Zone settings in deep

Zonen Settings in Deep für IE10
Microsoft Deutschland GmbH, Microsoft Corporation
Published: August 2012
Author: Stephanus Schulte
Abstract
Dieser Guide bietet ihnen einen tieferen Einblick in die Funktionen und Konfigurationen der
Internet Zonen von Microsoft® Windows™ Betriebssytemen.
Zone Settings in Deep
Legal Notice
Legal Notice
The information contained in this document represents the current view of Microsoft Corporation on
the issues discussed as of the date of publication. Because Microsoft must respond to changing
market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and
Microsoft cannot guarantee the accuracy of any information presented after the date of publication.
This White Paper is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT.
Complying with all applicable copyright laws is the responsibility of the user. Without limiting the
rights under copyright, no part of this document may be reproduced, stored in or introduced into a
retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying,
recording, or otherwise), or for any purpose, without the express written permission of Microsoft
Corporation.
Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual
property rights covering subject matter in this document. Except as expressly provided in any written
license agreement from Microsoft, the furnishing of this document does not give you any license to
these patents, trademarks, copyrights, or other intellectual property.
© 2010-2012 Microsoft Corporation. All rights reserved.
Microsoft and product names identified in this document are either registered trademarks or
trademarks of Microsoft Corporation in the U.S.A. and/or other countries. The names of actual
companies and products mentioned herein may be the trademarks of their respective owners.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 2
Zone Settings in Deep
Inhaltsverzeichnis
Inhaltsverzeichnis
Legal Notice ............................................................................................................................................. 2
Links ....................................................................................................................................................... 14
Anmerkung: ........................................................................................................................................... 14
Zonen Settings ....................................................................................................................................... 15
.NET Framework .................................................................................................................................... 15
1.
Loose XAML ............................................................................................................................... 15
Stats: .............................................................................................................................................. 15
Erklärung: ...................................................................................................................................... 15
Links: .............................................................................................................................................. 16
Mögliche Werte: ............................................................................................................................ 16
Standardwerte:.............................................................................................................................. 16
Empfehlung: .................................................................................................................................. 17
2.
XAML-Browseranwendungen.................................................................................................... 18
Stats: .............................................................................................................................................. 18
Erklärung: ...................................................................................................................................... 18
Mögliche Werte: ............................................................................................................................ 18
Standardwerte:.............................................................................................................................. 19
Empfehlung: .................................................................................................................................. 19
3.
XPS Dokumente ......................................................................................................................... 20
Stats: .............................................................................................................................................. 20
Erklärung: ...................................................................................................................................... 20
Hinweis: ......................................................................................................................................... 20
Mögliche Werte: ............................................................................................................................ 21
Standardwerte:.............................................................................................................................. 21
Empfehlung: .................................................................................................................................. 21
Auf .NET Framework basierende Komponenten................................................................................... 22
4.
Berechtigungen für Komponenten mit Manifesten .................................................................. 22
Stats: .............................................................................................................................................. 22
Mögliche Werte: ............................................................................................................................ 22
Standardwerte:.............................................................................................................................. 22
Empfehlung: .................................................................................................................................. 23
5.
Ausführen von Komponenten, die nicht mit Authenticode signiert sind................................. 24
Stats: .............................................................................................................................................. 24
2010-2012 Microsoft Corporation. All rights reserved.
Seite 3
Zone Settings in Deep
Inhaltsverzeichnis
Erklärung: ...................................................................................................................................... 24
Mögliche Werte: ............................................................................................................................ 25
Standardwerte:.............................................................................................................................. 25
Empfehlung: .................................................................................................................................. 26
6.
Ausführen von Komponenten, die mit Authenticode signiert sind .......................................... 27
Stats: .............................................................................................................................................. 27
Erklärung: ...................................................................................................................................... 27
Mögliche Werte: ............................................................................................................................ 28
Standardwerte:.............................................................................................................................. 28
Empfehlung: .................................................................................................................................. 28
ActiveX-Steuerelemente und Plugins .................................................................................................... 29
7.
ActiveX-Filterung zulassen......................................................................................................... 29
Stats: .............................................................................................................................................. 29
Erklärung: ...................................................................................................................................... 29
Mögliche Werte: ............................................................................................................................ 29
Standardwerte:.............................................................................................................................. 30
Beispiel: ......................................................................................................................................... 30
Empfehlung: .................................................................................................................................. 30
8. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne
Eingabeaufforderungen zulassen ...................................................................................................... 31
Stats: .............................................................................................................................................. 31
Mögliche Werte: ............................................................................................................................ 32
Standardwerte:.............................................................................................................................. 32
Empfehlung: .................................................................................................................................. 32
9.
Skriptlets zulassen ..................................................................................................................... 33
Stats: .............................................................................................................................................. 33
Erklärung: ...................................................................................................................................... 33
Mögliche Werte: ............................................................................................................................ 33
Standardwerte:.............................................................................................................................. 34
Empfehlung: .................................................................................................................................. 34
10.
Automatische Eingabeaufforderung für ActiveX-Steuerelemente ....................................... 35
Stats: .............................................................................................................................................. 35
Erklärung: ...................................................................................................................................... 35
Mögliche Werte: ............................................................................................................................ 36
2010-2012 Microsoft Corporation. All rights reserved.
Seite 4
Zone Settings in Deep
Inhaltsverzeichnis
Standardwerte:.............................................................................................................................. 36
Empfehlung: .................................................................................................................................. 36
11.
Binär- und Skriptverhalten .................................................................................................... 37
Stats: .............................................................................................................................................. 37
Erklärung: ...................................................................................................................................... 37
Mögliche Werte: ............................................................................................................................ 41
Standardwerte:.............................................................................................................................. 41
Empfehlung: .................................................................................................................................. 41
12.
Videos und Animationen auf einer Webseite anzeigen, die keine externe
Medienwiedergabe verwendet ......................................................................................................... 42
Stats: .............................................................................................................................................. 42
Erklärung: ...................................................................................................................................... 42
Beispiel: ......................................................................................................................................... 43
Mögliche Werte: ............................................................................................................................ 43
Standardwerte:.............................................................................................................................. 43
Empfehlung: .................................................................................................................................. 43
13.
Signierte ActiveX-Steuerelemente herunterladen ................................................................ 44
Stats: .............................................................................................................................................. 44
Erklärung: ...................................................................................................................................... 44
Mögliche Werte: ............................................................................................................................ 44
Standardwerte:.............................................................................................................................. 45
Empfehlung: .................................................................................................................................. 45
14.
Unsignierte ActiveX-Steuerelemente herunterladen ............................................................ 46
Stats: .............................................................................................................................................. 46
Erklärung: ...................................................................................................................................... 46
Mögliche Werte: ............................................................................................................................ 46
Standardwerte:.............................................................................................................................. 47
Empfehlung: .................................................................................................................................. 47
15.
ActiveX-Steuerelemente initialisieren und ausführen, die nicht als „sicher für Skripting“
markiert sind ..................................................................................................................................... 48
Stats: .............................................................................................................................................. 48
Erklärung: ...................................................................................................................................... 48
Mögliche Werte: ............................................................................................................................ 49
Standardwerte:.............................................................................................................................. 49
2010-2012 Microsoft Corporation. All rights reserved.
Seite 5
Zone Settings in Deep
Inhaltsverzeichnis
Empfehlung: .................................................................................................................................. 49
16.
Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen .. 50
Stats: .............................................................................................................................................. 50
Erklärung: ...................................................................................................................................... 50
Mögliche Werte: ............................................................................................................................ 51
Standardwerte:.............................................................................................................................. 51
Empfehlung: .................................................................................................................................. 51
17.
ActiveX-Steuerelemente und Plug-ins ausführen ................................................................. 52
Stats: .............................................................................................................................................. 52
Erklärung: ...................................................................................................................................... 52
Beispiel: ......................................................................................................................................... 52
Mögliche Werte: ............................................................................................................................ 53
Standardwerte:.............................................................................................................................. 53
Empfehlung: .................................................................................................................................. 53
18.
ActiveX-Steuerelmente ausführen, die für Scripting sicher sind........................................... 54
Stats: .............................................................................................................................................. 54
Erklärung: ...................................................................................................................................... 54
Mögliche Werte: ............................................................................................................................ 55
Standardwerte:.............................................................................................................................. 55
Empfehlung: .................................................................................................................................. 55
Downloads ............................................................................................................................................. 56
19.
Dateidownload ...................................................................................................................... 56
Stats: .............................................................................................................................................. 56
Erklärung: ...................................................................................................................................... 56
Beispiel: ......................................................................................................................................... 56
Mögliche Werte: ............................................................................................................................ 57
Standardwerte:.............................................................................................................................. 57
Empfehlung: .................................................................................................................................. 58
20.
Schriftartdownload................................................................................................................ 59
Stats: .............................................................................................................................................. 59
Erklärung: ...................................................................................................................................... 59
Mögliche Werte: ............................................................................................................................ 59
Standardwerte:.............................................................................................................................. 60
Empfehlung: .................................................................................................................................. 60
2010-2012 Microsoft Corporation. All rights reserved.
Seite 6
Zone Settings in Deep
Inhaltsverzeichnis
Enable .NET Framework setup .............................................................................................................. 61
21.
.NET Framework Setup aktivieren ......................................................................................... 61
Stats: .............................................................................................................................................. 61
Erklärung: ...................................................................................................................................... 61
Mögliche Werte: ............................................................................................................................ 62
Standardwerte:.............................................................................................................................. 62
Empfehlung: .................................................................................................................................. 62
Verschiedenes ....................................................................................................................................... 63
22.
Auf Datenquellen über Domänengrenzen hinweg zugreifen................................................ 63
Stats: .............................................................................................................................................. 63
Erklärung: ...................................................................................................................................... 63
Beispiel: ......................................................................................................................................... 64
Mögliche Werte: ............................................................................................................................ 64
Standardwerte:.............................................................................................................................. 64
Empfehlung: .................................................................................................................................. 64
23.
Ziehen von Inhalten aus unterschiedlichen Domänen zwischen Fenstern aktivieren .......... 65
Stats: .............................................................................................................................................. 65
Erklärung: ...................................................................................................................................... 65
Mögliche Werte: ............................................................................................................................ 66
Standardwerte:.............................................................................................................................. 66
Empfehlung ................................................................................................................................... 66
24.
Ziehen von Inhalten aus unterschiedlichen Domänen in einem Fenster aktivieren ............. 67
Stats: .............................................................................................................................................. 67
Erklärung: ...................................................................................................................................... 67
Mögliche Werte: ............................................................................................................................ 68
Standardwerte:.............................................................................................................................. 68
Empfehlung: .................................................................................................................................. 68
25.
META Refresh zulassen ......................................................................................................... 69
Stats: .............................................................................................................................................. 69
Erklärung: ...................................................................................................................................... 69
Beispiel: ......................................................................................................................................... 69
Mögliche Werte: ............................................................................................................................ 70
Standardwerte:.............................................................................................................................. 70
Empfehlung: .................................................................................................................................. 70
2010-2012 Microsoft Corporation. All rights reserved.
Seite 7
Zone Settings in Deep
26.
Inhaltsverzeichnis
Skripting des Microsoft-Browsersteuerelements zulassen ................................................... 71
Stats: .............................................................................................................................................. 71
Erklärung: ...................................................................................................................................... 71
Beispiel: ......................................................................................................................................... 71
Mögliche Werte: ............................................................................................................................ 71
Standardwerte:.............................................................................................................................. 72
Empfehlung: .................................................................................................................................. 72
27.
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen ................ 73
Stats: .............................................................................................................................................. 73
Erklärung: ...................................................................................................................................... 73
Beispiel: ......................................................................................................................................... 74
Mögliche Werte: ............................................................................................................................ 74
Standardwerte:.............................................................................................................................. 74
Empfehlung: .................................................................................................................................. 75
28.
Für Webseiten das Verwenden eingeschränkter Protokolle für aktive Inhalte zulassen ..... 76
Stats: .............................................................................................................................................. 76
Erklärung: ...................................................................................................................................... 76
Mögliche Werte: ............................................................................................................................ 77
Standardwerte:.............................................................................................................................. 77
Empfehlung: .................................................................................................................................. 77
29.
Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen ..................... 78
Stats: .............................................................................................................................................. 78
Erklärung: ...................................................................................................................................... 78
Beispiel: ......................................................................................................................................... 79
Mögliche Werte: ............................................................................................................................ 79
Standardwerte:.............................................................................................................................. 79
Empfehlung: .................................................................................................................................. 79
30.
Gemischte Inhalte anzeigen .................................................................................................. 80
Stats: .............................................................................................................................................. 80
Erklärung: ...................................................................................................................................... 80
Beispiel: ......................................................................................................................................... 81
Mögliche Werte: ............................................................................................................................ 81
Standardwerte:.............................................................................................................................. 81
Empfehlung: .................................................................................................................................. 82
2010-2012 Microsoft Corporation. All rights reserved.
Seite 8
Zone Settings in Deep
Inhaltsverzeichnis
31.
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat
vorhanden ist..................................................................................................................................... 83
Stats: .............................................................................................................................................. 83
Erklärung: ...................................................................................................................................... 83
Beispiel: ......................................................................................................................................... 84
Mögliche Werte: ............................................................................................................................ 84
Standardwerte:.............................................................................................................................. 84
Empfehlung: .................................................................................................................................. 84
32.
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien ............................................ 85
Stats: .............................................................................................................................................. 85
Erklärung: ...................................................................................................................................... 85
Beispiel: ......................................................................................................................................... 85
Mögliche Werte: ............................................................................................................................ 86
Standardwerte:.............................................................................................................................. 86
Empfehlung: .................................................................................................................................. 86
31.
MIME Ermittlung zulassen..................................................................................................... 87
Stats: .............................................................................................................................................. 87
Erklärung: ...................................................................................................................................... 87
Mögliche Werte: ............................................................................................................................ 88
Standardwerte:.............................................................................................................................. 88
Empfehlung: .................................................................................................................................. 88
32.
Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen .. 89
Stats: .............................................................................................................................................. 89
Erklärung: ...................................................................................................................................... 89
Mögliche Werte: ............................................................................................................................ 89
Standardwerte:.............................................................................................................................. 90
Empfehlung: .................................................................................................................................. 90
33.
Anwendungen und unsichere Dateien starten ..................................................................... 91
Stats: .............................................................................................................................................. 91
Erklärung: ...................................................................................................................................... 91
Beispiel: ......................................................................................................................................... 91
Mögliche Werte: ............................................................................................................................ 92
Standardwerte:.............................................................................................................................. 92
Empfehlung: .................................................................................................................................. 93
2010-2012 Microsoft Corporation. All rights reserved.
Seite 9
Zone Settings in Deep
34.
Inhaltsverzeichnis
Programme und Dateien in einem IFRAME starten .............................................................. 94
Stats: .............................................................................................................................................. 94
Erklärung: ...................................................................................................................................... 94
Beispiel: ......................................................................................................................................... 95
Mögliche Werte: ............................................................................................................................ 95
Standardwerte:.............................................................................................................................. 95
Empfehlung: .................................................................................................................................. 96
35.
Fenster und Frames zwischen verschiedenen Domänen bewegen ...................................... 97
Stats: .............................................................................................................................................. 97
Erklärung: ...................................................................................................................................... 97
Beispiel: ......................................................................................................................................... 98
Mögliche Werte: ............................................................................................................................ 98
Standardwerte:.............................................................................................................................. 98
Empfehlung: .................................................................................................................................. 99
36.
Legacyfilter rendern ........................................................................................................... 100
Stats: ............................................................................................................................................ 100
Erklärung: .................................................................................................................................... 100
Beispiel: ....................................................................................................................................... 100
Mögliche Werte: .......................................................................................................................... 101
Standardwerte:............................................................................................................................ 101
Empfehlung: ................................................................................................................................ 101
37.
Unverschlüsselte Formulardaten übermitteln .................................................................... 102
Stats: ............................................................................................................................................ 102
Erklärung: .................................................................................................................................... 102
Beispiel: ....................................................................................................................................... 103
Mögliche Werte: .......................................................................................................................... 103
Standardwerte:............................................................................................................................ 103
Empfehlung: ................................................................................................................................ 104
38.
Popupblocker verwenden ................................................................................................... 105
Stats: ............................................................................................................................................ 105
Erklärung: .................................................................................................................................... 105
Beispiel: ....................................................................................................................................... 105
Mögliche Werte: .......................................................................................................................... 105
Standardwerte:............................................................................................................................ 106
2010-2012 Microsoft Corporation. All rights reserved.
Seite 10
Zone Settings in Deep
Inhaltsverzeichnis
Empfehlung: ................................................................................................................................ 106
39.
SmartScreen-Filter verwenden............................................................................................ 107
Stats: ............................................................................................................................................ 107
Erklärung: .................................................................................................................................... 107
Beispiel: ....................................................................................................................................... 107
Mögliche Werte: .......................................................................................................................... 107
Standardwerte:............................................................................................................................ 108
Empfehlung: ................................................................................................................................ 108
40.
Dauerhaftigkeit der Benutzerdaten .................................................................................... 109
Stats: ............................................................................................................................................ 109
Erklärung: .................................................................................................................................... 109
Mögliche Werte: .......................................................................................................................... 109
Standardwerte:............................................................................................................................ 110
Empfehlung: ................................................................................................................................ 110
41.
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren ............................................................................................................................... 111
Stats: ............................................................................................................................................ 111
Erklärung: .................................................................................................................................... 111
Beispiel: ....................................................................................................................................... 112
Mögliche Werte: .......................................................................................................................... 112
Standardwerte:............................................................................................................................ 112
Empfehlung: ................................................................................................................................ 112
Scripting ............................................................................................................................................... 113
42.
Active Scripting .................................................................................................................... 113
Stats: ............................................................................................................................................ 113
Erklärung: .................................................................................................................................... 113
Beispiel: ....................................................................................................................................... 113
Mögliche Werte: .......................................................................................................................... 114
Standardwerte:............................................................................................................................ 114
Empfehlung: ................................................................................................................................ 114
43.
Programmatischen Zugriff auf die Zwischenablage zulassen.............................................. 115
Stats: ............................................................................................................................................ 115
Erklärung: .................................................................................................................................... 115
Beispiel: ....................................................................................................................................... 115
2010-2012 Microsoft Corporation. All rights reserved.
Seite 11
Zone Settings in Deep
Inhaltsverzeichnis
Mögliche Werte: .......................................................................................................................... 116
Standardwerte:............................................................................................................................ 116
Empfehlung: ................................................................................................................................ 116
44.
Statuszeilenaktualisierung über Skript zulassen ................................................................. 117
Stats: ............................................................................................................................................ 117
Erklärung: .................................................................................................................................... 117
Beispiel: ....................................................................................................................................... 117
Mögliche Werte: .......................................................................................................................... 117
Standardwerte:............................................................................................................................ 117
Empfehlung: ................................................................................................................................ 118
45.
Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen
119
Stats: ............................................................................................................................................ 119
Erklärung: .................................................................................................................................... 119
Beispiel: ....................................................................................................................................... 119
Mögliche Werte: .......................................................................................................................... 120
Standardwerte:............................................................................................................................ 120
Empfehlung: ................................................................................................................................ 120
46.
XSS-Filter aktivieren............................................................................................................. 121
Stats: ............................................................................................................................................ 121
Erklärung: .................................................................................................................................... 121
Beispiel: ....................................................................................................................................... 121
Mögliche Werte: .......................................................................................................................... 121
Standardwerte:............................................................................................................................ 121
Empfehlung: ................................................................................................................................ 122
47.
Scripting von Java-Applets................................................................................................... 123
Stats: ............................................................................................................................................ 123
Erklärung: .................................................................................................................................... 123
Mögliche Werte: .......................................................................................................................... 123
Standardwerte:............................................................................................................................ 124
Empfehlung: ................................................................................................................................ 124
Benutzerauthentifizierung .................................................................................................................. 125
48.
Anmeldung .......................................................................................................................... 125
Stats: ............................................................................................................................................ 125
2010-2012 Microsoft Corporation. All rights reserved.
Seite 12
Zone Settings in Deep
Inhaltsverzeichnis
Erklärung: .................................................................................................................................... 125
Mögliche Werte: .......................................................................................................................... 126
Standardwerte:............................................................................................................................ 126
Empfehlung: ................................................................................................................................ 126
2010-2012 Microsoft Corporation. All rights reserved.
Seite 13
Zone Settings in Deep
Links
Links
Blog des Internet Explorer Support Team Deutschland:
http://blogs.technet.com/b/iede
Blog des IE Entwicklerteams:
http://blogs.msdn.com/b/ie/
How to use security zones in Internet Explorer:
http://support.microsoft.com/kb/174360
Internet Explorer security zones registry entries for advanced users:
http://support.microsoft.com/kb/182569
ActiveX Security: Improvements and Best Practices:
http://msdn.microsoft.com/en-us/library/bb250471(VS.85).aspx
About URL Security Zone Templates:
http://msdn.microsoft.com/en-us/library/ms537186(VS.85).aspx
Chapter 4 Security Zones IE Resource Kit
http://technet.microsoft.com/en-us/library/dd361896.aspx
Anmerkung:
1. Die allgemeine Empfehlung für die Settings entspricht IMMER dem default Setting der
jeweiligen Zone. Bei den Empfehlungen für die einzelnen Settings wird versucht gewisse
Überlegungen miteinzubeziehen. Sofern der Leser sich diese Überlegungen zu eigen macht,
trägt er die alleinige Verantwortung für die Konsequenzen des Veränderns der Settings.
Der Autor oder die Microsoft Deutschland GmbH bzw. Microsoft Corporation schließen
jegliche Haftung für entstandene Schäden aus, die durch eine Veränderung der Standard
Einstellungen entstanden sind oder zukünftig entstehen.
2. Nicht zu jedem Zonensetting wurde ein Beispiel verlinkt/erstellt. Dies ist immer dann der Fall,
wenn es durch mangelnde Verbreitung, nicht mehr (häufig) verwendete Settings oder
erheblichen (externen) Aufwand nicht sinnvoll ist, dies im Rahmen dieses Dokuments zu tun.
3. Jegliche Änderung der Settings muss entsprechend der eingesetzten internen wie externen
Anwendungen getestet und verifiziert werden, so dass keine (ungewollten) Einschränkungen
entstehen oder Ausfälle auftreten.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 14
Zone Settings in Deep
Loose XAML
Zonen Settings
.NET Framework
1. Loose XAML
Stats:
GUI Name: Loose XAML / Loose XAML
Policy Name: Loose XAML-Dateien
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2402
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=710
Erklärung:
Dies sind Dateien im Format ´eXtensible Application Markup Language´ (XAML). XAML ist eine
deklarative Markupsprache auf XML-Grundlage. Sie wird gewöhnlich zum Erstellen intelligenter
Benutzeroberflächen und von Grafiken verwendet, die die Windows Presentation Foundation
nutzen.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden XAML-Dateien automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten
nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer
aufgefordert, das Laden von XAML-Dateien zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XAML-Dateien nicht in Internet Explorer
geladen. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob
XAML-Dateien in Internet Explorer geladen werden sollen.
"Loose XAML" and "XAML browser applications"
Q: What is the meaning of the two options?
How does Internet Explorer differentiate between "loose XAML" and "XAML browser applications"?
2010-2012 Microsoft Corporation. All rights reserved.
Seite 15
Zone Settings in Deep
Loose XAML
A: Loose XAML refers to a .xaml file. These files can be navigated to and viewed in the browser.
XAML browser applications are called XBAPs, and have a .xbap extension. The options let the user
specify which of these .NET Framework content types are enabled or disabled, or whether to prompt
for user consent to run in a particular security zone; for example, in Internet zone, prompt for user
consent to run XBAPs, whereas in Intranet zone, simply enable them to run.
XBAPs are online-only WPF applications that run in the browser in a security sandbox. They provide
much of the richness and power of WPF with the ease of deployment and navigation-style user
experience of being hosted in the browser. XBAPs typically have C# or Visual Basic code behind them.
Loose XAML are .xaml files without code behind them that can be run within the browser without
compilation.
Loose XAML are .xaml files without code behind them that can be run within the browser without
compilation.
Links:
XAML Overview (WPF)
Wikipedia: Extensible Application Markup Language
Frequently Asked Questions (FAQ) about the structure of .NET Framework-specific configuration
options in Internet Explorer
Mögliche Werte:
0 => Aktivieren
3 => Deaktivieren
1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 16
Zone Settings in Deep
Loose XAML
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die
Rechte des hostenden IE Prozesses beschränken.
Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der
Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in
der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“
zu setzen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 17
Zone Settings in Deep
XAML-Browseranwendungen
2. XAML-Browseranwendungen
Stats:
GUI Name: XAML-Browseranwendungen / XAML browser applications
Policy Name: XAML-Browseranwendungen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2400
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=704
Erklärung:
Hierbei handelt es sich um im Browser ausgeführte, mit ClickOnce bereitgestellte Anwendungen, die
mithilfe von WinFX erstellt wurden. Diese Anwendungen werden in einem eigenen
Sicherheitsbereich ("Sandbox") ausgeführt und machen die Möglichkeiten der Plattform von
Windows Presentation Foundation für das Web nutzbar.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden XBAPs automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht
ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert,
das Laden von XBAPs zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XBAPs nicht in Internet Explorer geladen.
Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob
XBAPs in Internet Explorer geladen werden sollen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010-2012 Microsoft Corporation. All rights reserved.
Seite 18
Zone Settings in Deep
XAML-Browseranwendungen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die
Rechte des hostenden IE Prozesses beschränken.
Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der
Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in
der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“
zu setzen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 19
Zone Settings in Deep
XPS Dokumente
3. XPS Dokumente
Stats:
GUI Name: XPS-Dokumente / XPS documents
Policy Name: XPS-Dateien
Supported on: Mindestens Internet Explorer 7.0 (auf Windows XP, Windows Server 2003, Windows Vista,
Windows Server 2008)
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2401
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=712
Erklärung:
Diese Dateien wurden mit dem XML Paper Specification-Dokumentformat erstellt und enthalten in
Seiten aufgeteilten Inhalt in einem festen Layout. Dieses Format ist über Plattformen, Geräte und
Anwendungen hinweg portierbar.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden xps-Dateien automatisch in Internet Explorer 7.0 geladen. Benutzer können dieses Verhalten
nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer
aufgefordert, das Laden von xps-Dateien zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden xps-Dateien nicht in Internet Explorer 7
geladen. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob xpsDateien in Internet Explorer 7.0 geladen werden sollen.
Hinweis:
Diese Einstellung wirkt sich nicht auf den stand-alone XPS Viewer aus dem Essential Pack und daher auch
nicht auf Windows 7 und höher aus.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 20
Zone Settings in Deep
XPS Dokumente
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Dektivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Dem Setzen des default Settings spricht nichts entgegen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 21
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Auf .NET Framework basierende Komponenten
4. Berechtigungen für Komponenten mit Manifesten
Stats:
GUI Name: Berechtigungen für Komponenten mit Manifesten / Permissions for components with
manifest
Supported on: Mindestens Internet Explorer 7.0
Registry key: [HKLM|HKCU]\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2007
"Permissions for components with manifests"
Q: This option may be confusing, as the execution of a managed piece of code requires a manifest.
Does this refer only to published ClickOnce applications where a user launches the (native code
based) setup by browsing to a URL with the .application extension?
What does "High Safety" mean?
A: This section refers to a new feature added in the .NET Framework 3.5. It allows you to add a
ClickOnce-style manifest to a control in the browser. It does not apply to ClickOnce applications.
More information is available in the blog post at
http://blogs.msdn.com/shawnfa/archive/2008/01/24/manifested-controls-redux.aspx . That post
also includes links to a series of posts covering the feature.
Mögliche Werte:
65535 => Hohe Sicherheit
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 22
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Internet:
IE6: N/A;
IE7: Hoch;
IE8: Hoch;
IE9: Hoch;
IE10: Hoch;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Hoch;
IE8: Hoch ;
IE9: Hoch;
IE10: Hoch;
Lokales Intranet:
IE6: N/A;
IE7: Hoch;
IE8: Hoch;
IE9: Hoch;
IE10: Hoch;
Empfehlung:
Da es eher selten vorkommt, dass ClickOnce Anwendungen in einem Unternehmensumfeld aus dem
Internet gestartet werden, könnte hier zumindest für die Internet Zone das Setting „Deaktivieren“
gewählt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 23
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
5. Ausführen von Komponenten, die nicht mit Authenticode signiert
sind
Stats:
GUI Name: Ausführen von Komponenten, die nicht mit Authenticode signiert sind / Run components
not signed with Authenticode
Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2001
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=776
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET
Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten
gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete
ausführbare Dateien, auf die von einem Link verwiesen wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete
Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer
gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete
Komponenten nicht aus.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete
Komponenten aus.
"Run components not signed with Authenticode"
Q: What does this option mean?
What does "components" refer to?
When is the Authenticode evidence check performed?
2010-2012 Microsoft Corporation. All rights reserved.
Seite 24
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Is it done by Fusion or by Internet Explorer internal code?
When does Internet Explorer perform an Authenticode specific evidence check?
When does a custom CAS with publisher based trust come into play?
Does this apply for Authenticode signed setup packages (like MSI or CAB) or to the signature(s) of
contained components?
What is the difference when a managed component is deployed by OBJECT tag using the overloaded
managed syntax for the classid attribute vs. the 'classic' ActiveX approach with components compiled
with ComInterop?
A: These settings apply only to managed controls (referenced by an object tag using the overloaded
managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link).
The Authenticode signature check is done by the CLR and is only checking whether or not the
executable referenced by the object tag or link is signed with any Authenticode signature (not a
specific Authenticode signature).
Vgl.: http://support.microsoft.com/kb/969218
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 25
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer
gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die
Internet Zone sinnvoll sein.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 26
Zone Settings in Deep
Ausführen von Komponenten, die mit Authenticode signiert sind
6. Ausführen von Komponenten, die mit Authenticode signiert sind
Stats:
GUI Name: Ausführen von Komponenten, die mit Authenticode signiert sind / Run components
signed with Authenticode
Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\InternetsystemsteueRung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2001
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=777
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET
Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten
gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete
ausführbare Dateien, auf die von einem Link verwiesen wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete
Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer
gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete
Komponenten nicht aus.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete
Komponenten aus.
"Run components signed with Authenticode"
Q: What are the underpinnings (same questions as in Q2.2) for this option?
A: These settings apply only to managed controls (referenced by an object tag using the overloaded
managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link).
The Authenticode signature check is done by the CLR and is only checking whether or not the
executable referenced by the object tag or link is signed with any Authenticode signature (not a
specific Authenticode signature).
2010-2012 Microsoft Corporation. All rights reserved.
Seite 27
Zone Settings in Deep
Ausführen von Komponenten, die mit Authenticode signiert sind
Vgl.: http://support.microsoft.com/kb/969218
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer
gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die
Internet Zone sinnvoll sein.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 28
Zone Settings in Deep
ActiveX Filterung zulassen
ActiveX-Steuerelemente und Plugins
7. ActiveX-Filterung zulassen
Stats:
GUI Name: ActiveX-Filterung zulassen / Allow ActiveX Filtering
Supported on: Mindestens Internet Explorer 9.0
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2702
Erklärung:
Über diese Einstellung lässt sich steuern, ob in der entsprechenden Zone ActiveX Filterung möglich ist
oder nicht.
Introducing ActiveX Filtering in Internet Explorer 9
ActiveX Filtering allows you to browse the Web without running any ActiveX controls. As you browse the Web, you
may encounter webpages that don't work properly unless you install an ActiveX control. ActiveX controls are
powerful browser plugins that enable many rich web experiences. However, many of these controls are written by
3rd parties and Microsoft cannot guarantee their quality.
After installing an ActiveX control to use on a particular site, you may find that this control is now running on
many other websites as well. Sometimes, such controls may be used to display content that you don't want to see,
and they might even prevent you from having a good experience when viewing the webpage. Moreover, ActiveX
controls may introduce performance, reliability, security or privacy issues while browsing.
ActiveX Filtering puts you even more firmly in control of the ActiveX controls running in your browser. When
ActiveX Filtering is enabled, you can choose which websites you want to allow to run ActiveX controls. Sites you
have not approved cannot run these controls, and the browser will not show prominent notifications prompting
you to install or enable them.
Observe how ActiveX Filtering works with this demo page. For more information about ActiveX Filtering, click here.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 29
Zone Settings in Deep
ActiveX Filterung zulassen
Standardwerte:
Eingeschränkte Seiten:
IE9: Aktivieren;
IE10: Aktivieren;
Internet:
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE9: Deaktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE9: Deaktivieren;
IE10: Dektivieren;
Beispiel:
ActiveX Filtering (Testdrive)
s.auch: IE9 ActiveX Filtering
Empfehlung:
Die Standard-Settings sollten beibehalten werden, ggf. im Unternehmensumfeld auch für die
Internet Zone deaktivieren, sofern entsprechende andere Schutzmaßnahmen getroffen worden sind.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 30
Zone Settings in Deep
Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne…
8. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen
ohne Eingabeaufforderungen zulassen
Stats:
GUI Name: Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne
Eingabeaufforderungen zulassen/ Allow previously unused ActiveX controls to run without prompt
Policy Name: Anmeldung bei erster Ausführung deaktivieren / Turn Off First-Run Opt-In
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1208
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=691
Erklärung:
Diese Richtlinieneinstellung steuert auf Zonenbasis das Verhalten bei der ersten Ausführung eines
Steuerelements. Wenn ein Benutzer auf ein neues Steuerelement stößt, das zuvor noch nicht in
Internet Explorer ausgeführt wurde, wird er möglicherweise aufgefordert, das Steuerelement zu
genehmigen. Diese Funktion bestimmt, ob diese Aufforderung angezeigt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die "Gold Bar"-Benachrichtigung in der
entsprechenden Zone deaktiviert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die "Gold Bar"-Benachrichtigung in der
entsprechenden Zone aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die Bestätigungsaufforderung bei der
ersten Ausführung standardmäßig deaktiviert.
=== Detailed values: ===
enum: Id: IZ_Partname1208; ValueName: 1208
item: decimal: 0 => Aktivieren
item: decimal: 3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 31
Zone Settings in Deep
Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne…
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sind durchweg sinnvoll. Da die Kontrolle von ActiveX Komponenten dem
Administrator (Team) obliegt und ungewollte Controls nicht von normalen Usern installiert werden
können, sollte ein normaler User einen derartigen Dialog eh nicht zu sehen bekommen.
Dieses Setting sollte zusammen mit „Die Verwendung von ActiveX ohne Zustimmung nur für
genehmigte Domänen zulassen“ betrachtet werden.
Vgl. hierzu ActiveX Security: Improvements and Best Practices
2010-2012 Microsoft Corporation. All rights reserved.
Seite 32
Zone Settings in Deep
Skriptlets zulassen
9. Skriptlets zulassen
Stats:
GUI Name: Skriptlets zulassen / Allow Scriptlets
Policy Name: Skriptlets zulassen / Allow Scriptlets
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1209
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=688
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skriptlets zugelassen sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Skriptlets ausführen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Skriptlets ausführen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer ein Skriptlet
aktivieren oder deaktivieren.
Scriptlets: Internet Explorer 7 disables Dynamic HTML (DHTML) scriptlets, by default. (Scriptlets were
deprecated in Internet Explorer 5). System administrators can re-enable scriptlets by changing URL Actions
with the Internet Control Panel (INetCPl). The INetCPl text should read "Allow Scriptlets." If your programs
currently rely on scriptlets, you should modify the prograpms to use DHTML behaviors, which are more
efficient. Disabling scriptlets is part of the continuing work to ensure that unsupported technology is deemphasized in Internet Explorer.
Vgl.: Dynamic HTML (DHTML) Scriptlets
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 33
Zone Settings in Deep
Skriptlets zulassen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Dektivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden, ggf. kann sogar für das lokale Intranet das Setting
„Deaktivieren“ gewählt werden, wenn sichergestellt ist, dass keine Skriptlets mehr verwendet
werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 34
Zone Settings in Deep
10.
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Stats:
GUI Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente / Automatic prompting
for ActiveX controls
Policy Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente / Automatic prompting
for ActiveX controls
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2201
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=764
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer automatisch zur Installation
von ActiveX-Steuerelementen aufgefordert werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird eine Aufforderung angezeigt, wenn eine Site
ein ActiveX-Steuerelement instanziiert, das die Benutzer nicht installiert haben.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die
Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die
Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen.
Beginnend mit Windows XP Service Pack 2 (SP2) wurde Internet Explorer ein neues visuelles Feature
mit der Bezeichnung "Informationsleiste" hinzugefügt. Sie werden feststellen, dass die
Informationsleiste Sie über für den Download gesperrte Dateien informiert, wenn Sie eine Website
besuchen.
Vgl.: http://support.microsoft.com/kb/883255/de
2010-2012 Microsoft Corporation. All rights reserved.
Seite 35
Zone Settings in Deep
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann nach entsprechenden Tests das Setting für alle Zonen auf
„Deaktivieren“ gesetzt werden.
Vgl: Implementing and Administering the ActiveX Installer Service
2010-2012 Microsoft Corporation. All rights reserved.
Seite 36
Zone Settings in Deep
11.
Binär- und Skriptverhalten
Binär- und Skriptverhalten
Stats:
GUI Name: Binär- und Skriptverhalten/ Binary and script behaviors
Policy Name: Binär- und Skriptverhalten zulassen / Allow binary and script behaviors
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2000
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=732
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen, dynamische Binär- und Skriptverhalten zu verwalten:
Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt
wurden.
Wenn Sie diese Richtlinieneinstellung aktivieren, stehen Binär- und Skriptverhalten zur Verfügung.
Wenn Sie "Vom Administrator genehmigt" in der Dropdownliste auswählen, sind nur in der Liste
"Vom Administrator zugelassenes Verhalten" der Richtlinie "Sicherheitseinschränkung für
Binärverhalten" aufgeführte Verhalten verfügbar.
Wenn Sie diese Richtlinieneinstellung deaktivieren, stehen Binär- und Skriptverhalten nicht zur
Verfügung, es sei denn, Anwendungen haben einen benutzerdefinierten Sicherheits-Manager
implementiert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, stehen Binär- und Skriptverhalten zur
Verfügung.
What does binary behaviors security setting do?
Internet Explorer contains dynamic binary behaviors: components that encapsulate specific
functionality for HTML elements to which they were attached. These binary behaviors are not
controlled by any Internet Explorer security setting, allowing them to work on Web pages in the
Restricted Sites zone. In Windows Server 2003 Service Pack 1, there is a new Internet Explorer
security setting for binary behaviors. This new setting disables binary behaviors in the Restricted Sites
zone by default. In combination with the Local Machine Lockdown security feature, it also requires
administrative approval for binary behaviors to run in the Local Machine zone by default. This new
2010-2012 Microsoft Corporation. All rights reserved.
Seite 37
Zone Settings in Deep
Binär- und Skriptverhalten
binary behaviors security setting provides a general mitigation to vulnerabilities in Internet Explorer
binary behaviors.
For more information about binary behaviors, such as how they work and how to implement them,
see "Cutting Edge: Binary Behaviors in Internet Explorer 5.5" on the Microsoft Web site at
http://msdn.microsoft.com/en-us/magazine/cc301528.aspx. Note that binary behaviors, which are
defined in C++ and compiled, are different from attached behaviors and element behaviors, which
are defined in script.
Vgl.: http://technet.microsoft.com/en-us/library/cc776248(WS.10).aspx
Bsp.:
<a href="http://www.microsoft.com" style="behavior:url(mouseover.htc)">
Visit my Web site
</a>
Wobei “mouseover.htc” folgendem entspricht:
<PUBLIC:HTC>
<PUBLIC:ATTACH event="onmouseover" handler="fnOver"/>
<PUBLIC:ATTACH event="onmouseout" handler="fnOut"/>
<script LANGUAGE="jscript">
function fnOver(){element.style.color="red";}
function fnOut(){element.style.color="";}
</script>
</PUBLIC:HTC>
(aus: http://msdn.microsoft.com/en-us/magazine/bb985631.aspx )
What is a Binary Behavior:
Binary and script Behaviors are Extensions (Plugins) which can be used by HTML-like tags
within a webpage.
The most popular behavior is the usage of the VML-language.
Some menu-structures in Webpages are also built on that feature.
What happens if I deactivate binary and Script-behaviors:
Tags which would initiate a behavior will not be executed. As the tag would be interpreted as a
custom HTML-tag with no relationship to the intended behavior, it will usually do nothing.
How can I evaluate if binary behaviors are used in my environment?
You can use the Application compatibility Toolkit (Version 5 and above) and enable the IE-testing. In
case that a behavior was blocked due to the security setting for the given security-zone (e.g. Internetzone), ACT will have an event "BinaryBhvr" with the URL, the index for the UrlZone (3=Internet) and
the blocked behavior itself (e.g. #default#VML)
Additional links:
2010-2012 Microsoft Corporation. All rights reserved.
Seite 38
Zone Settings in Deep
Binär- und Skriptverhalten
Security Considerations: Element Behaviors:
http://msdn.microsoft.com/en-us/library/aa753685.aspx
--- snip --Security Considerations: Element Behaviors
This topic provides information about security considerations related to element behaviors. This
document doesn´t provide all you need to know about security issues—instead, use it as a starting
point and reference for this technology area.
A Binary Element Behavior (or binary behavior) is a Component Object Model (COM) object loaded
by a Web page and assigned to an element type in the page—either a custom element tag or an
existing HTML tag. The COM object is then able to customize the behavior of the tag by
implementing the IElementBehavior interface. Customizations include any options available to
scripted behaviors and more advanced behaviors such as Microsoft Windows Graphics Device
Interface (GDI) rendering. For more information on creating binary element behaviors, see Binary
Behaviors Overviews and Tutorials.
Because a binary behavior is a COM object, a binary behavior can execute any code after loading. For
that reason, the security profile of a binary behavior is very similar to that of a Microsoft ActiveX
control, and the same security considerations apply. Binary behaviors, like ActiveX controls, run with
the security credentials of the user running the browser process. This means a binary behavior can
not only render to the screen, it can also potentially access local files, configuration settings, or
network resources. Accessing a page that loads a malicious binary behavior presents a considerable
security risk.
Windows Internet Explorer in Windows XP Service Pack 2 (SP2) offers three major techniques for
restricting binary behaviors, as follows:
1.
2.
3.
Processes listed in the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BEHAVIORS registry key do not load binary
behaviors on Web pages in the Restricted zone by default. Other processes can be added or
removed from this list via administrative group policy or by setting the registry key manually.
For more information, see Internet Explorer Maintenance Policy.
Binary behaviors can be specifically allowed or forbidden to run based on the zone of the
Web page loading the binary behavior. This is done via administrative group policy, setting
registry keys manually, or enabling behaviors programmatically using the
CoInternetSetFeatureEnabled and IInternetZoneManager::SetZoneActionPolicy functions.
For example, a process hosting the WebBrowser Control can disallow binary behaviors in
both the Restricted Sites zone and the Local Machine zone while allowing it in other zones.
For more information about the CoInternetSetFeatureEnabled function, see Introduction to
Feature Controls.
Binary behaviors can be specifically allowed or forbidden to run based on the combination of
namespace and behavior name. Specific behaviors can be added to the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\AllowedBehaviors registry key. For example, adding a #default#VML# DWORD key
with a value of 0 disables the built-in Vector Markup Language (VML) binary behavior.
--- snip --2010-2012 Microsoft Corporation. All rights reserved.
Seite 39
Zone Settings in Deep
Binär- und Skriptverhalten
Documentation of changes in Functionality in XP SP2
http://download.microsoft.com/download/8/7/9/879a7b46-5ddb-4a82-b64d64e791b3c9ae/05_CIF_Browsing.DOC
-- snip -New Internet Explorer Security Setting
Detailed description
A new URL Action setting, Binary Behaviors, is in each Internet Explorer security zone. The default
value for this setting is Enable for all zones except the Restricted Sites zone. In the Restricted Sites
zone, the default value is Disable.
Why is this change important? What threats does it help mitigate?
This new setting helps mitigate attacks in which binary behaviors were being used maliciously and
allows the user to control the use of binary behaviors on a per-zone basis.
What works differently?
Any use of any binary behaviors for HTML rendering from the Restricted Sites zone is blocked.
How do I resolve these issues?
To use binary behaviors from the Restricted Sites zone, an application will have to implement a
custom security manager. (For more information, see “Creating a Customized URL Security
Manager” in “Introduction to URL Security Zones― on the Microsoft Web site at
http://go.microsoft.com/fwlink/?LinkId=21863.)
When the binary behaviors URL action is exercised from a custom security manager, the URL action
will pass in a string representation of the particular binary behaviors that can be enabled by that
custom security manager as needed for application compatibility. The following process takes place
when this URL Action is exercised:




Internet Explorer calls into a custom security manager (if available), using the
ProcessUrlAction method with a dwAction of URLACTION_BEHAVIOR_RUN.
The pContext parameter points to a LPCWSTR that contains the behavior that a policy is
being queried for. For example, #default#time.
You set *pPolicy = URLPOLICY_ALLOW for your SmartTag behavior, from within your custom
security manager, as appropriate.
In the absence of the custom security manager, the default action is to disallow running
behaviors in the Restricted zone.
If you are a desktop administrator you can decide which Binary Behaviors to allow in the Lockeddown Local Machine Zone. To enable a behavior in the Locked-down Local Machine Zone, you can
add it to the list of administrator-approved behaviors as follows, replacing the namespace and
behavior variables as appropriate to your environment:
2010-2012 Microsoft Corporation. All rights reserved.
Seite 40
Zone Settings in Deep
Binär- und Skriptverhalten
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\AllowedBehaviors
#%Namespace%#%Behavior%=dword:00000001
Behaviors that are defined in this list will also be used for any other zone where the Binary Behavior
restriction setting is configured to “Admin-Allowed― (65536).
--- snip --Mögliche Werte:
0x0 => Aktivieren
0x10000 => Vom Administrator genehmigt
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da die Verwendung von Behaviors mittlerweile selten geworden ist, könnte das Setzen von
„Deaktivieren“ auch in der Internet Zone sinnvoll sein. Ggf. sollte die Möglichkeit der Administrativ
erlaubten Behaviors genutzt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 41
Zone Settings in Deep
Videos und Animationen auf einer Webseite anzeigen, die keine…
12.
Videos und Animationen auf einer Webseite anzeigen, die keine
externe Medienwiedergabe verwendet
Stats:
GUI Name: Videos und Animationen auf einer Webseite anzeigen, die keine externe
Medienwiedergabe verwendet / Display video animation on a webpage that does not use external
media player
Policy Name: Video und Animationen auf Webseiten ohne externen Mediaplayer (über das dynsrcAttribut) zulassen / Allow video and animation on a Web page that uses a legacy media player
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 120A
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=686
Erklärung:
Mit dieser Richtlinieneinstellung können Sie in einer angegebenen Zone Video und Animationen über
das dynsrc/img-Tag abspielen. Das bedeutet, dass Videoclips und Animationen, die DirectShow
verwenden, mithilfe dieser Richtlinie aktiviert bzw. deaktiviert werden. Beachten Sie, dass die videound Animationswiedergabe über das Objekttag immer noch zugelassen sein kann, da hierbei externe
Steuerelemente oder Media-Player verwendet werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Video und Animationen in den
ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Video und Animationen in den
ausgewählten Zonen nicht über das "img/dynsrc"-Tag abgespielt werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Video und Animationen in den
ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden.
Vgl.: http://msdn.microsoft.com/en-us/library/aa235212(VS.60).aspx
Bsp.: <IMG dynsrc=Clock.avi loop=infinite>
2010-2012 Microsoft Corporation. All rights reserved.
Seite 42
Zone Settings in Deep
Videos und Animationen auf einer Webseite anzeigen, die keine…
Beispiel:
http://gpsearch.azurewebsites.net/zones/120A.html
120A.html
Sofern das Setting auf „Deaktivieren“ steht wird anstelle des Videos folgendes Symbol dargestellt:
Da ein anzuzeigendes Video erst gecacht wird, wird dieses Zeichen während dieses Cachings
ebenfalls verwendet, allerdings wird während dessen in der Statuszeile der Fortschritt angezeigt:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Mittlerweile werden die meisten Videos mittels Silverlight, Flash oder HTML5/Canvas abgespielt und
fallen daher nicht unter diese Security Einstellung. Daher sollten die default Settings beibehalten
werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 43
Zone Settings in Deep
13.
Signierte ActiveX-Steuerelemente herunterladen
Signierte ActiveX-Steuerelemente herunterladen
Stats:
GUI Name: Signierte ActiveX-Steuerelemente herunterladen / Download signed ActiveX controls
Policy Name: Download von signierten ActiveX-Steuerelementen / Download signed ActiveX controls
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1001
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=738
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen.
Wenn Sie diese Richtlinie aktivieren, können signierte Steuerelemente ohne Benutzereingriff
heruntergeladen werden. Wenn Sie "Eingabeaufforderung" in der Dropdownliste auswählen, werden
Benutzer gefragt, ob Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen
werden sollen. Von vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage
heruntergeladen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können signierte Steuerelemente nicht
heruntergeladen werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob
Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen werden sollen. Von
vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage heruntergeladen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010-2012 Microsoft Corporation. All rights reserved.
Seite 44
Zone Settings in Deep
Signierte ActiveX-Steuerelemente herunterladen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann das Setting für alle Zonen auf „Deaktivieren“ gesetzt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 45
Zone Settings in Deep
14.
Unsignierte ActiveX-Steuerelemente herunterladen
Unsignierte ActiveX-Steuerelemente herunterladen
Stats:
GUI Name: Unsignierte ActiveX-Steuerelemente herunterladen / Download unsigned ActiveX
controls
Policy Name: Download von unsignierten ActiveX-Steuerelementen / Download unsigned ActiveX
controls
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1004
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=740
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer nicht signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen. Code dieser Art kann gefährlich
sein, vor allem wenn er einer nicht vertrauenswürdigen Zone entstammt.
Wenn Sie diese Richtlinie aktivieren, können nicht signierte Steuerelemente ohne Benutzereingriff
ausgeführt werden. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer
gefragt, ob nicht signierte Steuerelemente ausgeführt werden dürfen.
Wenn Sie diese Richtlinie deaktivieren, können nicht signierte Steuerelemente nicht ausgeführt
werden.
Wenn Sie diese Richtlinie nicht konfigurieren, können nicht signierte Steuerelemente nicht
ausgeführt werden.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010-2012 Microsoft Corporation. All rights reserved.
Seite 46
Zone Settings in Deep
Unsignierte ActiveX-Steuerelemente herunterladen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann und sollte das Setting für alle Zonen auf „Deaktivieren“ gesetzt
bleiben.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 47
Zone Settings in Deep
ActiveX-Steuerelemente initialisieren und ausführen, die nicht…
15.
ActiveX-Steuerelemente initialisieren und ausführen, die nicht
als „sicher für Skripting“ markiert sind
Stats:
GUI Name: ActiveX-Steuerelemente initialisieren und ausführen, die nicht als „sicher für Skripting“
markiert sind / Initialize and script ActiveX controls not marked safe for scripting
Policy Name: ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind / Initialize
and script ActiveX controls not marked as safe
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1201
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=772
Erklärung:
Mit dieser Richtlinieneinstellung können Sie ActiveX-Steuerelemente verwalten, die nicht für das
Scripting sicher sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden ActiveX-Steuerelemente ausgeführt, mit
Parametern geladen und von Skripts verarbeitet, ohne die Objektsicherheit für nicht
vertrauenswürdige Daten oder Skripts festzulegen. Diese Einstellung wird außer für sichere und
verwaltete Zonen nicht empfohlen. Durch diese Einstellung können sowohl unsichere als auch
sichere Steuerelemente initialisiert ausgeführt werden, ohne die Option "ActiveX-Steuerelemente
ausführen, die für Scripting sicher sind" zu beachten.
Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld "Bestätigen" auswählen,
werden die Benutzer gefragt, ob das Steuerelement mit Parametern geladen oder ausgeführt werden
darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden ActiveX-Steuerelemente, die nicht sicher
sind, nicht mit Parametern geladen oder ausgeführt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden ActiveX-Steuerelemente, die nicht
sicher sind, nicht mit Parametern geladen oder ausgeführt.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 48
Zone Settings in Deep
ActiveX-Steuerelemente initialisieren und ausführen, die nicht…
====
Die Einschätzung, ob ein Control safe for scripting ist, oder ob nicht, obliegt dem Ersteller des
Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche
Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting
missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren.
VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx
“Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting
(7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).”
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 49
Zone Settings in Deep
Die Verwendung von ActiveX ohne Zustimmung nur…
16.
Die Verwendung von ActiveX ohne Zustimmung nur für
genehmigte Domänen zulassen
Stats:
GUI Name: Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen /
Only allow approved domains to use ActiveX without prompt
Policy Name: Die Verwendung von ActiveX-Steuerelementen ohne Zustimmung nur für genehmigte
Domänen zulassen / Only allow approved domains to use ActiveX controls without prompt
Supported on: Mindestens Internet Explorer 8.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 120b
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=718
Erklärung:
Mithilfe dieser Richtlinieneinstellung können Sie steuern, ob die Benutzer aufgefordert werden, die
Ausführung von ActiveX-Steuerelementen auf anderen Websites als der, die das ActiveXSteuerelement installiert hat, zuzulassen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden
die Benutzer gefragt, bevor die Ausführung von ActiveX-Steuerelementen für Websites in dieser Zone
zugelassen wird. Die Benutzer können die Ausführung des Steuerelements wahlweise für die aktuelle
Site oder für alle Sites zulassen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die
Benutzer nicht pro Site zum Zulassen von ActiveX aufgefordert, und ActiveX-Steuerelemente dürfen
für alle Sites in dieser Zone ausgeführt werden.
====
Allerdings ist es so, dass verschiedene Controls bei der Installation bereits den Registry Key * für die
Berechtigung setzen, z.B.:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{%GUID%}\iexplore\
AllowedDomains\*
Vgl: http://blogs.technet.com/b/iede/archive/2010/05/27/activex-per-site-ausunternehmenssicht.aspx
D.b., dass sofern dieser Key nicht explizit entfernt wird, das Control trotz des Settings auf jeder Seite
geladen wird.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 50
Zone Settings in Deep
Die Verwendung von ActiveX ohne Zustimmung nur…
Sofern das Control nicht für alle Seiten aktiviert wurde, erscheint folgende Goldbar:
Mögliche Werte:
0x3 => Aktivieren
0x0 => Deaktivieren
!!! Diese Werte sind umgekehrt zu den normalen Werten! Die Policy hingegen verwendet die
normale Reihenfolge!
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 51
Zone Settings in Deep
17.
ActiveX Steuerelemente und Plug-ins ausführen
ActiveX-Steuerelemente und Plug-ins ausführen
Stats:
GUI Name: ActiveX-Steuerelemente und Plug-ins ausführen / Run ActiveX controls and plug-ins
Policy Name: ActiveX-Steuerelemente und Plugins ausführen / Run ActiveX controls and plugins
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1200
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=768
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob ActiveX-Steuerelemente und Plug-Ins auf
Seiten der angegebenen Zone ausgeführt werden können.
Wenn Sie diese Richtlinie aktivieren, können Steuerelemente und Plug-Ins ohne Benutzereingriff
ausgeführt werden.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Steuerelemente und Plug-Ins ausgeführt werden dürfen.
Wenn Sie diese Richtlinie deaktivieren, können Steuerelemente und Plug-Ins nicht ausgeführt
werden.
Wenn Sie diese Richtlinie nicht konfigurieren, können Steuerelemente und Plug-Ins ohne
Benutzereingriff ausgeführt werden.
Beispiel:
Jede Seite, die ein ActiveX Control lädt, z.B. http://www.microsoft.com [dies mag sich u.U. ändern]
2010-2012 Microsoft Corporation. All rights reserved.
Seite 52
Zone Settings in Deep
ActiveX Steuerelemente und Plug-ins ausführen
Mögliche Werte:
0x10000 => Vom Administrator genehmigt
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Sofern generell ActiveX Controls zugelassen sind, muss das Setting auf „Aktivieren“ stehen. Sollten
ActiveX Controls nur für berechtigte Seiten zugelassen werden, so kann das Setting der Internet Zone
auf „Deaktivieren“ geändert werden.
„Bestätigen“ sollte nach Möglichkeit nicht genutzt werden, da mittlerweile insb. Flashanwendungen
sehr weit verbreitet sind und damit auf den meisten Webseiten ein Popupdialog erscheinen würde.
„Vom Administrator genehmigt“ stellt die beste Wahl da, erfordert allerdings einigen zusätzlichen
Aufwand, da sehr viele Controls administrativ freigegeben werden müssen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 53
Zone Settings in Deep
18.
ActiveX Steuerelemente ausführen, die für Scripting sicher sind
ActiveX-Steuerelmente ausführen, die für Scripting sicher sind
Stats:
GUI Name: ActiveX-Steuerelmente ausführen, die für Scripting sicher sind / Script ActiveX controls
marked safe for scripting
Policy Name: ActiveX-Steuerelemente ausführen, die für Scripting sicher sind / Script ActiveX
controls marked safe for scripting
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1405
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=770
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob ein ActiveX-Steuerelement, das für
Scripting sicher ist, mit einem Skript interagieren kann.
Wenn Sie diese Richtlinie aktivieren, wird die Skriptinteraktion ohne Benutzereingriff ausgeführt.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Skriptinteraktion zulässig ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptinteraktion verhindert.
Wenn Sie diese Richtlinie nicht konfigurieren, kann die Skriptinteraktion automatisch ohne
Benutzereingriff ausgeführt werden.
====
Die Einschätzung, ob ein Control safe for scripting ist oder ob nicht, obliegt dem Ersteller des
Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche
Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting
missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren.
VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx
2010-2012 Microsoft Corporation. All rights reserved.
Seite 54
Zone Settings in Deep
ActiveX Steuerelemente ausführen, die für Scripting sicher sind
“Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting
(7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).”
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings können i.d.R. beibehalten werden. Ggf. ist es eher sinnvoll ActiveXSteuerelemente für eine Zone komplett zu deaktivieren (=> „ActiveX-Steuerelemente und Plug-ins
ausführen“).
2010-2012 Microsoft Corporation. All rights reserved.
Seite 55
Zone Settings in Deep
Dateidownload
Downloads
19.
Dateidownload
Stats:
GUI Name: Dateidownload / File download
Policy Name: Dateidownloads zulassen / Allow file downloads
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1803
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=744
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Dateidownloads von der Zone
zugelassen sind. Für diese Option ist die Zone der Seite entscheidend, auf der sich der Link für den
Download befindet, nicht die Zone, von der aus die Datei bereitgestellt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Dateien von dieser Zone
herunterladen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Dateien von dieser
Zone herunterladen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Dateien von dieser
Zone herunterladen.
Beispiel:
Einfach einen beliebigen Download starten, z.B.:
http://download.microsoft.com/download/C/1/6/C167B427-722E-4665-9A40-A37BC5222B0A/IE9Windows7-x64-enu.exe
2010-2012 Microsoft Corporation. All rights reserved.
Seite 56
Zone Settings in Deep
Dateidownload
Deaktivieren:
Aktivieren:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 57
Zone Settings in Deep
Dateidownload
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Ativieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Es kann u.U. sinnvoll sein, dieses Setting für die Internetzone auf „Deaktivieren“ zu setzen, damit
Dateidownloads aus der Internetzone generell nicht möglich sind.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 58
Zone Settings in Deep
20.
Schriftartdownload
Schriftartdownload
Stats:
GUI Name: Schriftartdownload / Font download
Policy Name: Schriftartdownloads zulassen / Allow font downloads
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1604
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=746
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Seiten dieser Zone HTML-Schriftarten
herunterladen können.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten automatisch
heruntergeladen werden. Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld
"Bestätigen" auswählen, werden die Benutzer gefragt, ob HTML-Schriftarten heruntergeladen
werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten nicht heruntergeladen
werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können HTML-Schriftarten automatisch
heruntergeladen werden.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010-2012 Microsoft Corporation. All rights reserved.
Seite 59
Zone Settings in Deep
Schriftartdownload
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da normale User nicht die nötige Berechtigung haben, um Fonts zu installieren, kann das Setting
i.d.R. für alle Zonen auf „Deaktiviert“ gestellt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 60
Zone Settings in Deep
.NET Framework Setup aktivieren
Enable .NET Framework setup
21.
.NET Framework Setup aktivieren
Stats:
GUI Name: .NET Framework Setup aktivieren / Enable .NET Framework setup
Policy Name: Setup für WinFX-Laufzeitkomponenten deaktivieren / Disable .NET Framework Setup
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2600
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=709
Erklärung:
Diese Funktion steht für das Setup von WinFX-Laufzeitkomponenten. WinFX ist die Plattform der
neuen Generation für Windows. Sie nutzt die Common Language Runtime (.NET 2.0) und enthält
Unterstützung von einer Reihe von Entwicklertools. WinFX ist die Spezifikation für die neuen APIs mit
verwaltetem Code für Windows. Es löst Win32 ab und bildet die Obermenge der APIs im .NET
Framework.
Mit dieser Richtlinieneinstellung wird der Benutzercomputer daran gehindert, WinFX-Setup zu
starten, wenn in IE7 WinFX-Inhalte aufgesucht werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Setup der WinFX-Lautzeitkomponenten
deaktiviert. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird das Setup der WinFX-Lautzeitkomponenten
aktiviert. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird das Setup der WinFXLautzeitkomponenten standardmäßig aktiviert. Benutzer können dieses Verhalten ändern.
"Enable .NET Framework setup"
Q: What does this option mean?
What practical use does this setting provide?
A: The “Enable .NET Framework setup” setting controls the bootstrapper that will kick off .NET install
when users navigate to .xaml/.xbap/.xps/.application content in Internet Explorer, but do not have
.NET already installed on their computers.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 61
Zone Settings in Deep
.NET Framework Setup aktivieren
Mögliche Werte:
0x3 => Aktivieren
0x0 => Deaktivieren
Policy genau umgedreht!
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da normale User nicht die nötige Berechtigung haben, um das .NET Framework zu installieren, kann
das Setting für alle Zonen auf „Deaktiviert“ gestellt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 62
Zone Settings in Deep
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Verschiedenes
22.
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Stats:
GUI Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen / Access data sources across
domains
Policy Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen / Access data sources
across domains
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1406
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=714
Erklärung:
Mit diesen Richtlinieneinstellungen können Sie festlegen, ob Internet Explorer mithilfe von Microsoft
XML Parser (MSXML) oder ActiveX data Objects (ADO) auf Daten aus anderen Sicherheitszonen
zugreifen kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer eine Seite in der Zone laden,
die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen. Wenn Sie
in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob das Laden einer Seite
in der Zone zugelassen wird, die MSXML oder ADO verwendet, um auf Daten einer anderen Site in
der Zone zuzugreifen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Seite in der Zone
laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer keine Seite in der
Zone laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone
zuzugreifen.
Vgl.: http://blogs.msdn.com/b/ieinternals/archive/2011/04/22/ie-security-prompt-page-accessingcross-domain-information-not-under-its-control.aspx
2010-2012 Microsoft Corporation. All rights reserved.
Seite 63
Zone Settings in Deep
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Beispiel:
http://gpsearch.azurewebsites.net/zones/1406.html
1406.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Empfehlung:
In einem Unternehmensumfeld kann es sinnvoll sein das Setting für alle Zonen auf „Deaktivieren“ zu
stellen, da einerseits die Zonen entsprechend gepflegt sein sollten, dass ein solcher Zugriff nicht
erfolgt und andererseits die User nicht durch einen entsprechenden Dialog verunsichert werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 64
Zone Settings in Deep
Ziehen von Inhalten aus unterschiedlichen Domäne…
23.
Ziehen von Inhalten aus unterschiedlichen Domänen zwischen
Fenstern aktivieren
Stats:
GUI Name: Ziehen von Inhalten aus unterschiedlichen Domänen zwischen Fenstern aktivieren /
Allow dragging of content between domains into separate windows
Policy Name: Ziehen von Inhalten aus unterschiedlichen Domänen zwischen Fenstern aktivieren /
Enable dragging of content from different domains across windows
Supported on: Mindestens Internet Explorer 6.0 in Windows XP mit Service Pack 2 oder Windows
Server 2003 mit Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2709
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=7561
Erklärung:
Mithilfe dieser Richtlinieneinstellung können Sie Optionen für das Ziehen von Inhalten einer Domäne
zu einer anderen Domäne festlegen, wenn sich Quelle und Ziel in unterschiedlichen Fenstern
befinden.
Wenn Sie diese Richtlinieneinstellung aktivieren und auf "Aktivieren" klicken, können Benutzer
Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich Quelle und Ziel in
unterschiedlichen Fenstern befinden. Benutzer können diese Einstellung nicht ändern.
Wenn Sie diese Richtlinieneinstellung aktivieren und auf "Deaktivieren" klicken, können Benutzer
keine Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich Quelle und Ziel in
unterschiedlichen Fenstern befinden. Benutzer können diese Einstellung nicht ändern.
Wenn Sie diese Richtlinieneinstellung in Internet Explorer 10 deaktivieren oder nicht konfigurieren,
können Benutzer keine Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich
Quelle und Ziel in unterschiedlichen Fenstern befinden. Benutzer können diese Einstellung im
Dialogfeld "Internetoptionen" ändern.
Wenn Sie diese Richtlinieneinstellung in Internet Explorer 9 oder früheren Versionen deaktivieren
oder nicht konfigurieren, können Benutzer Inhalte von einer Domäne zu einer anderen Domäne
2010-2012 Microsoft Corporation. All rights reserved.
Seite 65
Zone Settings in Deep
Ziehen von Inhalten aus unterschiedlichen Domäne…
ziehen, wenn sich Quelle und Ziel in unterschiedlichen Fenstern befinden. Benutzer können diese
Einstellung nicht ändern.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung
Da dies eine sehr sicherheitsrelevante Einstellung ist, sollte sehr genau überlegt werden, ob das
Aktivieren dieses Settings notwendig ist. Die Empfehlung lautet hier also das Setting auf dem Default
„Deaktivieren“ für alle Zonen zu belassen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 66
Zone Settings in Deep
Ziehen von Inhalten aus unterschiedlichen Domänen…
24.
Ziehen von Inhalten aus unterschiedlichen Domänen in einem
Fenster aktivieren
Stats:
GUI Name: Ziehen von Inhalten aus unterschiedlichen Domänen in einem Fenster aktivieren / Allow
dragging of content between domains into the same window
Policy Name:
Supported on: Mindestens Internet Explorer 6.0 in Windows XP mit Service Pack 2 oder Windows
Server 2003 mit Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2708
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=7559
Erklärung:
Mithilfe dieser Richtlinieneinstellung können Sie Optionen für das Ziehen von Inhalten einer Domäne
zu einer anderen Domäne festlegen, wenn sich Quelle und Ziel im selben Fenster befinden.
Wenn Sie diese Richtlinieneinstellung aktivieren und auf "Aktivieren" klicken, können Benutzer
Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich Quelle und Ziel im selben
Fenster befinden. Benutzer können diese Einstellung nicht ändern.
Wenn Sie diese Richtlinieneinstellung deaktivieren und auf "Deaktivieren" klicken, können Benutzer
keine Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich Quelle und Ziel im
selben Fenster befinden. Benutzer können diese Einstellung im Dialogfeld "Internetoptionen" nicht
ändern.
Wenn Sie diese Richtlinieneinstellung in Internet Explorer 10 deaktivieren oder nicht konfigurieren,
können Benutzer keine Inhalte von einer Domäne zu einer anderen Domäne ziehen, wenn sich
Quelle und Ziel im selben Fenster befinden. Benutzer können diese Einstellung im Dialogfeld
"Internetoptionen" ändern.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 67
Zone Settings in Deep
Ziehen von Inhalten aus unterschiedlichen Domänen…
Wenn Sie diese Richtlinieneinstellung in Internet Explorer 9 oder früheren Versionen deaktivieren
oder nicht konfigurieren, können Benutzer Inhalte von einer Domäne zu einer anderen Domäne
ziehen, wenn sich Quelle und Ziel im selben Fenster befinden. Benutzer können diese Einstellung im
Dialogfeld "Internetoptionen" nicht ändern.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Da dies eine sehr sicherheitsrelevante Einstellung ist, sollte sehr genau überlegt werden, ob das
Aktivieren dieses Settings notwendig ist. Die Empfehlung lautet hier also das Setting auf dem Default
„Deaktivieren“ für alle Zonen zu belassen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 68
Zone Settings in Deep
25.
META Refresh zulassen
META Refresh zulassen
Stats:
GUI Name: META Refresh zulassen / Allow META Refresh
Policy Name: META Refresh zulassen / Allow META REFRESH
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1608
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=728
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob ein Benutzerbrowser auf eine andere
Webseite umgeleitet werden darf, wenn der Autor der Webseite das META Refresh-Tag verwendet
hat, um Browser auf eine andere Webseite umzuleiten.
Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Browser, der eine Seite mit einer aktiven
META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Browser, der eine Seite mit einer aktiven
META Refresh-Einstellung lädt, nicht zu einer anderen Webseite umgeleitet werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Browser, der eine Seite mit einer
aktiven META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden.
META Refresh auf Wikipedia:
Weiterleitung durch „refresh“
Um beim Aufruf einer Seite zu einer anderen URL weiterzuleiten (engl. forwarding), kann der refresh-Wert
genutzt werden. Über das content-Attribut kann weiterhin eine Zeit gesetzt werden, bis die Weiterleitung
erfolgt, z. B. um den Anwender noch auf den Grund für die Weiterleitung hinzuweisen:
<meta http-equiv="refresh" content="5; URL=http://www.microsoft.com/" />
Beispiel:
http://gpsearch.azurewebsites.net/zones/1608.html
2010-2012 Microsoft Corporation. All rights reserved.
Seite 69
Zone Settings in Deep
META Refresh zulassen
1608.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Obwohl heutzutage i.d.R. andere Mechanismen verwendet werden, um ein Umleiten auf eine andere
Seite durchzuführen, kann es grade bei älteren Anwendungen noch genutzt werden. Daher sollten
die default Settings beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 70
Zone Settings in Deep
26.
Skripting des Microsoft-Browsersteuerelements zulassen
Skripting des Microsoft-Browsersteuerelements zulassen
Stats:
GUI Name: Skripting des Microsoft-Browsersteuerelements zulassen / Allow scripting of Microsoft
web browser control
Policy Name: Skripting für Internet Explorer-webbrowser-steuerelement zulassen / Allow scripting of
Internet Explorer web browser control
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1206
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=706
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob eine Seite eingebettete webbrowsersteuerelemente über Sktipting steuern kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement zulässig.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement nicht zulässig.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Skriptzugriff auf das
Webbrowser-Steuerelement vom Benutzer aktiviert oder deaktiviert werden. Der Skriptzugriff auf
das Webbrowser-Steuerelement ist nur in den Zonen "Lokaler Computer" und "Intranet" zulässig.
Beispiel:
Vgl.: http://msdn.microsoft.com/en-us/library/aa752041(v=VS.85).aspx
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 71
Zone Settings in Deep
Skripting des Microsoft-Browsersteuerelements zulassen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Das WebBrowser Control sollte i.d.R. nicht von Webseiten im Internet genutzt werden. Daher sollten
die default Settings beibehalten werden, ggf. auch für die Vertrauenswürdigen Seiten auf
„Deaktivieren“ setzen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 72
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw.
…
27.
Skript initiierte Fenster ohne Größen- bzw.
Positionseinschränkungen zulassen
Stats:
GUI Name: Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen / Allow
script-initiated windows without size or position constraints
Policy Name: Skriptinitiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen / Allow
script-initiated windows without size or position constraints
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\windowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2102
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=796
Erklärung:
Mit dieser Richtlinieneinstellung können Sie Einschränkungen für skriptinitiierte Popupfenster und
Fenster verwalten, die Titel- und Statusleisten enthalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Fenstereinschränkungssicherheit in dieser
Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur Verfügung
gestellte zusätzliche Sicherheitsstufe ausgeführt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die möglicherweise schädlichen Aktionen
in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht
ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der
Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die möglicherweise schädlichen
Aktionen in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht
ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der
Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert.
===
2010-2012 Microsoft Corporation. All rights reserved.
Seite 73
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw.
…
Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das
Verhalten des Fensters von der aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B.
eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Öffnen von Fenstern ohne
Adress- oder Statusleisten für Websites zulassen).
Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde
dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet.
Dieses Setting verhindert, dass das mittels window.open() geöffnete Fenster durch window.moveTo()
ausserhalb des sichtbaren Bereichs bewegt wird, was zu einem Sicherheitsproblem führen könnte.
Beispiel:
http://gpsearch.azurewebsites.net/zones/2102.html
Wichtig: das Verhalten funktioniert natürlich nur dann, wenn das Popup nicht in einem neuen Tab,
sondern in einem neuen Window geöffnet wird.
2102.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 74
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw.
…
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden, bei der Verwendung von IE6 sollte der Wert wie bei
IE7/8 für die Internetzone auf „Deaktivieren“ gesetzt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 75
Zone Settings in Deep
Für Webseiten das Verwenden eingeschränkter Protokolle…
28.
Für Webseiten das Verwenden eingeschränkter Protokolle für
aktive Inhalte zulassen
Stats:
GUI Name: Für Webseiten das Verwenden eingeschränkter Protokolle für aktive Inhalte zulassen /
Allow webpages to use restricted protocols for active content
Policy Name: Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen /
Allow active content over restricted protocols to access my computer
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2300
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=760
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob eine Ressource, die von einem durch den
Administrator eingeschränkten Protokoll in der Intranetzone gehostet wird, aktive Inhalte wie
Skripts, ActiveX, Java und Binärverhalten ausführen darf. Die Liste der eingeschränkten Protokolle
kann im Abschnitt "Eingeschränkte Protokolle der Intranetzone" der Sperrungsrichtlinie für das
Netzwerkprotokoll festgelegt werden.
Wenn Sie diese Richtlinie aktivieren, sind keine Inhalte der Intranetzone betroffen, auf die
zugegriffen wird. Dies gilt auch für eingeschränkte Protokolle auf der Liste. Wenn Sie "Bestätigen" in
der Dropdownliste auswählen, wird die Informationsleiste angezeigt, um die Handhabung
fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird. Inhalte, auf
die über andere Protokolle zugegriffen wird, sind nicht betroffen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden alle Versuche blockiert, über die
eingeschränkten Protokolle auf Inhalte dieser Art zuzugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren und die Sicherheitsfunktion zur Sperrung
des Netzwerkprotokolls aktiviert ist, wird die Informationsleiste angezeigt, um die Handhabung
fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 76
Zone Settings in Deep
Für Webseiten das Verwenden eingeschränkter Protokolle…
Das Setting ist nur dann sinnvoll , wenn Internet Explorer Network Protocol Lockdown konfiguriert
worden ist.
Typische Protokolle zum Blocken sind:





local://
file://
shell://
hcp://
ftp://
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Empfehlung:
Um User nicht durch einen entsprechenden Dialog zu verunsichern kann das Setting für alle Zonen
auf „Deaktivieren“ gesetzt werden oder je nach Verwendung für Lokales Intranet oder sogar die
vertrauenswürdigen Sites auf „Aktivieren“.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 77
Zone Settings in Deep
Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen
29.
Öffnen von Fenstern ohne Adress- oder Statusleisten für
Websites zulassen
Stats:
GUI Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen / Allow
websites to open windows without address or status bars
Policy Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen / Allow
websites to open windows without address or status bars
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2104
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=684
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob für Websites neue Internet Explorer-Fenster
ohne Adress- und Statusleisten geöffnet werden können.
Wenn Sie diese Richtlinieneinstellung aktivieren, können für Websites neue Internet Explorer-Fenster
ohne Adress- und Statusleisten geöffnet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können für Websites keine neuen Internet
Explorer-Fenster ohne Adress- und Statusleisten geöffnet werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob für Websites
neue Internet Explorer-Websites ohne Adress- und Statusleisten geöffnet werden können.
===
Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das
Verhalten des Fensters von der Aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B.
eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Skript initiierte Fenster ohne
Größen- bzw. Positionseinschränkungen zulassen).
Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde
dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 78
Zone Settings in Deep
Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen
Beispiel:
http://gpsearch.azurewebsites.net/zones/2104.html
2104.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 79
Zone Settings in Deep
30.
Gemischte Inhalte anzeigen
Gemischte Inhalte anzeigen
Stats:
GUI Name: Gemischte Inhalte anzeigen / Display mixed content
Policy Name: Gemischte Inhalte anzeigen / Display mixed content
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1609
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=736
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Benutzer nicht sichere Elemente anzeigen
können und ob bei der Anzeige von Seiten, die sowohl sichere als auch nicht sichere Elemente
enthalten, eine Meldung mit Sicherheitsinformationen erscheint.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktivieren" ausgewählt
ist, wird Benutzern keine Meldung mit einer Sicherheitsinformation angezeigt ("Diese Seite enthält
sowohl sichere als auch nicht sichere Objekte. Möchten Sie die nicht sicheren Objekte anzeigen?").
Nicht sichere Inhalte können angezeigt werden.
Wenn im Dropdownfeld "Bestätigen" ausgewählt ist, erhalten die Benutzer eine Meldung mit
Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://)
Inhalte enthält.
Wenn Sie diese Richtlinieneinstellung deaktivieren, erhalten die Benutzer keine Meldung mit
Sicherheitsinformationen. Nicht sichere Inhalte können nicht angezeigt werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erhalten die Benutzer eine Meldung mit
Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://)
Inhalte enthält.
===
„Sichere Inhalte“ sind Daten, die mittels SSL/HTTPS übermittelt werden. D.b. z.B., dass wenn eine
Webseite mittels https:// aufgerufen wird, aber z.B. Bilder über <img src=“http://...“> aufruft, von
diesem Setting betroffen wäre. Sofern das Setting auf „Deaktivieren“ konfiguriert wurde, würde das
Bild aus dem obigen Beispiel nicht angezeigt, anstelle dessen würde der typische Platzhalter für ein
fehlendes Bild dargestellt. Dies gilt auch für Scripte und andere in der Webseite benötigte Dateien.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 80
Zone Settings in Deep
Gemischte Inhalte anzeigen
Beispiel:
https://www.microsoft.com/en/us/default.aspx
(es mag sein, dass dies in Zukunft nicht mehr funktioniert, sofern kein http Kontent auf der Seite
verlinkt ist)
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 81
Zone Settings in Deep
Gemischte Inhalte anzeigen
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Empfehlung:
Um die User nicht zu verunsichern, könnten die Settings auf „Deaktivieren“ gesetzt werden.
Webseiten, die gemischten Content verwenden, sind nicht dediziert dafür geschaffen um über
SSL/https aufgerufen zu werden. Demnach sind die Inhalte normalerweise auch nicht
notwendigerweise über SSL/https abzurufen und daher sollte es auch kein Problem darstellen die
Seite über http aufzurufen. „Aktivieren“ jedoch sollte nicht verwendet werden, da z.B. wenn auf
einer angegriffenen Webseite Schadcode über http nachgeladen werden soll, dieser nicht geladen
werden könnte.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 82
Zone Settings in Deep
Keine Aufforderung zur Clientzertifikatauswahl, wenn…
31.
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein
oder nur ein Zeritifikat vorhanden ist
Stats:
GUI Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat
vorhanden ist / Don't prompt for client certificate selection when no certificate or only one
certificate exists
Policy Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat
vorhanden ist / Do not prompt for client certificate selection when no certificates or only one
certificate exists.
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1A04
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=762
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer zur Auswahl eines Zertifikats
aufgefordert werden, wenn kein oder nur ein Zertifikat vorhanden ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird den Benutzern keine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird den Benutzern eine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird den Benutzern eine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 83
Zone Settings in Deep
Keine Aufforderung zur Clientzertifikatauswahl, wenn…
Beispiel:
Bei dem Besuch einer Webseite, die ein Clientzertifikat verlangt, wird entweder der u.g. Dialog
gezeigt, wenn das Setting auf „Deakivieren“ steht oder mehr als ein Zertifikat zur Auswahl steht, oder
aber direkt das richtige Zertifikat ohne Userzutun ausgewählt und verwendet.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 84
Zone Settings in Deep
32.
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Stats:
GUI Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien / Drag and drop or copy
and paste files
Policy Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen / Allow drag and
drop or copy and paste files
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1802
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=742
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer Dateien aus einer Quelle
innerhalb der Zone ziehen oder kopieren und einfügen dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer automatisch Dateien aus dieser
Zone ziehen oder kopieren und einfügen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen,
werden die Benutzer gefragt, ob Dateien aus dieser Zone gezogen oder kopiert werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Dateien aus dieser Zone weder
ziehen noch kopieren und einfügen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer automatisch Dateien aus
dieser Zone ziehen oder kopieren und einfügen.
Beispiel:
http://i.microsoft.com/global/en/publishingimages/sitebrand/microsoft.gif
Linksclick auf das Bild und dann auf den Desktop ziehen.
Sofern das Setting auf „Aktivieren“ steht, verändert sich der Mauszeiger und das Bild kann auf dem
Desktop abgelegt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 85
Zone Settings in Deep
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Remark:
1. Dieses Setting ist nicht zu verwechseln mit Programmatischen Zugriff auf die Zwischenablage
zulassen
2. Für IE8 gibt es nur noch „Aktivieren“ und „Deaktivieren“, obwohl „Bestätigen“ als Auswahl im
GUI zur Verfügung steht. Sofern „Bestätigen“ ausgewählt wurde, ist das Verhalten identisch
zu „Deaktivieren“
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings können beibehalten werden, ggf. das Setting für die restricted Sites auf
„Deaktivieren“ setzen, um Eingabeaufforderungen zu vermeiden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 86
Zone Settings in Deep
33.
MIME Ermittlung zulassen
MIME Ermittlung zulassen
Stats:
GUI Name: MIME Ermittlung zulassen / Enable MIME Sniffing
Policy Name: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen / Enable
MIME Sniffing
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2100
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=756
Erklärung:
Diese Richtlinieneinstellung ermöglicht die Verwaltung der MIME-Ermittlung zum Heraufstufen einer
Datei von einem Typ in einen anderen. Bei der MIME-Ermittlung wird der Dateityp aufgrund einer
Bitsignatur von Internet Explorer erkannt.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Sicherheitsfunktion der MIME-Ermittlung
für diese Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur
Verfügung gestellte zusätzliche Sicherheitsstufe ausgeführt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können möglicherweise schädliche Aktionen
nicht ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone nach der
entsprechenden Einstellung für diesen Prozess aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Sicherheitsfunktion der MIMEErmittlung für diese Zone nicht angewendet.
===
Wenn dieses Setting auf „Aktivieren“ gestellt ist, so wird bei einem Dateidownload nicht der default
Vorgang über die Endung in der Registry gesucht, sondern anhand des MIME Types. D.b., dass z.B. für
„.zip“ anstelle von „HKEY_CLASSES_ROOT\.zip“ die Anweisungen unter
„HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-zip-compressed“ angewendet
werden.
Wichtig: dieses Setting überprüft nicht anhand des Dateiheaders, was für ein Typ die Datei hat,
sondern einzig am vom Server gesendeten MIME Type oder der Endung.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 87
Zone Settings in Deep
MIME Ermittlung zulassen
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Das Setting kann in jeder Zone auf “Aktivieren” gesetzt werden, ggf. in der eingeschränkten Zone auf
dem default Wert lassen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 88
Zone Settings in Deep
Lokalen Verzeichnispfad beim Hochladen…
34.
Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen
Server mit einbeziehen
Stats:
GUI Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen /
Include local directory path when uploading files to a server
Policy Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server einbeziehen /
Include local directory path when uploading files to a server
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 160A
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=692
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob die lokalen Pfadinformationen beim
Hochladen einer Datei über ein HTML-Formular übermittelt werden. Bei der Übermittlung der
lokalen Pfadinformationen werden möglicherweise einige Informationen für den Server offen gelegt.
Beispielsweise können Dateien, die vom Desktop eines Benutzers aus gesendet werden, den
Benutzernamen als Teil des Pfads enthalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden beim Hochladen einer Datei über ein HTMLFormular Pfadinformationen übermittelt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Pfadinformationen beim Hochladen einer
Datei über ein HTML-Formular entfernt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob beim
Hochladen einer Datei Pfadinformationen übermittelt werden. Standardmäßig werden
Pfadinformationen übermittelt.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 89
Zone Settings in Deep
Lokalen Verzeichnispfad beim Hochladen…
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Wenigstens für die Internet- und Restricted Sites Zonen sollte das Setting auf „Deaktivieren“ gesetzt
werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 90
Zone Settings in Deep
35.
Anwendungen und unsichere Dateien starten
Anwendungen und unsichere Dateien starten
Stats:
GUI Name: Anwendungen und unsichere Dateien starten / Launching applications and unsafe files
Policy Name: Programme und unsichere Dateien starten / Launching programs and unsafe files
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1806
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=702
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob die Eingabeaufforderung "Datei öffnen Sicherheitswarnung" beim Starten von ausführbaren oder unsicheren Dateien angezeigt wird.
Wenn ein Benutzer beispielsweise eine ausführbare Datei mithilfe von Windows Explorer von einer
Intranetdateifreigabe startet, wird mit dieser Einstellung gesteuert, ob vor dem Öffnen der Datei eine
Eingabeaufforderung angezeigt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld der Wert "Aktivieren"
festgelegt ist, werden die Dateien ohne Sicherheitshinweis geöffnet. Wenn im Dropdownfeld der
Wert "Eingabeaufforderung" festgelegt ist, wird vor dem Öffnen der Dateien ein Sicherheitshinweis
angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Dateien nicht geöffnet.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer das Verhalten der
Eingabeaufforderung konfigurieren. Standardmäßig ist die Ausführung ist in der Zone
"Eingeschränkte Sites" deaktiviert, in den Zonen "Intranet" und "Lokaler Computer" aktiviert und in
den Zonen "Internet" und "Vertrauenswürdige Sites" auf "Eingabeaufforderung" festgelegt.
Beispiel:
Dieses Setting kann leicht anhand des eigenen Systems getestet werden:
Mittels Windows Explorer auf \\localhost\c$\windows navigieren und z.B. notepad.exe aufrufen.
Die Einstellungen in der Zone „local intranet“ werden in diesem Fall angewendet und die Ergebnisse
sehen je nach Einstellung wie folgt aus:
2010-2012 Microsoft Corporation. All rights reserved.
Seite 91
Zone Settings in Deep
Anwendungen und unsichere Dateien starten
Bestätigen:
Disabled:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 92
Zone Settings in Deep
Anwendungen und unsichere Dateien starten
Internet:
IE6: N/A;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Bestätigen;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Bestätigen;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Je nach Sicherheitsvorgabe kann es sinnvoll sein, zumindest für die Internetzone das Setting auf
„Deaktivieren“ zu setzen.
Wichtig dabei ist jedoch, dass die Zonenkonfiguration insb. für Shares, die über FQDN zugegriffen
werden, korrekt gesetzt ist, denn dieses Zonensetting wirkt sich auch auf den Windows Explorer aus!
Vgl. hierzu: http://blogs.technet.com/b/iede/archive/2010/06/11/befinde-ich-mich-im-internetlokalen-intranet-oder-wo-wie-entscheidet-der-internet-explorer-und-das-betriebssystem-welchezone-genommen-wird.aspx
2010-2012 Microsoft Corporation. All rights reserved.
Seite 93
Zone Settings in Deep
36.
Programme und Dateien in einem IFRAME starten
Programme und Dateien in einem IFRAME starten
Stats:
GUI Name: Programme und Dateien in einem IFRAME starten / Launching programs and files in an
IFRAME
Policy Name: Anwendungen und Dateien in einem IFRAME starten / Launching applications and files
in an IFRAME
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1804
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=752
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob von einem IFRAME-Verweis im HTMLCode der Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen werden
dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer von IFRAMEs auf den Seiten in
dieser Zone ohne Benutzereingriff Anwendungen ausführen und Dateien herunterladen. Wenn Sie im
Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob von IFRAMEs auf den Seiten
dieser Zone Anwendungen ausgeführt und Dateien heruntergeladen werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer von IFRAMEs auf den Seiten in
dieser Zone aus keine Anwendungen ausführen und keine Dateien herunterladen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob von
IFRAMEs auf den Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen
werden dürfen.
===
Ein „normaler“ Download wird durch dieses Setting nicht verhindert. Dafür ist File Download
verantwortlich.
Hingegen wenn ein Laufwerk, z.B. mittels <iframe src=“file://myserver/myshare“ /> aus einer
Webseite zugegriffen wird, so wäre von dort eine Dateiausführung möglich. Dies kann mittels dieses
Setting verhindert werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 94
Zone Settings in Deep
Programme und Dateien in einem IFRAME starten
Der Dialog wird auch bei der Benutzung der rechten Maustaste ausgelöst, sofern „Deaktivieren“ bzw.
„Prompt“ eingestellt sind.
Beispiel:
http://gpsearch.azurewebsites.net/zones/1804.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 95
Zone Settings in Deep
Programme und Dateien in einem IFRAME starten
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Empfehlung:
IFRAMES können Inhalt darstellen, der nicht von der aufrufenden Webseite/Domain stammt und
daher u.U. von einem nicht vertrauenswürdigen Anbieter stammen. Daher ist es denkbar die Werte
für die Internet und evtl. Vertrauenswürdigen Seiten auf „Deaktiviert“ zu setzen um User nicht zu
verunsichern.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 96
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
37.
Fenster und Frames zwischen verschiedenen Domänen
bewegen
Stats:
GUI Name: Fenster und Frames zwischen verschiedenen Domänen bewegen / Navigate windows and
frames across different domains
Policy Name: Subframes zwischen verschiedenen Domänen bewegen / Navigate windows and
frames across different domains
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1607
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=758
Erklärung:
Mit dieser Richtlinieneinstellung können Sie das Öffnen von Subframes und den Zugriff auf
Anwendungen über Domänen hinweg verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Subframes von anderen
Domänen öffnen und auf Anwendungen anderer Domänen zugreifen. Wenn Sie im Dropdownfeld
"Bestätigen" auswählen, werden die Benutzer gefragt, ob Subframes geöffnet werden dürfen und ein
Zugriff auf Anwendungen aus anderen Domänen zugelassen ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Subframes öffnen und
nicht auf Anwendungen anderer Domänen zugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Subframes von
anderen Domänen öffnen und auf Anwendungen anderer Domänen zugreifen.
===
Durch dieses Setting wird nicht verhindert, dass z.B. IFRAMES mit SRC aus einer anderen Zone
gestartet werden können.
Allerdings verhindert es, dass ein Frameset, welches in einem Frame X ein Dokument der aktuellen
Domain A öffnet und in einem anderen Frame Y ein Dokument von Domain B und anschließend aus
der Domain B das erste Frame navigieren will (z.B. mittels: <a target=“frameX“>)
2010-2012 Microsoft Corporation. All rights reserved.
Seite 97
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
Beispiel:
http://gpsearch.azurewebsites.net/zones/1607.html
1607_1.html
1607_2.html
1607.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 98
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Deaktivieren;
IE10: Dektivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Zumindest für die Internetzone sollte „Deaktivieren“ konfiguriert werden, ggf. sogar auch für die
Vertrauenswürdigen Seiten.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 99
Zone Settings in Deep
38.
Legacyfilter rendern
Legacyfilter rendern
Stats:
GUI Name: Legacyfilter rendern / Render legacy filters
Policy Name: Legacyfilter rendern / Render legacy filters
Supported on: Mindestens Internet Explorer 10
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 270B
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=7557
Erklärung:
Mit dieser Richtlinieneinstellung wird angegeben, ob Internet Explorer ältere visuelle Filter in dieser
Zone rendert.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie im Gruppenrichtlinien-Editor unter
"Optionen" durch Auswählen von "Aktivieren" bzw. "Deaktivieren" steuern, ob Internet Explorer
Legacyfilter rendert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer
auswählen, ob Filter in dieser Zone gerendert werden. Benutzer können diese Einstellung auf der
Registerkarte "Sicherheit" im Dialogfeld "Internetoptionen" ändern. Filter werden in dieser Zone
nicht standardmäßig gerendert.
Siehe auch: http://msdn.microsoft.com/en-us/library/ms532847%28v=VS.85%29.aspx
Beispiel:
http://samples.msdn.microsoft.com/workshop/samples/author/dhtml/DXTidemo/DXTidemo.htm
(ggf. Compatibility Mode aktivieren!)
Oder Download: http://aka.ms/ZS-270B
Mit aktivierten Legacyfiltern:
2010-2012 Microsoft Corporation. All rights reserved.
Seite 100
Zone Settings in Deep
Legacyfilter rendern
Ohne aktivierten Legacyfilter:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE10: Deaktivieren;
Internet:
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE10: Aktivieren;
Lokales Intranet:
IE10: Aktivieren;
Empfehlung:
Die Default-Settings sollten beibehalten werden. Es sollte darauf geachtet werden, dass in Zukunft
anstelle der alten Alpha/etc Filter CSS3 Filter verwendet werden. Sofern sichergestellt wurde, dass
für die Business-kritischen Anwendungen keine „legacy“ Filter verwendet werden, spricht natürlich
nichts dagegen in den Vertrauenswürdigen Seiten und im lokalen Intranet das Setting ebenfalls zu
deaktivieren.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 101
Zone Settings in Deep
39.
Unverschlüsselte Formulardaten übermitteln
Unverschlüsselte Formulardaten übermitteln
Stats:
GUI Name: Unverschlüsselte Formulardaten übermitteln / Submit non-encrypted form data
Policy Name: Unverschlüsselte Formulardaten übermitteln
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1601
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=780
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Daten in HTML-Formularen auf Seiten
in der Zone übermittelt werden dürfen. Mit SSL-Verschlüsselung (Secure Sockets Layer) gesendete
Formulare sind immer zugelassen. Diese Einstellung betrifft nur die Übertragung von nicht mit SSL
verschlüsselten Formulardaten.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden Informationen aus HTML-Formularen auf
Seiten in der Zone automatisch übertragen. Wenn Sie in der Dropdownliste "Bestätigen" auswählen,
werden die Benutzer gefragt, ob Informationen aus HTML-Formularen auf Seiten in der Zone
übertragen werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Informationen aus HTML-Formularen auf
Seiten in der Zone nicht übertragen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob
Informationen aus HTML-Formularen auf Seiten in der Zone übertragen werden dürfen.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 102
Zone Settings in Deep
Unverschlüsselte Formulardaten übermitteln
Beispiel:
http://gpsearch.azurewebsites.net/zones/1601.html
1601.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 103
Zone Settings in Deep
Unverschlüsselte Formulardaten übermitteln
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Es sollte in Erwägung gezogen werden das Setting für Eingeschränkte Seiten und die Internet Zone
auf „Deaktivieren“ zu setzen, da bei der Nutzung nicht über SSL/HTTPS u.U. Credentials im Klartext
über das Netz geschickt werden und dadurch die Sicherheit beeinträchtigt werden könnte.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 104
Zone Settings in Deep
40.
Popupblocker verwenden
Popupblocker verwenden
Stats:
GUI Name: Popupblocker verwenden / Use Pop-up Blocker
Policy Name: Popupblocker verwenden / Use Pop-up Blocker
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1809
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=734
Erklärung:
Mit dieser Richtlinieneinstellung kann festgelegt werden, ob unerwünschte Popupfenster angezeigt
werden sollen. Popupfenster, die geöffnet werden, wenn der Endbenutzer auf einen Link klickt,
werden nicht blockiert.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die meisten unerwünschten Popupfenster
nicht angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Popupfenster angezeigt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die meisten unerwünschten
Popupfenster nicht angezeigt.
Beispiel:
http://gpsearch.azurewebsites.net/zones/1809.html
1809.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 105
Zone Settings in Deep
Popupblocker verwenden
Standardwerte:
Eingeschränkte Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 106
Zone Settings in Deep
41.
SmartScreen-Filter verwenden
SmartScreen-Filter verwenden
Stats:
GUI Name: SmartScreen-Filter verwenden / Use Smartscreen filter
Policy Name: SmartScreen-Filter verwenden / Use SmartScreen Filter
Supported on: Mindestens Internet Explorer 8.0
Kategorie Pfad: User Configuration\Administrative Templates\Windows-Komponenten\Internet
Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\
Registry key: HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3
Registry value: 2301
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=694
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob der SmartScreen-Filter die Seiten in dieser
Zone auf bösartige Inhalte überprüft.
Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft der SmartScreen-Filter die Seiten in dieser
Zone auf bösartige Inhalte.
Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft der SmartScreen-Filter die Seiten in
dieser Zone nicht auf bösartige Inhalte.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer diese Einstellung
konfigurieren.
Hinweis: In Internet Explorer 7 steuert diese Richtlinieneinstellung, ob der Phishingfilter Seiten in
dieser Zone auf bösartige Inhalte überprüft.
Beispiel:
http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“
Vgl.: Verwalten von SmartScreen-Filter deaktivieren und Umgehung der SmartScreenFilterwarnungen verhindern
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 107
Zone Settings in Deep
SmartScreen-Filter verwenden
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 108
Zone Settings in Deep
42.
Dauerhaftigkeit der Benutzerdaten
Dauerhaftigkeit der Benutzerdaten
Stats:
GUI Name: Dauerhaftigkeit der Benutzerdaten / Userdata persistence
Policy Name: Dauerhaftigkeit der Benutzerdaten / Userdata persistence
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1606
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=794
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen, das Beibehalten von Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite zu verwalten. Wenn Benutzer zu einer dauerhaften Seite zurückkehren,
kann der Status der Seite wiederhergestellt werden, falls diese Richtlinieneinstellung korrekt
konfiguriert wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite beibehalten.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite nicht beibehalten.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer Informationen im Verlauf
des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite beibehalten.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010-2012 Microsoft Corporation. All rights reserved.
Seite 109
Zone Settings in Deep
Dauerhaftigkeit der Benutzerdaten
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden. Da dieses Vorgehen i.d.R. nicht mehr verwendet
wird, dürfte auch ein generelles „Deaktivieren“ möglich sein.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 110
Zone Settings in Deep
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden,…
43.
Websites, die sich in Webinhaltzonen niedriger Berechtigung
befinden, können in diese Zone navigieren
Stats:
GUI Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren / Websites in less privileged web content zone can navigate into this zone
Policy Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren / Web sites in less privileged Web content zones can navigate into this zone
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2101
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=798
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Websites aus Zonen mit geringeren
Berechtigungen, z. B. eingeschränkte Sites, in diese Zone wechseln dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Websites von Zonen mit weniger
Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln. Die
Sicherheitszone wird ohne die durch die Funktion zum Schutz vor Zonenanhebung zur Verfügung
gestellte zusätzliche Sicherheitsstufe ausgeführt. Wenn Sie "Bestätigen" in der Dropdownliste
auswählen, wird eine Warnung angezeigt, die den Benutzer über diese potenziell gefährliche Aktion
informiert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden möglicherweise schädliche Wechsel
verhindert. Die Internet Explorer-Sicherheitsfunktion wird in dieser Zone aktiviert, wie in der
Funktion zum Schutz vor Zonenanhebung festgelegt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Websites von Zonen mit weniger
Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 111
Zone Settings in Deep
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden,…
Beispiel:
http://gpsearch.azurewebsites.net/zones/2101.html
2101.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 112
Zone Settings in Deep
Active Scripting
Scripting
44.
Active Scripting
Stats:
GUI Name: Active Scripting / Active Scripting
Policy Name: Active Scripting zulassen / Allow active scripting
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1400
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=716
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skriptcode auf Seiten in der Zone
ausgeführt werden darf.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird Skriptcode auf Seiten in der Zone automatisch
ausgeführt. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Skriptcode auf Seiten in der Zone ausgeführt werden darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptcode auf Seiten in der Zone nicht
ausgeführt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird Skriptcode auf Seiten in der Zone
automatisch ausgeführt.
Beispiel:
http://gpsearch.azurewebsites.net/zones/2103.html => Die Zeitupdates auf der Demopage werden
bei abgeschaltetem Active Scripting nicht mehr funktionieren.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 113
Zone Settings in Deep
Active Scripting
2103.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Da mittlerweile Active Scripting (z.B. mittels Javascript) auf vielen Webseiten notwendig ist, sollten
die default Settings beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 114
Zone Settings in Deep
45.
Programmatischen Zugriff auf die Zwischenablage zulassen
Programmatischen Zugriff auf die Zwischenablage zulassen
Stats:
GUI Name: Programmatischen Zugriff auf die Zwischenablage zulassen / Allow Programmatic
clipboard access
Policy Name: Skriptbasierte Ausschneide-, Kopier- oder Einfügeoperationen von der Zwischenablage
zulassen / Allow cut, copy or paste operations from the clipboard via script
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1407
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=730
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripts in einer angegebenen Region
Zwischenablageoperationen (z. B. Ausschneiden, Kopieren und Einfügen) durchführen dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Skript eine Zwischenablagenoperation
durchführen.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Zwischenablagenoperationen ausgeführt werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Skript keine Zwischenablagenoperation
durchführen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Skript eine
Zwischenablagenoperation durchführen.
===
Beispiel: eine beliebige Policy auf der GPS auswählen und über „Copy“ Inhalte in die Zwischenablage
kopieren.
Beispiel:
http://gpsearch.azurewebsites.net/zones/1407.html
2010-2012 Microsoft Corporation. All rights reserved.
Seite 115
Zone Settings in Deep
Programmatischen Zugriff auf die Zwischenablage zulassen
1407.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Bestätigen;
IE8: Bestätigen;
IE9: Bestätigen;
IE10: Bestätigen;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Um den User nicht zu verwirren kann es sinnvoll sein das Setting für die Internet Zone auf
„Deaktiviert“ zu setzen und für die Vertrauenswürdigen Seiten auf „Aktivieren“.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 116
Zone Settings in Deep
46.
Statuszeilenaktualisierung über Skript zulassen
Statuszeilenaktualisierung über Skript zulassen
Stats:
GUI Name: Statuszeilenaktualisierung über Skript zulassen / Allow status bar updates via script
Policy Name: Statuszeilenaktualisierung über Skript zulassen / Allow status bar updates via script
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2103
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=698
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skripts in dieser Zone die Statusleiste
aktualisieren dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Skripts die Statusleiste aktualisieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts die Statusleiste nicht
aktualisieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren, sind Aktualisierungen der Statusleiste über
Skripts deaktiviert.
Beispiel:
http://gpsearch.azurewebsites.net/zones/2103.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 117
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden. Da die Default-Einstellung für die Statuszeile aber so
ist, dass diese nicht angezeigt wird, hat das Setting kaum noch eine Relevanz.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 118
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
47.
Eingabeaufforderung für Informationen mithilfe von
Skriptfenstern für Websites zulassen
Stats:
GUI Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen
/ Allow websites to prompt for information using scripted windows
Policy Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites
zulassen / Allow websites to prompt for information using scripted windows
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2105
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=696
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripteingabeaufforderungen automatisch
angezeigt werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden Skripteingabeaufforderungen angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, müssen Benutzer Skripteingabeaufforderungen
mithilfe der informationsleiste anzeigen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer das Verhalten der
informationsleiste aktivieren oder deaktivieren.
==
Mit „Skripteingabeaufforderung“ sind Popups gemeint, die mittels „window.prompt()“ geöffnet
werden.
Beispiel:
http://gpsearch.azurewebsites.net/zones/2105.html
2105.html
2010-2012 Microsoft Corporation. All rights reserved.
Seite 119
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden oder sogar für die Vertrauenswürdigen Seiten auf
„Deaktivieren“ gestellt werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 120
Zone Settings in Deep
48.
XSS-Filter aktivieren
XSS-Filter aktivieren
Stats:
GUI Name: XSS-Filter aktivieren / Enable XSS filter
Policy Name: XSS-Filter aktivieren / Enable XSS filter
Supported on: Mindestens Internet Explorer 8.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Zone des lokalen
Computers\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1409
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=782
Erklärung:
Mithilfe dieser Richtlinie können Sie steuern, ob mit dem XSS-Filter (Cross-Site Scripting,
siteübergreifendes Skripting) die siteübergreifende Skripteinschleusung in Websites in dieser Zone
erkannt und verhindert wird. Wenn Sie diese Richtlinieneinstellung aktivieren, wird der XSS-Filter für
Sites in dieser Zone aktiviert, um die siteübergreifende Skripteinschleusung zu blockieren. Wenn Sie
diese Richtlinieneinstellung deaktivieren, wird der XSS-Filter für Sites in dieser Zone deaktiviert, und
Internet Explorer lässt die siteübergreifende Skripteinschleusung zu.
Beispiel:
http://www.ie8demos.com/tryit/ => „Cross Site Scripting Filter“
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
2010-2012 Microsoft Corporation. All rights reserved.
Seite 121
Zone Settings in Deep
XSS-Filter aktivieren
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 122
Zone Settings in Deep
49.
Scripting von Java Applets
Scripting von Java-Applets
Stats:
GUI Name: Scripting von Java-Applets / Scripting of Java applets
Policy Name: Scripting von Java-Applets / Scripting of Java applets
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1402
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=774
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Applets in dieser Zone für Skripts
bereitgestellt werden.
Wenn Sie diese Richtlinie aktivieren, können Skripts automatisch und ohne Benutzereingriff auf
Applets zugreifen.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob ein Skript auf
Applets zugreifen darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts nicht auf Applets zugreifen.
Wenn Sie diese Richtlinie nicht konfigurieren, können Skripts automatisch und ohne Benutzereingriff
auf Applets zugreifen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010-2012 Microsoft Corporation. All rights reserved.
Seite 123
Zone Settings in Deep
Scripting von Java Applets
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
IE9: Deaktivieren;
IE10: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
IE9: Aktivieren;
IE10: Aktivieren;
Empfehlung:
Die default Settings können beibehalten werden, u.U. mag es sinnvoll sein auch die Internet Zone auf
„Deaktivieren“ zu konfigurieren.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 124
Zone Settings in Deep
Anmeldung
Benutzerauthentifizierung
50.
Anmeldung
Stats:
GUI Name: Anmeldung / Logon options
Policy Name: Anmeldungsoptionen / Logon options
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1A00
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=754
Erklärung:
Mit dieser Richtlinieneinstellung können Sie Berechtigungen für Anmeldeoptionen verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die folgenden Anmeldeoptionen
auswählen.
Mit "Anonyme Anmeldung" wird die HTTP-Authentifizierung deaktiviert und das Gastkonto nur für
das CIFS-Protokoll (Common Internet File System) verwendet.
Mit "Nach Benutzername und Kennwort fragen" werden die Benutzer nach ihren Benutzer-IDs und
Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der
Sitzung ohne weitere Nachfrage verwendet werden.
Mit "Automatisches Anmelden nur in der Intranetzone" werden die Benutzer in anderen Zonen nach
ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte
im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden.
Mit "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" wird eine Anmeldung
mithilfe der NTLM-Authentifizierung (Windows NT Challenge Response) versucht. Wenn der Server
Windows NT Challenge Response unterstützt, werden der Netzwerkbenutzername des Benutzers
2010-2012 Microsoft Corporation. All rights reserved.
Seite 125
Zone Settings in Deep
Anmeldung
und das zugehörige Kennwort für die Anmeldung verwendet. Falls der Server Windows NT Challenge
Response nicht unterstützt, wird der Benutzer aufgefordert, Benutzernamen und Kennwort
anzugeben.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Anmeldeoption "Automatisches
Anmelden nur in der Intranetzone" festgelegt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Anmeldeoption "Automatisches
Anmelden nur in der Intranetzone" festgelegt.
Mögliche Werte:
0x30000 => Anonyme Anmeldung
0x20000 => Automatisches Anmelden nur in der Intranetzone
0x00000 => Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort
0x10000=> Nach Benutzername und Kennwort fragen
Standardwerte:
Eingeschränkte Seiten:
IE6: Nach Benutzername und Kennwort fragen;
IE7: Nach Benutzername und Kennwort fragen;
IE8: Nach Benutzername und Kennwort fragen;
IE9: Nach Benutzername und Kennwort fragen;
IE10: Nach Benutzername und Kennwort fragen;
Internet:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
IE9: Automatisches Anmelden nur in der Intranetzone;
IE10: Automatisches Anmelden nur in der Intranetzone;
Vertrauenswürdigen Seiten:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
IE9: Automatisches Anmelden nur in der Intranetzone;
IE10: Automatisches Anmelden nur in der Intranetzone;
Lokales Intranet:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
IE9: Automatisches Anmelden nur in der Intranetzone;
IE10: Automatisches Anmelden nur in der Intranetzone;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010-2012 Microsoft Corporation. All rights reserved.
Seite 126