Wichtige Sicherheitseinstellungen im Internet Explorer

Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten Freigabelisten

Die im letzten Abschnitt genannte Einstellung sorgt dafür, dass keine ActiveX-Steuerelemente auf dem Client ausgeführt werden, solange diese nicht vorab von der Organisation freigegeben wurden. Einige Organisationen empfinden diese Einstellung jedoch als zu restriktiv. Wenn dies auch bei Ihnen der Fall ist und Sie die Einstellung so nicht nutzen möchten, so stellen Sie zumindest sicher, dass die Einstellung Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderung für die Zonen Internet und Eingeschränkte Sites deaktiviert ist (diese Einstellung entspricht auch der Standardkonfiguration des Browsers).

Diese auch ActiveX-Opt-In genannte Einstellung sorgt dafür, dass sich die Steuerelemente wie gewünscht verhalten und die Systeme trotzdem nicht nur durch den einfachen Besuch einer Website angegriffen werden können. Mit der Opt-In-Funktion müssen die Benutzer als Preis für die höhere Sicherheit bei bekannten und erwiesenermaßen harmlosen Websites die Steuerelemente erst freigeben, bevor die Website wie vorgesehen funktioniert.

Egal, wie genau Sie die ActiveX-Installation einschränken - es ist immer möglich, dass die Einschränkungen Auswirkungen auf wichtige geschäftliche Funktionalitäten haben. Wir empfehlen daher, dass Sie eine Liste von vorab freigegebenen Steuerelementen auf den Computern der Benutzer bereitstellen und die Liste mit einer Funktion wie der Gruppenrichtlinie verwalten. Über die Gruppenrichtlinie können Sie die Klassen-ID der Steuerelemente zum entsprechenden Registrierungspfad hinzufügen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved

Anmerkung: Tritt in einem ActiveX-Steuerelement eine Sicherheitslücke auf, die eine Bedrohung für die Benutzer darstellt, so ist es möglich, dass Microsoft das entsprechende Steuerelement mithilfe eines über Windows Update Windows Update, Microsoft Update oder Windows Server Update Services verteilten Sicherheitsupdates deaktiviert. In diesem ist das Steuerelement auch dann deaktiviert, wenn es in der beschriebenen Form über eine vorab definierte Liste explizit zugelassen wurde.

Mit GUIDs (Globally Unique Identifier) können installierte Steuerelemente durch die Bearbeitung der entsprechenden Registrierungseinstellungen aktiviert oder deaktiviert werden. Wenn Sie noch nicht über einen passenden GUID-Katalog für Ihre Organisation verfügen, dann sollten Sie dringend einen solchen Katalog erstellen. Eine Möglichkeit zu Erstellung eines passenden GUID-Katalogs ist die Einrichtung eines neuen Computers. Auf diesem neuen Computer konfigurieren und aktivieren Sie dann die erforderlichen Geschäftsanwendungen und überprüfen danach die GUIDs im Internet Explorer-Registrierungspfad. Mit der so erstellten Liste wissen Sie dann, welche Steuerelemente mindestens für Ihre Umgebung erforderlich sind, und können die entsprechenden Steuerelemente in einer vorab definierten Liste aus freigegebenen Steuerelementen eintragen.

Es wird die Nutzung von GPOs zur Verwaltung einer Liste von freigegebenen Steuerelementen empfohlen. Weitere Informationen zur ActiveX-Sicherheit und Best-Practices zur Verwaltung von ActiveX-Steuerelementen finden Sie im Artikel ActiveX-Sicherheit: Verbesserungen und Best-Practices im MSDN.