Modo protegido aprimorado

IEBlog Português

Blog da equipe de engenharia do Windows Internet Explorer

Modo protegido aprimorado

  • Comments 0

Toda versão do Internet Explorer inclui novas melhorias de segurança para que você fique protegido ao navegar na Internet. O novo modo protegido aprimorado no Internet Explorer 10 ajuda a manter os seus dados seguros mesmo se um invasor explorar uma vulnerabilidade do navegador ou algum de seus complementos.

Não há um único recurso que, sozinho, possa manter a sua segurança, portanto, recorremos a várias estratégias, como:

Proteção contra ataques de engenharia social

Há todo tipo de pessoas más que desejam roubar as suas informações pessoais ou invadir o seu computador falsificando sites de sua confiança. O Filtro SmartScreen oferece a melhor proteção disponível contra ataques de malware e phishing. No Windows 8, essa proteção foi adicionada ao Shell do Windows para manter você protegido contra malware, independentemente de como ele tiver sido baixado.

Proteção contra ataques que exploram vulnerabilidades de sites

Sites “do bem” podem ter vulnerabilidades de segurança que podem permitir que sites maus roubem os seus dados ou realizem ações se passando por você. Protegemos você com o Filtro XSS, que impede automaticamente determinados tipos de ataques e permite que os sites se protejam mais facilmente com os recursos de Segurança declarativa, como o novo suporte do IE10 ao HTML5 Sandbox.

Proteção contra ataques que exploram o navegador ou o sistema operacional

As atualizações automáticas garantem que você tenha sempre as últimas atualizações instaladas. Dessa forma, você fica protegido contra problemas de segurança que já foram corrigidos. O IE9 adicionou recursos de proteção da memória para dificultar a exploração de determinados tipos de vulnerabilidades e nós aprimoramos esses recursos no IE10. Também adicionamos uma nova camada de proteção no IE10: o modo protegido aprimorado.

Modo protegido aprimorado

O Modo protegido, que foi adicionado ao IE7 para o Windows Vista, é um recurso de proteção abrangente que ajuda a impedir que os invasores instalem software ou modifiquem configurações de sistema se conseguirem executar código de exploração. Trata-se de uma camada de proteção extra que bloqueia partes do sistema que o navegador normalmente não precisa usar. Por exemplo, o navegador geralmente não precisa modificar as configurações do sistema nem fazer gravações na sua pasta Documentos. O Modo protegido se baseia no princípio do privilégio mínimo, reduzindo os recursos do Internet Explorer, os recursos disponíveis para a exploração de código também são reduzidos.

O modo protegido “aprimorado” vai além desse conceito, restringindo recursos adicionais. Veja abaixo algumas novas formas de o modo protegido aprimorado ajudar a manter a sua segurança:

Processos de 64 bits

A maioria dos PCs oferecidos nos últimos anos tem CPUs de 64 bits e muitos têm uma versão do Windows de 64 bits instalada. A versão de “64 bits” é normalmente vista como uma maneira de ampliar a quantidade de memória que um programa no computador pode usar: como os processadores de 64 bits usam endereços de memória de 64 bits em vez de 32 bits, um programa pode “endereçar” ou usar mais memória, quando disponível.

A quantidade de 32 bits é grande, significa um pouco mais de 4 bilhões. Um endereço de 64 bits é muito maior: mais de 18 quatrilhões (18.446.744.073.709.551.616). O número de 64 bits não apenas permite endereçar mais memória, ele também torna mais eficientes os recursos de proteção de memória existentes, como o ASLR (Address Space Layout Randomization). Os ataques do tipo heap spray, que são usados por invasores para instalar código mal-intencionado em locais previsíveis, se tornam muito mais difíceis porque é impraticável "preencher" um espaço de endereçamento de 64 bits. O espaço em disco e a memória acabam muito antes de qualquer parte de tamanho considerável do espaço de endereçamento ser pulverizada.

Protegendo as suas informações pessoais

Quando você executa um programa, ele tem acesso a tudo o que é acessível para você no computador, incluindo os seus documentos pessoais. O modo protegido aprimorado impede que o Internet Explorer acesse os locais que contêm as suas informações pessoais, até que você conceda permissão. Isso ajuda a impedir que o código de exploração acesse as suas informações pessoais sem a sua permissão.

Tomemos como exemplo o email baseado na Web. Se você desejar anexar um arquivo da pasta Documentos ao email, o Internet Explorer precisará de permissão para acessar e carregá-lo para o seu provedor de email. Com o modo protegido aprimorado, um “processo broker” permitirá que o Internet Explorer acesse o arquivo temporariamente apenas se você clicar em "Abrir" na caixa de diálogo de carregamento do arquivo:

Captura de tela mostrando um arquivo da pasta Documentos sendo anexado a um email no aplicativo de email baseado na Web

Observe que não há nenhuma outra solicitação. O brokering é feito automaticamente quando você decide abrir um arquivo. É como fornecer um único cofre bancário ao Internet Explorer quando solicitado, em vez de sempre permitir acesso à caixa-forte inteira.

Protegendo os ativos da sua empresa

A maioria das redes corporativas, ou “intranets”, contém informações valiosas que devem ser protegidas contra invasores. O modo protegido aprimorado restringe a capacidade de uma exploração acessar os recursos da rede corporativa de três maneiras. Primeiro, os processos de guia da Internet, para onde são carregas as páginas da Internet não confiáveis, não têm acesso às credenciais do domínio de um usuário. Segundo, eles não podem funcionar como servidores Web locais, o que dificulta a falsificação de um site da Intranet. Terceiro, as guias da Internet não podem se conectar a servidores da intranet.

Configurações padrão e compatibilidade

O Internet Explorer estilo Metro sempre é executado com o modo protegido aprimorado habilitado. Você não precisa configurar nada, basta navegar. Como o Internet Explorer estilo Metro oferece navegação sem plug-ins, o impacto na compatibilidade desse recurso de segurança é mínimo.

Muitos complementos, como o Adobe Flash e determinadas barras de ferramentas ainda não são compatíveis com o modo protegido aprimorado. Alguns sites ainda exigem o Adobe Flash para funcionar, e alguns usuários gostam da funcionalidade adicional oferecida por algumas barras de ferramentas. No Windows 8 Beta, o modo protegido aprimorado pode ser habilitado na área de trabalho em Opções da Internet -> Avançadas:

Captura de tela da guia Avançadas da caixa de diálogo Opções da Internet mostrando a nova opção “Enable Enhanced Protected Mode” (Habilitar modo protegido aprimorado).

Com a habilitação do modo protegido aprimorado, complementos incompatíveis serão desabilitados automaticamente. Se encontrar um site que precise de um complemento como o Flash para funcionar, você poderá desabilitar o modo protegido aprimorado para esse determinado site.

Mensagem de notificação “This webpage wants to run 'Adobe Flash Player 10.3 d162'. If you trust this site, you can disable Enhanced Protected Mode for this site to run the control.” (Esta página da Web deseja executar o Adobe Flash Player 10.3 d162. Se você confia neste site, desabilite o modo protegido aprimorado para que o site execute o controle.) A barra de notificação contém o botão “Desabilitar”.

Você poderá continuar usando o site, mas com o modo protegido aprimorado habilitado para o restante da Internet. Lembre-se de que você apenas deverá fazer isso se conhecer o site e confiar nele.

É claro que, se preferir navegar sem complementos, você poderá ativar o Filtro ActiveX. Dessa forma, esse prompt não será exibido.

Resumo

A proteção abrangente é uma área de constante investimento para a equipe do Windows. Trata-se de um princípio amplamente utilizado no mundo real também. Os cofres bancários possuem trancas. Além disso, eles são mantidos em uma sala trancada, dentro de um banco fechado com um avançado sistema de segurança. O modo protegido aprimorado é mais uma camada de proteção que ajuda a proteger os seus dados contra invasores mal-intencionados.

—Andy Zeigler, gerente de programas sênior, Internet Explorer

  • Loading...