Im professionellen Unternehmenseinsatz ist der Internet Explorer meist der serienmäßige Standard-Browser. Bei ihm können Administratoren per Gruppenrichtlinien elementare Einstellungen in Sachen Sicherheit und Datenschutz vornehmen.
Bei einer wirklich umfassenden Sicherheitsbetrachtung sind die Datenschutzeinstellungen und -funktionen eines Browsers gleichfalls von elementarer Bedeutung. Was beim Microsoft Internet Explorer 8 hier zu beachten ist, lesen Sie in vorliegendem Beitrag.
Administratoren können mit einheitlichen Einstellungen dafür sorgen, dass sich die Browser-Sicherheit erhöht. Aber auch Einzelanwender dürften der einen oder anderen folgenden Empfehlung nützliche Informationen entnehmen. Wenn im Unternehmen die Aktivitäten der Benutzer innerhalb des Browsers überwacht werden (sollen), müssen sich Administratoren unter Umständen für andere Einstellungen als die im Folgenden empfohlenen entscheiden.
Bei den einzelnen Funktionen wird gegebenenfalls die Einstellung im Gruppenrichtlinieneditor erläutert. Dabei ist zu beachten, dass sich die Einstellungen im Gruppenrichtlinieneditor und in den Internetoptionen des Internet Explorer selbst voneinander unterscheiden können. In den Gruppenrichtlinien gibt es viele Einstellungen, die in den Internetoptionen des IE nicht zu finden sind
Die nachfolgende Auflistung erhebt keinerlei Anspruch auf Vollständigkeit und wird sukzessive erweitert. Die Empfehlungen basieren auf dem Sicherheitsleitfaden für den Internet Explorer 8, den Microsoft zum kostenlosen Download bereithält.
InPrivate-Browsen nutzen
Es gibt Fälle, in denen auf einem Computer keine Spuren der Aktivitäten im Internet zurückbleiben sollen - etwa wenn man auf dem gemeinsamen Familien-PC Weihnachtsgeschenke einkauft. Mit InPrivate-Browsen im Internet Explorer 8 können Sie den Browser daran hindern, Browser-Verlauf, temporäre Internetdateien, Formulardaten, Cookies sowie Benutzernamen und Kennwörter zu speichern. Auf diese Weise bleiben keine Belege für Ihre Aktivitäten zurück.
Um das InPrivate-Browsen zu starten, klicken Sie in der Befehlsleiste auf Sicherheit und dann auf InPrivate-Browsen. Internet Explorer 8 startet dann eine neue Browser-Sitzung, in der keine Informationen gespeichert werden. Wenn Sie die InPrivate-Sitzung beenden möchten, schließen Sie einfach das Browser-Fenster.
Beim InPrivate-Browsen passiert Folgendes:
• BHOs (Browser Helper Objects) und Browser-Leisten sind deaktiviert.
• Neue Cookies werden zu "Sitzungscookies" und beim Schließen des Browsers gelöscht.
• Die bestehenden Cookies können nicht gelesen werden.
• Die bestehende Funktionalität des neuen DOM-Storage-Funktionen kann nicht geändert werden.
• Es werden keine neuen Einträge in den Verlauf eingefügt.
• Neue temporäre Internetdateien werden nach dem Schließen des InPrivate-Browsen-Fensters gelöscht.
• Es werden keine Formulardaten gespeichert.
• Es werden keine Kennwörter gespeichert.
• Die in die Adressleiste eingegebenen Adressen werden nicht gespeichert.
• Die in das Suchfeld eingegebenen Abfragen werden nicht gespeichert.
• Die besuchten Links werden nicht gespeichert.
Abhängig von den geschäftlichen Anforderungen, Vorgaben und Gesetzen können einige oder alle dieser Eigenschaften genutzt werden. Mit der Kommandozeilenoption private können Sie InPrivate-Browsen zum Standardmodus des Browsers machen (Beispiel: "C:\Program Files\Internet Explorer\iexplore.exe" -private).
InPrivate-Filterung nutzen
Die InPrivate-Filterung wurde dazu entwickelt, nur die Inhalte anderer Organisationen zu blockieren, die auf den besuchten Websites sehr häufig auftauchen.
Inhalte werden erst dann geblockt, wenn ein bestimmter Häufigkeits-Level erreicht ist. Inhalte, die direkt von der besuchten Website bereitgestellt werden, werden niemals geblockt. Wann die automatische Blockierung stattfindet, hängt von Ihren Aktivitäten im Browser und den von Ihnen besuchten Websites ab.
Sowohl Administratoren als auch Benutzer können die Häufigkeits-Levels für die Filterliste konfigurieren. Sie können auf Werte zwischen drei und 30 konfiguriert werden. Außerdem kann eine Liste von blockierten (oder zugelassenen) Websites manuell importiert werden. Wir empfehlen die Aktivierung von InPrivate-Filterung - es sei denn, die Filterung sorgt bei für den Geschäftsbetrieb erforderlichen Websites für Probleme.
Browser-Verlauf löschen
Die Möglichkeit, den Browser-Verlauf im Internet Explorer zu löschen, ist nicht neu. Sie wurde jedoch mit Internet Explorer 8 erweitert.
Wenn Sie den Browser-Verlauf löschen, können Sie jetzt die Cookies und die temporären Internetdateien für die Websites in Ihren Favoriten erhalten.
Mit dieser neuen Möglichkeit können Sie Ihre persönlichen Daten und Ihre Daten für vertrauenswürdige Websites schützen. Ihre Voreinstellungen und Cookies für die entsprechenden Websites bleiben erhalten. Mit den neuen Optionen können die Benutzer außerdem InPrivate-Filterdaten löschen.
Datenschutzeinstellung auf Mittel oder höher konfigurieren
Einige Websites speichern Informationen in kleinen Textdateien auf Ihrem Computer und versuchen so, das Internet für Sie zu personalisieren. Diese Textdateien werden Cookies genannt; mit ihnen kann man die Online-Aktivitäten eines Benutzers übergreifend nachverfolgen. Microsoft empfiehlt dringend, Cookies zu nutzen. Sie stellen kein Sicherheitsproblem dar, doch der Internet Explorer 8 bietet einige Mechanismen für den Umgang mit Cookies, die den Benutzern mehr Kontrolle über ihre Daten ermöglichen.
Es gibt zwei unterschiedliche Cookie-Typen. Das First-Party-Cookie stammt entweder von der aktuell angezeigten Website oder wird an diese gesendet. Ein solches Cookie wird normalerweise dazu genutzt, Informationen zur Website zu speichern (beispielsweise Einstellungen). Das Third-Party-Cookie stammt von einer anderen Website als der aktuell angezeigten oder wird an diese gesendet. Websites von Drittanbietern stellen oft einige Inhalte der aktuell angezeigten Website bereit (beispielsweise Werbung) und nutzen in diesem Rahmen entsprechende Third-Party-Cookie. Häufig werden diese Cookies dazu genutzt, Ihr Surfverhalten für Werbezwecke nachzuverfolgen.
Sicherheitseinstellungen, die sich auf den Datenschutz auswirken, finden Sie unter der Registerkarte Datenschutz im Dialogfenster Internetoptionen. Auf der Registerkarte befindet sich ein Schieberegler, mit dem Sie eine von sechs vordefinierten Optionen auswählen können. Dieser Schieberegler gilt nur für die Zone Internet. Cookies aus den Zonen Lokales Intranet und Vertrauenswürdige Sites werden automatisch akzeptiert, solche aus der Zone Eingeschränkte Sites automatisch blockiert.
Jede Organisation muss ihre eigenen Richtlinien für Cookies definieren. Wir empfehlen, die Einstellung zumindest auf Mittel festzulegen. So erreichen Sie Folgendes:
• Cookies von Drittanbietern ohne Datenschutzrichtlinie werden blockiert.
• Cookies von Drittanbietern, die ohne ausdrückliche Einwilligung Informationen nutzen, die den Benutzer persönlich identifizierbar machen, werden blockiert.
• Cookies von Erstanbietern, die ohne ausdrückliche Einwilligung Informationen nutzen, die den Benutzer persönlich identifizierbar machen, werden eingeschränkt.
Die Einstellung Hoch schränkt alle Cookies ein. Die anderen Einstellungen lassen Cookies jeweils unter bestimmten Bedingungen zu. Mit der Einstellung Alle Cookies annehmen sind sämtliche Cookies erlaubt.
Anmerkung: Standardmäßig hat der Benutzer die Möglichkeit, die Einstellung zu verändern. Sie können als Administrator die Registerkarte Datenschutz jedoch über eine Gruppenrichtlinie deaktivieren.
Sie können die Einstellungen für bestimmte Websites mit den Optionen Blockieren und Zulassen umgehen oder erzwingen. Mit einer Gruppenrichtlinie lassen sich nicht nur die Cookie-Einstellungen durchsetzen, sondern auch Websites zur Liste hinzufügen. Um einen maximalen Datenschutz zu erreichen und gleichzeitig die Vorteile von Cookies zu erhalten (beispielsweise die Speicherung von Anmeldeinformationen und Einstellungen), empfehlen wir, alle Cookies von Drittanbietern zu blockieren und alle Cookies von Erstanbietern zuzulassen.
Ordner Temporäre Internetdateien automatisch leeren
Um das Laden der Seiten zu beschleunigen und die benötigte Bandbreite zu verringern, speichert Internet Explorer viele Objekte aus Webdokumenten (HTML, Videos, Bilder usw.) im Ordner Temporäre Internetdateien. Die hier gespeicherten Elemente stellen zwar kein Sicherheitsproblem dar, können aber für den Missbrauch von persönlichen Daten genutzt werden - beispielsweise dann, wenn andere Benutzer auf den Computer zugreifen.
Die Dateien werden standardmäßig im Ordner %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files gespeichert. Mit dem Internet Explorer Administration Kit (IEAK) 8 oder einem GPO können Sie den Speicherort jedoch ändern.
Wir empfehlen Ihnen, die Option Leeren des Ordners "Temporäre Internetdateien" beim Schließen des Browsers mit Aktiviert zu konfigurieren. So werden beim Schließen des Browser alle lokal gespeicherten Inhalte gelöscht. Die Einstellung hat keine Auswirkungen auf die Funktionalität. Sie kann sich jedoch auf die Anwendungsleistung auswirken und für mehr Anrufe beim Helpdesk sorgen.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Leeren des Ordners "Temporäre Internetdateien" beim Schließen des Browsers |
Mit dieser Einstellung können Sie festlegen, ob Internet Explorer den Inhalt des Ordners "Temporäre Internetdateien" löscht, nachdem alle Browser-Fenster geschlossen wurden. Dadurch werden Sie davor geschützt, gefährliche Dateien oder sensible Dateien auf dem Computer zu speichern, die von anderen Benutzern eingesehen werden könnten. Außerdem wird dadurch die Nutzung des Festplattenplatzes verwaltet. Standardmäßig werden die Inhalte des Ordners nicht gelöscht. Wir empfehlen, die Einstellung zu aktivieren. |
Anmerkung: Organisationen, die gesetzliche Anforderungen in Bezug auf den Datenschutz erfüllen müssen, können mit dieser Einstellung dafür sorgen, dass die entsprechenden Informationen regelmäßig gelöscht werden. Die Einstellung verhindert jedoch nicht, dass die Daten mithilfe geeigneter Tools wiederhergestellt werden. Aus diesem Grund sollten die entsprechenden Organisationen unbedingt prüfen, ob die Einstellung für ihre Compliance-Anforderungen ausreichend ist.
AutoVervollständigen-Optionen deaktivieren
Internet Explorer speichert Formulardaten, um diese später wiederverwenden und erneut übertragen zu können. Ein häufig in Formularen genutztes Feld ist beispielsweise das Feld "Straße" (als Teil der Adresse). Mit AutoVervollständigen liest Internet Explorer die Werte der Formularfelder und trägt die entsprechenden Informationen automatisch ein. Der Benutzer muss sie also nicht immer wieder eingeben. Zwar stellt dieses Verfahren keine direkte Sicherheitsbedrohung dar, doch können die genutzten Informationen von Websites missbraucht werden.
Noch wichtiger ist, dass die Funktion nicht zwischen sehr sensiblen Daten (beispielsweise Kreditkartennummern) und bereits öffentlich verfügbaren Daten (beispielsweise Telefonnummern) unterscheiden kann. Aus diesem Grund kann es also passieren, dass persönliche Daten des Benutzers versehentlich in die Hände von Dritten gelangen. Wenn Sie auf Einstellungen auf der Registerkarte AutoVervollständigen im Dialogfenster Internetoptionen klicken, finden Sie die Einstellungen für die AutoVervollständigen-Funktion.
Internet Explorer 8 kann zusätzlich zu anderen Daten auch Benutzernamen und Kennwörter aus Formularen speichern. Der Benutzer muss sich so nicht mehr selbst an die immer größer werdende Zahl von Kennwörtern und Benutzernamen erinnern. Ein paar grundlegende Sicherheitsmechanismen legen fest, welche Daten in einem Formular eingegeben werden müssen. Diese sorgen dafür, dass die falschen Anmeldeinformationen in ein Formular eingetragen werden.
Trotz dieser Sicherheitsmaßnahmen ist es besonders trickreich entworfenen Websites eventuell möglich, die Benutzer zur Weitergabe von Anmeldeinformationen an Angreifer zu bewegen. Der Speicher für die Anmeldedaten ist gesichert. Sie werden lokal auf dem jeweiligen System gespeichert, und es ist nicht möglich, von außerhalb des Systems auf die Daten zuzugreifen. Wir empfehlen Ihnen, die AutoVervollständigen-Funktion zu deaktivieren.
Die Deaktivierung hat keine Auswirkungen auf die Leistung. Es kann jedoch sein, dass sich die Benutzer über die fehlende Funktion beschweren und auf kürzere/einfachere und somit leichter zu merkende, aber unsichere Kennwörter ausweichen. Sie sollten daher die entsprechenden Prozesse für die Kennwortanforderungen und -validierung überprüfen und so sicherstellen, dass die Benutzer keine unsicheren Kennwörter nutzen.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
AutoVervollständigen für Formulare deaktivieren |
AutoVervollständigen macht dem Benutzer beim Ausfüllen von Formularfeldern Eingabevorschläge. Wenn Sie die Einstellung aktivieren, dann werden keine Vorschläge gemacht. Die Benutzer können diese Einstellung nicht verändern. Wenn Sie die Einstellung deaktivieren, macht Internet Explorer Vorschläge. Die Benutzer können auch diese Einstellung nicht verändern. Standardmäßig können die Benutzer die AutoVervollständigen-Einstellungen verändern. Wir empfehlen, die Einstellung zu aktivieren. |
|
AutoVervollständigen für Benutzernamen und Kennwörter in Formularen aktivieren |
Diese Einstellung schlägt Kennwörter und Benutzernamen in Formularen vor. Wenn Sie die Einstellung aktivieren, dann werden Vorschläge gemacht. Die Benutzer können diese Einstellung nicht verändern. Daher müssen Sie festlegen, ob die Option Vor dem Speichern von Kennwörtern nachfragen aktiviert werden soll. Wenn Sie die Einstellung deaktivieren, trägt Internet Explorer keine Benutzernamen und Kennwörter ein. Die Benutzer können die entsprechenden Einstellungen nicht verändern. Wenn Sie die Einstellung nicht konfigurieren, dann können die Benutzer die Funktion aktivieren und die Einstellung selbst festlegen. Wir empfehlen, die Option zu deaktivieren. |
Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen, können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände von nicht autorisierten Benutzern gelangen.
Anmeldeoptionen für jede Sicherheitszone konfigurieren
Mithilfe von Windows-Domänen können Unternehmen Informationen aus dem Intranet absichern und gleichzeitig ohne die ständige Neueingabe von Anmeldeinformationen auf Netzwerkdokumente zugreifen. Internet Explorer kann die Authentifizierungsinformationen auf dem System dazu nutzen, den Benutzern NTLM-Authentifizierungsinformationen für den Zugriff auf die Zone Intranet zur Verfügung zu stellen.
Mit den Einstellungen für die Anmeldungsoptionen stehen Ihnen mehr Möglichkeiten als nur eine einfache Aktivierung oder Deaktivierung zur Verfügung. Standardmäßig ist für die Zonen Internet, Lokales Intranet und Vertrauenswürdige Sites die Option Automatisches Anmelden nur in der Intranetzone aktiv. Für die Zone Eingeschränkte Sites ist hingegen die Option Nach Benutzername und Kennwort fragen die Standardeinstellung. Dies führt dazu, dass die Anmeldung an Sites in der Zone Intranet, wann immer möglich, automatisch durchgeführt wird. In allen anderen Zonen wird der Benutzer nach Anmeldeinformationen gefragt.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Anmeldungsoptionen (Internetzone) |
Mit dieser Einstellung können Sie Berechtigungen für Anmeldeoptionen verwalten. Wenn Sie diese Einstellung aktivieren, können Sie die folgenden Anmeldeoptionen auswählen. • Mit Anonyme Anmeldung werden die HTTP-Authentifizierung deaktiviert und das Gastkonto nur für das CIFS-Protokoll (Common Internet File System) verwendet. • Mit Nach Benutzername und Kennwort fragen werden die Benutzer nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. • Mit Automatisches Anmelden nur in der Intranetzone werden die Benutzer in anderen Zonen nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. • Mit Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort wird eine Anmeldung mithilfe der NTLM-Authentifizierung (Windows NT Challenge Response) versucht. Wenn der Server Windows NT Challenge Response unterstützt, werden der Netzwerkbenutzername des Benutzers und das dazugehörige Kennwort für die Anmeldung verwendet. Falls der Server Windows NT Challenge Response nicht unterstützt, wird der Benutzer aufgefordert, Benutzernamen und Kennwort anzugeben. Wenn Sie diese Einstellung deaktivieren, wird die Anmeldeoption Automatisches Anmelden nur in der Intranetzone festgelegt. Wenn Sie die Einstellung nicht konfigurieren, wird die Anmeldeoption Automatisches Anmelden nur in der Intranetzone festgelegt. Wir empfehlen, die Option Nach Benutzername und Kennwort fragen zu konfigurieren. |
|
Anmeldungsoptionen (Intranetzone) |
Wir empfehlen, die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort zu konfigurieren. |
|
Anmeldungsoptionen (Zone eingeschränkter Sites) |
Wir empfehlen, die Option Anonyme Anmeldung zu konfigurieren. |
|
Anmeldungsoptionen (Zone vertrauenswürdiger Sites) |
Wir empfehlen, die Option Automatisches Anmelden nur in der Intranetzone zu konfigurieren. |
Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen, können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände von nicht autorisierten Benutzern gelangen.
Dieser Artikel basiert unter anderem auf dem Sicherheitsleitfaden für den Internet Explorer 8, den Microsoft zum kostenlosen Download bereithält. (mje)