き込みアクセスは禁止されます。Internet Explorer は、保護モードで実行される場合、整合性の低いプロセスになります。したがって、ユーザーのプロファイルやシステム ロケーションにあるファイルおよびレジストリ キーへの書き込みアクセス権限を取得できません。

整合性の低いプロセスは、整合性の低い必須ラベルが割り当てられたフォルダ、ファイル、およびレジストリキーにしか書き込みを実行できません。したがっ て、Internet Explorer とその拡張機能が保護モードで実行されると、整合性の低い新しいインターネット一時ファイル フォルダ、履歴フォルダ、Cookie フォルダ、お気に入りフォルダ、一時ファイル フォルダなど、下位整合性レベルのロケーションへの書き込みのみが可能になります。

さらに、Windows Vista のデフォルトでは、保護モードプロセスはデスクトップの整合性レベルが低い状態で実行されます。これによって、特定のウィンドウ メッセージが整合性の高いプロセスに送信されることを防止しています。

保護モードでは、ユーザーが使用するシステムの機密領域への未承認のアクセスが行われるのを防ぐことで、問題のある Internet Explorer プロセスやマルウェアによって発生する可能性のある被害を制限することができます。たとえば、攻撃者はユーザーのスタートアップ フォルダに対して、キーストロークの記憶プログラムを通知なしにインストールできません。同様に、セキュリティに問題のあるプロセスがウィンドウ メッセージによって、デスクトップ上でアプリケーションを操作することはできません。


保護モードにより問題が発生した場合、問題のサイトを信頼済みサイトの一覧に追加するか、非推奨ですが保護モードを無効にする必要があります。




タグ: -

関連エントリ: -

最終更新: 2007-07-06 12:36
作成者: vistafaq
改訂: 1.0

このエントリを評価してください:

評価点数: 1.75 - 5 (4 個の投票 )

完全に役に立たない 1 2 3 4 5 最も価値がある