IE浏览器是一个颇具争议的组件，不少用户一想到IE，恐怕脑子里就会浮现起曾经遭遇过的惨状：主页被恶意修改，IE动辄无缘无故关闭，注册表被改得乱七八糟，莫名其妙跳出网页……

　　也难怪， IE是连接Internet的门户，难免会受病毒蠕虫等的“骚扰”。想让IE练就 “金刚不坏”之体，那就得首先分析一下恶意网页为什么可以为所欲为：大多数用户都是用管理员身份登录系统，IE默认获得管理员的访问令牌，这样网页中的恶意代码就会以最高的特权对系统进行篡改。只有让IE运行在更低的特权级别，才能防止恶意网页破坏系统。

　　怎样才能让IE以更低的特权运行?Windows Vista可以满足要求，其UAC功能可以让所有用户进程运行在Standard User的特权级别，但是Vista还“犹抱琵琶半遮面”，其实我们的XP一样可以达到类似的目的!

　　提示 为了讲述的方便，这里假设以管理员帐户Admin登录系统。

　　一、“运行方式”给IE穿上铁布衫

　　右键单击IE的快捷方式，选择“运行方式”命令，在打开对话框上，确保勾选“保护我的计算机和数据不受未授权程序的活动影响”复选框，如下图所示。

　　用这种方法启动IE，对几个“臭名卓著”的恶意网站进行测试，结果非常安全。同时还能用来对付DuDu加速器、3721等流氓插件!

　　为什么?原来这时的IE浏览器会获得一个受限的访问令牌(Restricted Token)，无法对系统目录和注册表进行写操作，网页中的恶意代码也就没办法破坏系统。

　　当然，还得让实验来说话：

　　分别在“运行方式”和正常模式下打开IE浏览器，然后用Process Explorer双击打开这两个IE进程的属性对话框，切换到“Security”标签页，即可查看这两个进程所获得的访问令牌，如下图所示。

　　很显然，相对于正常模式，“运行方式”打开IE进程所获得的受限令牌，其内容发生了以下两大变化：

　　u 用户和组的SID