Installation ohne Admin-Rechte

Internet Explorer 9 - Erweiterungen im Unternehmenseinsatz

Hinsichtlich der vorinstallierten Erweiterungen beim IE9 stecken Admins in der Zwickmühle. Einerseits soll das vorgegebene Set nicht zu groß ausfallen, andererseits soll der Anwender ohne Admin-Rechte nicht wegen jeden benötigten Add-ons ein Ticket ziehen müssen. Folgende Vorgehensweise kann IT-Abteilungen da helfen.

Erweiterungen für den Browser können Komfort und Funktionalität des Internet Explorer für den Anwender deutlich verbessern. Aber aufgrund ihrer Möglichkeiten bergen diese Erweiterungen prinzipiell auch immer ein Sicherheitsrisiko. Nicht umsonst sind für ihre Installation administrative Rechte erforderlich.

Erweiterungsarten des Internet Explorers

Im Internet-Explorer-Kontext gibt es drei Erweiterungsarten:

1. Browser Helper Objects (BHO)

Dies sind Erweiterungen ohne UI, die beispielsweise, wie das Skype BHO, eine Telefonnummer im angezeigten Text hervorheben können.

2. Browser Extensions

Dies sind Erweiterungen, die typischerweise keinen direkten Zusammenhang mit einer angezeigten Webseite haben, zum Beispiel die Bing-Toolbar.

3. ActiveX Controls

Dies sind Erweiterungen, die von einer Webseite genutzt werden können, um zusätzliche Funktionalität zu nutzen, also zum Beispiel Adobe Flash.

Dabei ist zu beachten, dass alle drei Arten über denselben Mechanismus im Internet Explorer geladen werden, denn es sind alles DLLs. Und genau hierin sind Vor- und Nachteile der Erweiterbarkeit des Internet Explorer begründet.

Vorteile und Risiken des Konzepts

Der Hauptvorteil besteht in der Mächtigkeit der Erweiterungen, was entsprechende Risiken mit sich bringt. Da diese als eigenständige DLL in einen Internet-Explorer-Prozess geladen werden, haben sie alle Rechte und Pflichten, wie es für eine DLL üblich ist. Das heißt, dass eine Erweiterung quasi den gesamten Prozess verändern und (in der Regel positiv) beeinflussen kann.

Für eine erfolgreiche Umsetzung gilt es, bestimmte Punkte zu beachten. Eine fehlerhafte Erweiterung kann im schlimmsten Falle zum Absturz des gesamten Prozesses führen oder den Nutzer und dessen Betriebssystem angreifen. Hier wurden jedoch in der Vergangenheit viele Sicherheitsmechanismen eingeführt, die genau dieses Angriffsszenario aushebeln sollen.

So wurde mit Windows Vista der verbesserte Sandbox-Mechanismus ("Protected Mode") eingeführt und mit Windows 7 weiter optimiert. Zudem wurde bereits im IE7 erstmals das Feature "Loosly coupled IE" (LCIE) bereitgestellt und in den nachfolgenden Versionen weiter verbessert.

Eine der wichtigsten Sicherheitsvorkehrungen ist prinzipiell, dass die Installation einer Erweiterung immer administrative Rechte voraussetzt. Dies ist gerade im Unternehmenseinsatz von Vorteil.

"Ja, aber …" wird sich der eine oder andere jetzt denken, denn "administrative Rechte" bedeuten mehr Aufwand auf Administratorseite: Wenn jeder Nutzer ein Support-Ticket eröffnet, sobald er eine Erweiterung benötigt, dann kann dies sicher nicht die sinnvollste Idee sein.