In Unternehmen ist auf den Client-Systemen meist der Internet Explorer der Standard-Browser. Und dies mit gutem Grund, können Administratoren doch per Gruppenrichtlinien relativ bequem für eine stringente Umsetzung von Sicherheitseinstellungen sorgen.
Dabei heißt es durchaus mit Augenmaß vorzugehen. Zu restriktive Einstellungen sind in der Praxis meist auch nicht sinnvoll. Die Anwender sind dann meist zu sehr eingeschränkt und haben mit Kompatibilitätsproblemen zu kämpfen. Die Folge daraus ist meist, dass Warnmeldungen aufgrund der Häufigkeit nicht mehr ernst genommen beziehungsweise ignoriert werden. Oder Anwender suchen sich ein wie auch immer geartetes Hintertürchen. In vielen Fällen ist das Ergebnis von zu strengen Einstellungen meist nicht mehr Sicherheit, sondern eher das Gegenteil.
Sind die vorgegebenen Einstellungen allerdings zu locker getroffen, sind die Benutzer häufig einer Vielzahl von möglichen Angriffen ausgesetzt, die sich leicht abwehren ließen. Daher heißt es für Administratoren, ein gesundes Mittelmaß zwischen Funktionalität und Sicherheit zu finden.
Nachfolgend werden einige der sicherheitsrelevanten Funktionen und Einstellungen des Internet Explorer 8 erläutert. Bei den einzelnen Funktionen wird gegebenenfalls die Einstellung im Gruppenrichtlinieneditor erläutert. Dabei gilt es zu beachten, dass sich die Einstellungen im Gruppenrichtlinieneditor und in den Internetoptionen des Internet Explorer selbst voneinander unterscheiden. In den Gruppenrichtlinien gibt es viele Einstellungen, die in den Internetoptionen des IE nicht zu finden sind, beispielsweise alle Einstellungen unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\ Sicherheitsseite\Sperrung der Zone des Internets.
Die nachfolgende Auflistung erhebt keinerlei Anspruch auf Vollständigkeit und wird sukzessive erweitert. Die Sicherheitsempfehlungen basieren auf dem Sicherheitsleitfaden für den Internet Explorer 8, den Microsoft zum kostenlosen Download bereithält.
Einschränken von ActiveX-Steuerelementen
Oft installieren die Benutzer Software wie ActiveX-Steuerelemente, die von den Sicherheitsrichtlinien ihrer Organisation nicht zugelassen werden. Diese Software kann für erhebliche Sicherheits- und Datenschutzrisiken sorgen. Um die Benutzer an der Installation nicht autorisierter ActiveX-Steuerelemente zu hindern, empfehlen wir, die Anzeige von Installationsaufforderungen für ActiveX-Steuerelemente über Gruppenrichtlinien zu unterbinden. Sie sollten sich jedoch bewusst machen, dass diese Maßnahme auch die Installation legitimer ActiveX-Steuerelemente wie beispielsweise Windows Update verhindert.
Wenn Sie die ActiveX-Installation unterdrücken, dann sollten Sie gleichzeitig sicherstellen, dass es einen Mechanismus wie beispielsweise Gruppenrichtlinien gibt, über den die erforderlichen ActiveX-Steuerelemente für die Desktops der Benutzer bereitgestellt werden. Weitere Informationen zu dieser Empfehlung finden Sie im nächsten Abschnitt.
Wenn Sie Einschränkungen durchsetzen, dann benötigen Sie darüber hinaus eine alternative Möglichkeit zur Bereitstellung von Sicherheitsupdates (beispielsweise Windows Server Update Services).
In der folgenden Tabelle sehen Sie den Namen des Richtlinienobjekts und seinen Pfad in der Gruppenrichtlinie.
|
Richtlinienobjekt |
Pfad |
|
Internet Explorer Processes (Restrict ActiveX Install) |
Computerkonfiguration\Administrative Vorlagen\ |
Websitebasierte ActiveX-Einstellungen
Internet Explorer 8 gibt Administratoren die Möglichkeit, ActiveX-Steuerelemente auf Basis von Websites zu verwalten. So können sie sicherstellen, dass die ActiveX-Steuerelemente nur von den freigegebenen Websites ausgeführt werden können.
Mit Internet Explorer 8 können die zugelassenen Steuerelemente und die entsprechenden Domänen vorab definiert werden. Sie können die entsprechenden Einstellungen über Gruppenrichtlinien definieren und durchsetzen. Die zugelassenen Domänen und Steuerelemente werden unter dem folgenden Registrierungspfad gespeichert:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID}\iexplore\AllowedDomains\{Domänen oder *}
{CLSID} ist die Klassen-ID des betreffenden Steuerelementes und {Domänen oder *} steht für die Domänen, die das entsprechende Steuerelement nutzen dürfen (der * steht für alle Domänen).
Die folgenden Werte sind möglich:
• REG_DWORD Blocked
• REG_DWORD Count
• REG_DWORD Flags
• REG_DWORD Binary
• REG_DWORD Type
Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten Freigabelisten
Die im letzten Abschnitt genannte Einstellung sorgt dafür, dass keine ActiveX-Steuerelemente auf dem Client ausgeführt werden, solange diese nicht vorab von der Organisation freigegeben wurden. Einige Organisationen empfinden diese Einstellung jedoch als zu restriktiv. Wenn dies auch bei Ihnen der Fall ist und Sie die Einstellung so nicht nutzen möchten, so stellen Sie zumindest sicher, dass die Einstellung Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderung für die Zonen Internet und Eingeschränkte Sites deaktiviert ist (diese Einstellung entspricht auch der Standardkonfiguration des Browsers).
Diese auch ActiveX-Opt-In genannte Einstellung sorgt dafür, dass sich die Steuerelemente wie gewünscht verhalten und die Systeme trotzdem nicht nur durch den einfachen Besuch einer Website angegriffen werden können. Mit der Opt-In-Funktion müssen die Benutzer als Preis für die höhere Sicherheit bei bekannten und erwiesenermaßen harmlosen Websites die Steuerelemente erst freigeben, bevor die Website wie vorgesehen funktioniert.
Egal, wie genau Sie die ActiveX-Installation einschränken - es ist immer möglich, dass die Einschränkungen Auswirkungen auf wichtige geschäftliche Funktionalitäten haben. Wir empfehlen daher, dass Sie eine Liste von vorab freigegebenen Steuerelementen auf den Computern der Benutzer bereitstellen und die Liste mit einer Funktion wie der Gruppenrichtlinie verwalten. Über die Gruppenrichtlinie können Sie die Klassen-ID der Steuerelemente zum entsprechenden Registrierungspfad hinzufügen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved
Anmerkung: Tritt in einem ActiveX-Steuerelement eine Sicherheitslücke auf, die eine Bedrohung für die Benutzer darstellt, so ist es möglich, dass Microsoft das entsprechende Steuerelement mithilfe eines über Windows Update Windows Update, Microsoft Update oder Windows Server Update Services verteilten Sicherheitsupdates deaktiviert. In diesem ist das Steuerelement auch dann deaktiviert, wenn es in der beschriebenen Form über eine vorab definierte Liste explizit zugelassen wurde.
Mit GUIDs (Globally Unique Identifier) können installierte Steuerelemente durch die Bearbeitung der entsprechenden Registrierungseinstellungen aktiviert oder deaktiviert werden. Wenn Sie noch nicht über einen passenden GUID-Katalog für Ihre Organisation verfügen, dann sollten Sie dringend einen solchen Katalog erstellen. Eine Möglichkeit zu Erstellung eines passenden GUID-Katalogs ist die Einrichtung eines neuen Computers. Auf diesem neuen Computer konfigurieren und aktivieren Sie dann die erforderlichen Geschäftsanwendungen und überprüfen danach die GUIDs im Internet Explorer-Registrierungspfad. Mit der so erstellten Liste wissen Sie dann, welche Steuerelemente mindestens für Ihre Umgebung erforderlich sind, und können die entsprechenden Steuerelemente in einer vorab definierten Liste aus freigegebenen Steuerelementen eintragen.
Es wird die Nutzung von GPOs zur Verwaltung einer Liste von freigegebenen Steuerelementen empfohlen. Weitere Informationen zur ActiveX-Sicherheit und Best-Practices zur Verwaltung von ActiveX-Steuerelementen finden Sie im Artikel ActiveX-Sicherheit: Verbesserungen und Best-Practices im MSDN.
Deaktivieren von Active Scripting
Es kommt immer wieder zu so genannten Zero-Day-Exploits. So existieren immer wieder Sicherheitslücken, für die nicht umgehend ein entsprechender Patch zur Verfügung steht.
Sie können entsprechende Situationen nicht vermeiden. Empfehlen Sie den Benutzern daher, unbekannte Websites zu meiden und beim Klicken auf Links Vorsicht walten zu lassen. Des Weiteren haben Sie jedoch die Möglichkeit, die Benutzer durch die Einstellung Active Scripting zulassen vor noch nicht durch ein Update beseitigten oder aber bekannten Sicherheitslücken zu schützen. Um bekannte aktuelle Zero-Day-Exploits und andere kritische Skripting-Angriffe zu verhindern, empfehlen wir Ihnen, diese Einstellung temporär über eine Gruppenrichtlinie mit Deaktiviert zu konfigurieren. Um ein korrektes Funktionieren der Websites zu gewährleisten, sollte die Einstellung jedoch unter normalen Bedingungen mit Aktiviert konfiguriert werden.
Sie finden die Einstellung Active Scripting zulassen im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu dieser Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Active Scripting zulassen |
Mit dieser Einstellung können Sie festlegen, ob Skriptcode in der entsprechenden Zone ausgeführt wird. Standardmäßig wird der Skriptcode automatisch ausgeführt. |
Zonensicherheit
Die meisten sicherheitsbezogenen Einstellungen in Internet Explorer 8 finden sich unter den Sicherheitszonen. Standardmäßig können die Benutzer diese Zonen bearbeiten und die jeweiligen Sicherheitsstufen verändern.
Sie können eigene Einstellungen für die einzelnen Zonen festlegen und Websites zu den Zonen Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites hinzufügen.
Für die meisten Umgebungen in Organisationen wird die Sperrung der Zonensicherheit über Gruppenrichtlinien empfohlen. Die Sperrung verhindert das Verändern der meisten Einstellungen durch die Benutzer. In den folgenden Abschnitten erfahren Sie mehr zu den Einstellungen für die Zonensicherheit von Internet Explorer 8.
Schutz vor Zonenanhebung aktivieren
Internet Explorer setzt für jede geöffnete Website bestimmte Einschränkungen durch. Diese Einschränkungen hängen vom Speicherort der Webseite ab (Internet, Lokales Intranet oder Lokaler Computer). Für Webseiten auf dem lokalen Computer gelten die wenigsten Sicherheitseinschränkungen. Somit ist diese Zone das Hauptziel für Angreifer.
Wenn Sie die Zonenanhebung mit der Option Internet Explorer-Prozesse konfigurieren, dann sind alle Zonen vor einer Zonenanhebung durch Internet Explorer-Prozesse geschützt. Dieser Ansatz verhindert, dass Inhalte aus einer Zone erweiterte Rechte aus einer anderen Zone erlangen. Wenn Sie die Einstellung deaktivieren, dann ist der entsprechende Schutz für keine Zone aktiv.
Aufgrund der schwerwiegenden Auswirkungen und der relativen Häufigkeit von entsprechenden Angriffen empfehlen wir die Einstellung Schutz vor Zonenanhebung für die Option Internet Explorer Processes mit Aktiviert zu konfigurieren.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen\Schutz vor Zonenanhebung
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Internet Explorer-Prozesse |
Wenn Sie diese Einstellung aktivieren, kann jede Zone vor Zonenanhebung durch Internet Explorer-Prozesse geschützt werden. Wenn Sie diese Einstellung deaktivieren, erhält keine Zone einen derartigen Schutz für Internet Explorer-Prozesse. Wenn Sie diese Einstellung nicht konfigurieren, kann jede Zone vor Zonenanhebung durch Internet Explorer-Prozesse geschützt werden. |
Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen verbieten
Standardmäßig können die Benutzer für die Zonen Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites Websites hinzufügen und löschen. Wenn eine Website zur Zone Vertrauenswürdige Sites hinzugefügt oder aus der Zone Eingeschränkte Sites entfernt wird, dann eröffnet dies die Möglichkeit zur Ausführung von schädlichem Programmcode auf dem Computer.
Wir empfehlen, das Hinzufügen oder Löschen von Websites in Zonen durch die Benutzer über Gruppenrichtlinien zu verhindern. Die Einstellung Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen verhindert außerdem, dass der Benutzer die Einstellungen für die Zone Lokales Intranet verändert.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen |
Deaktiviert das Hinzufügen und Entfernen von Sites in den Sicherheitszonen durch die Benutzer. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, können die Benutzer Websites zu den Zonen Vertrauenswürde Sites und Eingeschränkte Sites hinzufügen oder sie von dort entfernen und die Einstellungen für die Zone Lokales Intranet ändern. |
Die Aktivierung dieser Einstellung wird empfohlen. Sie kann jedoch Auswirkungen auf die Produktivität der Benutzer haben (besonders in Kombination mit weiteren Einschränkungen für die Zone Internet). In einigen Fällen fügen die Benutzer Websites zu Zonen mit weniger Einschränkungen hinzu, wenn sie nicht in der Lage sind, in der Zone Internet auf die Websites zuzugreifen. Ist diese Funktion deaktiviert, dann sind die Benutzer möglicherweise nicht in der Lage, auf einige Websites zuzugreifen, bevor der Administrator diese Websites in eine Zone mit weniger Einschränkungen aufgenommen hat.
Anmerkung: Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter dem Pfad Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) aktivieren, dann wird die Registerkarte Sicherheit nicht mehr länger angezeigt. Die Einstellung Deaktivieren hat Vorrang vor den jeweiligen Zoneneinstellungen.
Änderung der Zoneneinstellungen durch die Benutzer verhindern
Standardmäßig können die Benutzer diese Zonen bearbeiten und die jeweiligen Sicherheitsstufen verändern. Sie können eigene Einstellungen für die einzelnen Zonen festlegen. Dies eröffnet die Möglichkeit zur Ausführung von schädlichem Programmcode auf dem Computer. Wir empfehlen, die Änderung der Sicherheitsstufen von Zonen mithilfe von Gruppenrichtlinien und der Aktivierung der Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern zu verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Sicherheitszonen: Benutzer können keine Einstellungen ändern |
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können die Benutzer die Einstellungen für die Sicherheitszonen ändern. |
Verschlüsselte Seiten nicht auf der Festplatte speichern
Um das Browsen zu verbessern, kann Internet Explorer Inhalte lokal zwischenspeichern (Temporäre Internetdateien). Diese Seiten können danach direkt lokal abgerufen werden und stehen beim wiederholten Zugriff auf dieselbe Ressource so schneller bereit. Internet Explorer bietet die Möglichkeit zur Zwischenspeicherung von verschlüsselten und unverschlüsselten Inhalten. Standardmäßig werden beide Inhaltstypen zwischengespeichert.
Das lokale Zwischenspeichern von verschlüsselten Daten verhindert Leistungsprobleme beim wiederholten Zugriff auf dieselben Inhalte (beispielsweise Bilder). Das Risiko für eine Entschlüsselung der lokal gespeicherten Daten ist normalerweise relativ gering. Es ist schwierig, die Daten zu entschlüsseln, und der Wert der entsprechenden Daten ist gering. Auch wenn ein Angreifer in der Lage wäre, verschlüsselte Daten zu entschlüsseln, wären Informationen wie Benutzernamen und Kennwörter normalerweise nicht sichtbar. Der Angreifer könnte nur die Seiteninhalte sehen. Es ist allerdings möglich, dass diese Seiteninhalte sensible Informationen (beispielsweise Kontostände oder Transaktionsinformationen) umfassen.
Unternehmen, die die Sicherheit von Internet Explorer verbessern möchten, können die GruppenEinstellung Verschlüsselte Seiten nicht auf der Festplatte speichern aktivieren und so das Zwischenspeichern verhindern. Nach der Aktivierung dieser Option kann es möglicherweise zu Leistungsproblemen (Latenz, zusätzlicher Netzwerkverkehr) und zu mehr Anrufen beim Helpdesk kommen. Es ist möglich, dass Websites die Deaktivierung der Einstellung voraussetzen. Es sollten jedoch keine ernsthaften Anwendungsfehler auftreten.
Die Aktivierung der Einstellung kann Probleme beim Zugriff auf "On-Demand-Inhalte" wie beispielsweise Transaktionsinformationen zu Bankkonten verursachen. Solche Probleme können beispielsweise dann auftreten, wenn ein Benutzer entsprechende Informationen anzeigt, dann zu einer anderen Seite navigiert und danach den Zurück-Schalter nutzt, um zur ersten Seite zurückzukehren. In korrekt konfigurierten Serverumgebungen zeigt eine entsprechende Fehlermeldung dem Benutzer an, dass die Seite abgelaufen ist und er auf den Aktualisieren-Schalter klicken muss.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Verschlüsselte Seiten nicht auf der Festplatte speichern |
Mit dieser Einstellung können Sie festlegen, ob verschlüsselte Seiten mit sicheren (HTTPS-) Informationen wie Kennwörtern und Kreditkartennummern im Cache von Internet Explorer gespeichert werden sollen, da dieser Cache unsicher sein kann. Wenn Sie diese Einstellung aktivieren, speichert Internet Explorer keine verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wenn Sie diese Einstellung deaktivieren, speichert Internet Explorer verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wenn Sie diese Einstellung nicht konfigurieren, speichert Internet Explorer verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wir empfehlen, die Einstellung nur dann zu aktivieren, wenn in Ihrer Umgebung sensible Daten in Webseiten vorhanden sind. |
Proxyeinstellung pro Computer vornehmen
Wenn ein Benutzer Proxyeinstellungen ändert, dann ist er möglicherweise nicht mehr in der Lage, auf Websites zuzugreifen. Wenn der Benutzer jedoch unterwegs ist, dann ist er möglicherweise gezwungen, die Einstellungen zu ändern.
Bei Desktops, die nicht zwischen verschiedenen Standorten wechseln, sollten Sie dafür sorgen, dass die Proxyeinstellungen pro Computer statt pro Benutzer gespeichert werden. Bei mobilen Notebooks sollten die Benutzer die Einstellungen ändern können, um unterwegs auf das Internet zugreifen zu können.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Proxyeinstellung pro Computer vornehmen (anstelle von pro Benutzer) |
Wendet Proxyeinstellungen für alle Benutzer desselben Computers an. Wenn Sie diese Richtlinie aktivieren, können die Benutzer benutzerspezifische Proxyeinstellungen festlegen. Dabei müssen sie die Zonen verwenden, die für alle Benutzer auf dem Computer erstellt wurden. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können alle Benutzer eines Computers ihre eigenen Proxyeinstellungen einrichten. Mit dieser Richtlinie können Sie sicherstellen, dass die Proxyeinstellungen auf einem Computer einheitlich gelten und sich nicht von Benutzer zu Benutzer unterscheiden. Wir empfehlen, die Einstellung für Desktops mit festem Standort zu aktivieren und für mobile Notebooks zu deaktivieren. |
Systemabsturzermittlung deaktivieren
Internet Explorer 8 umfasst eine Funktion zur Fehler- und Absturzerkennung, die Informationen zur Fehlerbehebung sammelt. In den entsprechenden Fehlerberichten können jedoch sensible Informationen aus dem Arbeitsspeicher des Computers enthalten sein. Für die meisten Organisationen empfehlen wir die Aktivierung der Einstellung. Wenn die Einstellung deaktiviert oder nicht konfiguriert ist, dann werden Informationen an Microsoft weitergeleitet. Microsoft nutzt diese Informationen jedoch ausschließlich zur Analyse der Fehlerdaten. Wenn Sie die Einstellung aktivieren, dann verhält sich ein Ausfall genauso wie bei Internet Explorer unter Windows XP Professional Service Pack 1 (SP1) oder früher: Die Windows-Fehlerberichterstattung wird zusammen mit allen entsprechenden Richtlinien genutzt.
Wenn es regelmäßig zu Fehlern kommt und Sie zur Fehlerbehebung entsprechende Informationen benötigen, dann können Sie die Einstellung temporär für die betroffenen Computer deaktivieren.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Systemabsturzermittlung deaktivieren |
Mit dieser Einstellung können Sie die Absturzermittlungsfunktion der Add-On-Verwaltung verwalten. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bleibt die Absturzermittlungsfunktion für die Add-On-Verwaltung in Funktion. Wir empfehlen die Aktivierung der Einstellung. |
Neu: Aktivierung des geschützten Modus
In Internet Explorer 8 für Windows Vista und Windows 7 ist der geschützte Modus für die Zonen Internet und Eingeschränkte Sites standardmäßig aktiviert. Er beschränkt die Zugriffsmöglichkeiten auf das Dateisystem und die Registrierung für Anwendungen.
Der Internet Explorer-Prozess wird durch diese Einschränkungen isoliert, und schädliche Websites und andere Software haben so weniger Möglichkeiten, Benutzerinformationen zu missbrauchen oder das System zu beschädigen. Der Benutzer kann jedoch den geschützten Modus deaktivieren - was zur Verschlechterung der Gesamtsicherheit führt. Aus diesem Grund empfehlen wir, den geschützten Modus für die Zonen Internet und Eingeschränkte Sites mithilfe einer Gruppenrichtlinie zu aktivieren und so die Deaktivierung durch die Benutzer zu verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8.
|
Richtlinienobjekt |
Beschreibung |
|
Geschützter Modus aktivieren |
Der geschützte Modus ist standardmäßig aktiv. Der Benutzer kann ihn jedoch deaktivieren. |
Diese Einstellung findet nur auf Internet Explorer 8 für Windows 7 und Windows Vista Anwendung. Im Windows XP-Modus auf einem Computer unter Windows 7 ist sie ebenfalls nicht aktiv.
Der geschützte Modus ist für die folgenden Zonen von Internet Explorer 8 verfügbar:
• Internetzone
• Intranetzone
• Zone des lokalen Computers
• Sperrung der Zone des Internets
• Sperrung der Zone des Intranets
• Sperrung der Zone des lokalen Computers
• Sperrung der Zone eingeschränkter Sites
• Sperrung der Zone vertrauenswürdiger Sites
• Zone eingeschränkte Sites
• Zone vertrauenswürdige Sites
Neu: Sicherheitseinschränkung für MK-Protokoll
Die Einstellung Sicherheitseinschränkung für MK-Protokoll reduziert die Angriffsfläche, indem das MK-Protokoll blockiert wird. Ist die Einstellung aktiviert, dann kann auf Ressourcen, die über das MK-Protokoll gehostet werden, nicht mehr zugegriffen werden. Das MK-Protokoll ist ein technisch überholter Mechanismus zur Verknüpfung von Windows-Hilfedateien mit Webseiten.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkung für MK-Protokoll
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung.
|
Richtlinienobjekt |
Beschreibung |
|
Alle Prozesse |
Die Einschränkung ist standardmäßig für alle Prozesse nicht aktiv. Wenn Sie diese Einstellung aktivieren, wird das MK-Protokoll für alle Prozesse deaktiviert. Jegliche Verwendung des MK-Protokolls wird so blockiert. |
|
Internet Explorer-Prozesse |
Wenn Sie diese Einstellung deaktivieren, können Anwendungen die MK-Protokoll-API verwenden. Ressourcen, die über das MK-Protokoll gehostet werden, sind für Windows Explorer- und Internet Explorer-Prozesse voll funktionsfähig. Die Standardeinstellung verhindert das MK-Protokoll für Windows Explorer und Internet Explorer. Die entsprechenden Ressourcen sind blockiert. |
|
Prozessliste |
Mit dieser Einstellung können Administratoren Anwendungen festlegen, für die die Funktionalität gelten oder nicht gelten soll. |
Dieser Artikel basiert unter anderem auf dem Sicherheitsleitfaden für den Internet Explorer 8, den Microsoft zum kostenlosen Download parat stellt. (mje)