完整性级别的深远影响

　　看起来，只不过是IE进程没有D:\Users\Admin\AppData\Roaming\Unispim目录的写入权限。这还不简单，修改一下权限不就行了?

　　然而如果用AccessChk命令检查NTFS权限，发现当前帐户Admin对D:\Users\Admin\AppData\Roaming\Unispim目录拥有读写权限，如下图所示。

　　这就奇怪了，明明Admin帐户有权写入该目录，为什么系统要说“不”呢?这里就要应用到前面所说的MIC机制。原来在Windows Vista底下，系统不光是查看资源对象的ACL，还要查看进程和资源对象各自的完整性级别(Integrity Level)，就算进程满足资源对象的ACL要求，如果进程的完整性级别更低，那么该进程还是无法拥有资源对象的写入权限。这就好比男女双方求爱，除了看对方的经济收入等条件(相当于ACL)，还要看是否门当户对(相当于完整性级别)J。

　　而运行在保护模式下的IE浏览器，IE进程的完整性级别是Low，这可以从它的访问令牌里得知。借助Process Explorer查看IE进程属性的“安全”标签页，可以看到其访问令牌里有一个“Mandatory Label\Low Mandatory Level”的SID(相应的标志位是“Integrity”)，这表明IE进程的完整性级别是“Low”。

　　看来D:\Users\Admin\AppData\Roaming\Unispim目录的完整性级别一定比IE进程高，所以IE进程才无法写入该目录。那么如何查看目录的完整性级别呢?非常可惜Windows Vista目前还没有提供查看的工具。不过幸运的是，Sysinternals所提供的AccessChk可以方便地进行查看。

　　提示 由于作者Mark(Sysinternals掌门，Windows Internals的合作者)已经就职于微软， 所以Windows Vista可能会内置这款工具喔。

　　在命令提示符下运行以下命令，就可以查看该目录下所有文件的完整性级别：

　　AccessChk -i D:\Users\Admin\AppData\Roaming\Unispim

　　可以看到该目录下的所有文件的完整性级别都是“Medium”，如下图所示，难怪IE进程要被拒绝了!

　　可见，IE保护模式有多厉害!在UAC模式下，应用程序会尽可能运行在普通用户权限下，但至少还是可以访问[用户配置文件夹]里的内容，因为这时候应用程序的完整性级别也是“Medium”，所以不会受到限制。