3.软件限制策略

　　打开“本地安全策略”管理单元(如果第一次设置软件限制策略，请右键单击“软件限制策略”，选择“创建新的策略”菜单项)，展开软件限制策略→安全级别，在右侧的详细窗格里可以看到“基本用户”，如附图所示，这和“Runas /ShowTrustLevels”命令看到的信任级别是一致的。

　

　　可以新建一个路径规则，如附图所示，指定安全级别为“基本用户”，这样每次运行IE浏览器，都可以运行在更安全的级别。　　

　　每次新建的一条“基本用户”的软件限制策略，都会在HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers131072注册表项下新增一个子项。如果是路径策略，则会新增一个Path子项;如果是散列策略，这会新增一个Hash子项。注册表项里的131072是什么?实际上就是前面增加的那个Levels:0x20000，0x20000正好就是131072。

　　4.查看基本用户的访问令牌

　　用Process Explorer查看此时的IE浏览器属性，发现其访问令牌和Windows Vista的“标准用户”功能所获得访问令牌相似，如附图所示。

        Windows Vista的标准用户、Windows XP的基本用户、和运行方式之间的区别如下：

　　(1)Vista的“标准用户”比XP的“基本用户”多出了几个特权(Privilege)，只是默认禁用。

　　(2)XP的“基本用户”所获得的访问令牌相对于“运行方式”(Restricted Token)来说，限制相对少一些，只是将Administrators和Power Users组标志为Deny，而并没有将其他帐户放入Restricted SID列表，这样IE进程可以访问配置文件夹等其他资源(包括收藏夹和我的文档)，可以读写HKEY_CURRENT_USER下的绝大多数注册表键值，但是仍然不能写HKEY_LOCAL_MACHINE下的注册表键值。

　　三、DropMyRights命令工具

　　这里推荐Michael Howard所写的命令行工具DropMyRights。

　　DropMyRights的使用语法如下：

　　DropMyRights {path} [N|C|U]

　　这里的path是指应用程序的路径，N指代基本用户(Basic User)，C指代受限用户(Restricted User)，U是指不信任用户。

　　如果要以基本用户身份运行IE浏览器，可以创建一个快捷方式，将项目位置设置为：

　　DropMyRights "C:Program FilesInternet ExplorerIEXPLORE.exe" N

　　这样就可以在需要时双击该快捷方式，以更加的安全环境下运行IE浏览器。

　　四、其他重要工具

　　1.钓鱼网站过滤器

　　在IE 7正式发布之前，我们可以通过MSN搜索工具栏和Phishing Filter Addin for MSN Search Toolbar组合工具，来有效地抵御钓鱼网站的欺骗。

　　MSN搜索工具栏

　　http://toolbar.china.msn.com/

　　钓鱼网站过滤器

　　http://addins.msn.com/phishingfilter/

　　2.Windows Defender

　　用以上方法可以有效地抵御恶意程序透过IE浏览器入侵，但是如果恶意程序通过其他方法入侵，例如捆绑到共享软件里，那么以上方法就没有效果了，这里我们可以借助微软免费提供的反间谍软件Windows Defender，对Windows系统进行实时安全防护。

　　http://www.microsoft.com/athome/security/spyware/software/default.mspx

　　五、注意

　　如果确实需要安装某些IE插件、或者要运行Windows更新等需要管理员权限的任务，请暂时禁用“软件限制策略”，否则这些管理任务将无法顺利完成，例如笔者曾经死活安装不上MSN Space的上传图片控件，系统也不报错，原因就是IE浏览器运行在Basic User特权级别下。这里特别期待Vista，因为Vista的UAC可以自动识别是否需要管理员特权。