- Microsoft

Internet Explorer® 8Sicherheitsleitfaden
Security Compliance Management Toolkit
Version 1.1
Veröffentlichung: Oktober 2009
Aktualisierung: April 2010
Die aktuellsten Informationen finden Sie unter
microsoft.com/securitycompliance (engl.)
© 2009 Microsoft Corporation. Alle Rechte vorbehalten. Die Benutzer sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Durch die Nutzung dieses Dokumentes stimmen Sie den folgenden
Lizenzvereinbarungen zu.
Wenn Sie diese Dokumentation ausschließlich zu nichtkommerziellen Zwecken und intern in IHREM Unternehmen
oder IHRER Organisation nutzen, dann gilt für diese Dokumentation die Creative Commons AttributionNonCommercial-Lizenz. Den Text der Lizenz finden Sie unter http://creativecommons.org/licenses/bync/3.0/de/. Alternativ können Sie ihn unter Creative Commons, 543 Howard Street, 5th Floor, San Francisco,
California, 94105, USA anfordern.
DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN WIE VORLIEGEND BEREITGESTELLT, UND ZWAR OHNE
GARANTIEN JEGLICHER ART, OB AUSDRÜCKLICH ODER KONKLUDENT, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT
AUF KONKLUDENTE GARANTIEN DER HANDELSÜBLICHKEIT, DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DIE
NICHTVERLETZUNG DER RECHTE DRITTER. Alle Risiken bezüglich der Richtigkeit und der Verwendung dieses
Dokuments trägt der Benutzer.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten
oder sonstigem geistigen Eigentum besitzt, die sich auf die Fachgebiete dieses Dokuments beziehen. Die
Nutzung dieses Dokuments verleiht Ihnen keinerlei Rechte an diesen Patenten, Marken, Urheberrechten oder
sonstigem geistigen Eigentum. Ausnahmen hiervon bedürfen der schriftlichen Genehmigung der Microsoft
Corporation.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft
Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen
reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier
dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Microsoft, Access, Active Directory, ActiveX, Authenticode, Excel, InfoPath, Internet Explorer, Internet Explorer 8,
JScript, MSDN, Outlook, PowerPoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows
Server 2003, Windows 7, Windows Vista und Windows XP sind eingetragene Marken oder Marken der Microsoft
Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen
Inhaber sein.
Sie haben keinerlei Verpflichtung, Microsoft Vorschläge, Kommentare oder sonstiges Feedback („Feedback“) in
Bezug auf die Dokumentation zu übermitteln. Wenn Sie Microsoft jedoch Feedback senden, erteilen Sie damit
Microsoft kostenfrei das Recht zur Nutzung, Verteilung und Kommerzialisierung Ihres Feedbacks auf beliebige
Weise und zu beliebigen Zwecken. Ferner räumen Sie Dritten kostenfrei alle Patentrechte ein, die diese
benötigen, damit ihre Produkte, Technologien und Dienstleistungen bestimmte Teile einer Software oder einer
Dienstleistung von Microsoft, in die das Feedback eingebunden ist, nutzen können oder über eine Schnittstelle
mit dieser Software oder Dienstleistung verwendet werden können. Ferner räumen Sie Dritten kostenfrei alle
Patentrechte ein, die diese benötigen, damit ihre Produkte, Technologien und Dienstleistungen bestimmte Teile
einer Software oder einer Dienstleistung von Microsoft, in die das Feedback eingebunden ist, nutzen können
oder über eine Schnittstelle mit dieser Software oder Dienstleistung verwendet werden können.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
Inhaltsverzeichnis
Überblick ..........................................................................................................................................1
Für wen ist dieser Leitfaden gedacht?...........................................................................................2
Kenntnisse und Voraussetzungen ............................................................................................... 2
Ziele und Umfang des Leitfadens ............................................................................................... 2
Übersicht der Kapitel .......................................................................................................................3
Kapitel 1: Implementieren der Internet Explorer 8-Sicherheitsbasis ...................................... 3
Kapitel 2: Sicherheitsempfehlungen .......................................................................................... 3
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen ......................................................... 4
Anhang A: Sicherheitscheckliste ................................................................................................ 4
Stilvereinbarungen ..........................................................................................................................4
Zusätzliche Informationen...............................................................................................................4
Support und Feedback ...................................................................................................................5
Danksagung .....................................................................................................................................5
Entwicklungsteam ...........................................................................................................................5
Weitere Mitwirkende und Lektoren ............................................................................................ 6
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis ........................................7
Einschränkung der Benutzerrechte ................................................................................................8
Umgebung „Unternehmensclient“ (EC) ........................................................................................8
Umgebung „Spezielle Sicherheit – eingeschränkte Funktionalität“ (SSLF) ................................8
Verwalten von Internet Explorer 8 ..................................................................................................9
Das Zonenmodell...........................................................................................................................10
Bearbeitung der Zoneneinstellungen ...................................................................................... 12
Zonenbestimmung ...................................................................................................................... 13
Jenseits des Zonenmodells: Allgemeine Sicherheitseinstellungen ...................................... 14
Sicherheitsdesign...........................................................................................................................14
OU-Design für Sicherheitsrichtlinien .......................................................................................... 14
Domänenstamm .................................................................................................................. 15
OU Domänencontroller ...................................................................................................... 15
OU Mitgliedsserver ............................................................................................................... 15
OUs für die Serverrollen ....................................................................................................... 15
OU Abteilung ........................................................................................................................ 16
OU Windows 7-Benutzer...................................................................................................... 16
OU Windows 7-Computer .................................................................................................. 16
GPO-Design für Sicherheitsrichtlinien ....................................................................................... 16
Empfohlene GPOs ............................................................................................................... 18
Einsatz eines mit dem Security Compliance Manager-Tool erstellten
GPOs ...................................................................................................................................... 19
Sicherheits- und Datenschutzfunktionen in Internet Explorer 8.................................................21
SmartScreen-Filter ........................................................................................................................ 21
Phishing- und Malware-Schutz........................................................................................... 21
ClickJacking ......................................................................................................................... 22
XSS-Filter (Cross-Site Scripting)............................................................................................ 23
Domänenhervorhebung ............................................................................................................ 23
Geschützter Modus ..................................................................................................................... 23
ActiveX-Opt-in ............................................................................................................................. 24
InPrivate-Browsing ....................................................................................................................... 24
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
ii
Internet Explorer 8-Sicherheitsleitfaden
InPrivate-Filterung ........................................................................................................................ 25
Zusätzliche Informationen.............................................................................................................25
Kapitel 2: Sicherheitsempfehlungen ............................................................................................27
Add-On-Verwaltung .....................................................................................................................27
Einschränken von ActiveX-Steuerelementen ......................................................................... 27
Websitebasierte ActiveX-Einstellungen ................................................................................... 28
Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten
Freigabelisten ............................................................................................................................... 28
Deaktivieren von Active Scripting ...............................................................................................29
Skripting-Unterstützung ........................................................................................................ 30
Aktivierung von Sicherheitseinschränkungen für Skriptfenster ............................................ 31
Zonensicherheit .............................................................................................................................31
Schutz vor Zonenanhebung aktivieren ................................................................................... 31
Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen verbieten ................... 32
Änderung der Zoneneinstellungen durch die Benutzer verhindern ................................... 33
Zertifikatsicherheit..........................................................................................................................34
Zugriff der Benutzer auf Websites mit Zertifikatfehler verhindern ........................................ 34
Reduzierte Anwendungsprivilegien .............................................................................................35
Aktivierung des geschützten Modus ........................................................................................ 35
DropMyRights unter Windows XP .............................................................................................. 37
Andere Sicherheitseinstellungen .................................................................................................37
Sicherheitsfunktion für MIME-Ermittlung ................................................................................... 37
Sicherheitseinschränkung für MK-Protokoll ............................................................................. 38
Verschlüsselte Seiten nicht auf der Festplatte speichern ..................................................... 39
Proxyeinstellung pro Computer vornehmen .......................................................................... 40
Systemabsturzermittlung deaktivieren ..................................................................................... 41
Dateidownload einschränken .................................................................................................. 42
Dateidownload für die Zone „Eingeschränkte Sites“ einschränken .................................. 43
Objektzwischenspeicherungsschutz ........................................................................................ 43
Java-Berechtigungen ......................................................................................................... 45
Zusätzliche Informationen.............................................................................................................46
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen .............................................................47
Nutzung von InPrivate-Browsen ...................................................................................................47
Nutzung der InPrivate-Filterung ....................................................................................................48
Löschen des Browserverlaufs .......................................................................................................48
Konfigurieren der Datenschutzeinstellung auf Mittel oder höher .............................................49
Automatisches Leeren des Ordners Temporäre Internetdateien .............................................50
Deaktivierung der AutoVervollständigen-Optionen ..................................................................51
Konfiguration von Anmeldeoptionen für jede Sicherheitszone ................................................52
Aktivieren des SmartScreen-Filters ..............................................................................................54
Nutzung des XSS-Filters .................................................................................................................56
Zusätzliche Informationen.............................................................................................................57
Anhang A: Sicherheitscheckliste .................................................................................................59
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Überblick
1
Überblick
Willkommen zum Internet Explorer 8-Sicherheitsleitfaden. Dieser Leitfaden
enthält Anweisungen und Empfehlungen zur Verstärkung der Sicherheit von
Desktop- und Notebookcomputern mit Windows® Internet Explorer® 8.
Eine der größten Herausforderungen bei der Definition von StandardSicherheitseinstellungen für Webbrowser ist die richtige Balance aus benötigter
Funktionalität und den durch diese Funktionalitäten entstehenden Risiken.
Sind die Standardeinstellungen im Browser zu restriktiv, dann werden die
Benutzer eingeschränkt, haben mit Kompatibilitätsproblemen zu kämpfen und
ignorieren Warnungen und Alarme einfach. Wenn die Einstellungen jedoch
nicht restriktiv genug sind, dann sind die Benutzer durch eine Vielzahl
verschiedener Angriffe verwundbar. Eine ausgewogene Balance zwischen
Funktionalität und Sicherheit ist daher für eine sichere und einfache Nutzung
von entscheidender Bedeutung.
Die Entwickler von Webbrowsern definieren normalerweise StandardSicherheitseinstellungen, die auf Basis eines kalkulierten Risikos die
bestmögliche Nutzung gewährleisten. Sie wählen Werte für die Einstellungen,
mit denen die Browser in einer Vielzahl von Umgebungen sauber arbeiten. Für
die meisten privaten Benutzer sind die Standard-Sicherheitseinstellungen im
Browser im Allgemeinen ausreichend – sie schützen die Benutzer vor den
meisten Angriffen.
Bei einigen Benutzern und Unternehmen ergeben sich jedoch speziellere
Anforderungen – beispielsweise aufgrund von geschäftlichen oder
gesetzlichen Vorgaben. Benutzer in großen Organisationen müssen
beispielsweise im Zusammenhang mit der Speicherung von Personen- und
Finanzdaten besondere rechtliche Vorgaben erfüllen.
Die Sicherheits- und Datenschutzeinstellungen in Internet Explorer 8 wurden für
eine große Bandbreite von Anforderungen entworfen. Wir respektieren die
Privatsphäre der Benutzer und den Bedarf an einer Kontrolle über Daten in
Organisationen und stellen Empfehlungen zur Ausbalancierung dieser
gegensätzlichen Anforderungen bereit. Internet Explorer 8 sorgt im Vergleich
mit den Vorgängerversionen für mehr Sicherheit und bietet neue
Datenschutzfunktionen, mit denen die Benutzer ihre persönlichen
Informationen verwalten und kontrollieren können. Weitere Informationen zu
den entsprechenden Funktionen und Einstellungen finden Sie auf der Internet
Explorer 8-Website.
In diesem Leitfaden werden einige der Funktionen und Einstellungen
besprochen, mit denen die Sicherheitskonfiguration an die Anforderungen
einiger Benutzer und Organisationen angeglichen werden kann. Der Leitfaden
befasst sich nicht mit allen Browsereinstellungen. Die Empfehlungen aus dem
Leitfaden entsprechen nicht denen aus der verstärkten
Sicherheitskonfiguration für Internet Explorer unter Windows Server® 2003 und
Windows Server® 2008. Die besprochenen Einstellungen und Funktionen sorgen
dafür, dass die Benutzer und Administratoren in Organisationen mit
erweiterten Sicherheitsanforderungen möglichst umfassend geschützt sind.
Der Leitfaden bespricht Einstellungsmöglichen für Internet Explorer® 8 unter
Windows® 7, Windows Vista® und Windows® XP. IT-Experten können den
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
2
Internet Explorer 8-Sicherheitsleitfaden
Leitfaden dazu nutzen, die Sicherheitseinstellungen im Browser zu straffen und
den Anforderungen der Organisation anzupassen.
Anmerkung: In vielen Fällen können Administratoren das Internet Explorer Administration Kit (IEAK)
zur Erstellung und Bereitstellung einer angepassten Version von Internet Explorer nutzen. Danach
können die Einstellungen mithilfe von Gruppenrichtlinien durchgesetzt werden. Der Leitfaden
befasst sich nicht detailliert mit dem IEAK. Sie können jedoch viele der in diesem Leitfaden
besprochenen Einstellungen dazu nutzen, ein angepasstes Paket zu erstellen.
Für wen ist dieser Leitfaden gedacht?
Der Internet Explorer 8-Sicherheitsleitfaden ist primär für IT-Allrounder,
Sicherheitsspezialisten, Netzwerkarchitekten und andere IT-Experten und Consultants gedacht, die mit der Planung der Anwendungs- oder
Infrastrukturentwicklung und der Bereitstellung von Desktop- und
Notebookcomputern unter Windows-Clientbetriebssystemen in
unterschiedlichsten Organisationen beschäftigt sind.
Kenntnisse und Voraussetzungen
Dieser Leitfaden setzt die folgenden Kenntnisse und Fähigkeiten voraus:

MCSE-Zertifizierung für Windows Server 2003 oder aktueller und zwei oder
mehr Jahre Erfahrung im Sicherheitsbereich oder vergleichbare
Kenntnisse.

Tiefgreifende Kenntnisse der Domänen- und Active DirectoryUmgebungen der Organisation.

Erfahrung in der Arbeit mit der Gruppenrichtlinienverwaltungskonsole
(Group Policy Management Console – GPMC).

Erfahrung in der Administration von Gruppenrichtlinien mithilfe der GPMC.

Erfahrung im Einsatz von Verwaltungstools wie beispielsweise MMC
(Microsoft Management Console), Gpupdate und Gpresult.
Erfahrung in der Bereitstellung von Anwendungen und Clientcomputern in
Unternehmensumgebungen.

Ziele und Umfang des Leitfadens
Die primären Einsatzziele dieses Leitfadens sind:

Hilfestellung bei der effizienten Erstellung und Anwendung einer
getesteten Basissicherheitskonfiguration über Gruppenrichtlinien.

Verständnis der Gründe und Auswirkungen für bestimmte
Sicherheitsempfehlungen in der Basiskonfiguration.

Ermittlung und Berücksichtigung häufiger Sicherheitsszenarien und die
Nutzung bestimmter SicherheitsFunktionen in Internet Explorer 8 zu ihrer
Verwaltung.
Der Leitfaden wurde so entworfen, dass Sie in der Lage sind, nur die für Sie
relevanten Teile zu nutzen. Den größtmöglichen Nutzen werden Sie jedoch
dann aus dem Leitfaden ziehen, wenn Sie diesen vollständig lesen. Der
Leitfaden konzentriert sich auf die Erstellung und Pflege einer sicheren
Umgebung für Computer mit Internet Explorer 8. Er beschreibt die
verschiedenen Stufen der Absicherung zweier unterschiedlicher
Umgebungen. Des Weiteren stellt er Vorgaben und Sicherheitsempfehlungen
bereit. Die Clientcomputer können unter Windows 7 oder Windows Vista SP1
oder einem aktuelleren Windows-Betriebssystem ausgeführt werden. Die zur
Verwaltung der Clientcomputer eingesetzten Computer müssen jedoch
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
Überblick
3
Windows Server 2008, Windows Server 2003 R2 oder Windows Server 2003 SP2
ausführen.
Die Einstellungen im Gruppenrichtlinieneditior und in den Internetoptionen von
Internet Explorer unterscheiden sich voneinander. In den Gruppenrichtlinien
gibt es beispielsweise viele Einstellungen, die in den Internetoptionen nicht zu
finden sind (zum Beispiel alle Einstellungen unter
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\
Sicherheitsseite\Sperrung der Zone des Internets).
Beachten Sie außerdem, dass sich viele Einstellungen aus dem
Gruppenrichtlinienteil Administrative Vorlagen auf bestimmten Einstellungen
aus den folgenden Registrierungspfaden auswirken:
 HKEY_LOCAL_MACHINE\Software\Policies
 HKey_CURRENT_USER\Software\Policies.
Bei der Konfiguration dieser Einstellungen über die Internetoptionen werden
diese Einstellungen in anderen Registrierungspfaden gespeichert
(beispielsweise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Inter
net Settings\Lockdown_Zones\1). Diese Vorgehensweise vermeidet Probleme
durch dauerhafte Einstellungen. Sie kann jedoch beim Vergleich der
Ergebnisse bestimmter Einstellungen über die Gruppenrichtlinie und die
Internetoption für Verwirrung sorgen.
Anmerkung: Mit dauerhaft sind in diesem Fall Gruppenrichtlinieneinstellungen gemeint, die auch
dann effektiv bleiben, wenn sich das Computer- oder Benutzerkonto nicht mehr im Einflussbereich
der entsprechenden Gruppenrichtlinien befindet. Zu den entsprechenden Einstellungen gehören
beispielsweise alle in domänenbasierten Gruppenrichtlinien unter dem Pfad
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen konfigurierten Einstellungen.
Übersicht der Kapitel
Der Internet Explorer 8-Sicherheitsleitfaden setzt sich aus den folgenden drei
Kapiteln sowie einem Anhang zusammen:
Kapitel 1: Implementieren der Internet Explorer 8Sicherheitsbasis
Dieses Kapitel umfasst Verfahren zur Implementierung vorgegebener
Sicherheitseinstellungen zur Verbesserung der Standardsicherheit von Internet
Explorer 8 auf Clientcomputern. Das Kapitel befasst sich zudem mit der
empfohlenen Bereitstellungskonfiguration für Gruppenrichtlinien und den
Supportanforderungen für die zwei definierten Sicherheitsumgebungen.
Kapitel 2: Sicherheitsempfehlungen
Dieses Kapitel befasst sich näher mit den sicherheitsbezogenen Funktionen
und Gruppenrichtlinieneinstellungen von Internet Explorer 8. Die
Empfehlungen zu den Einstellungen und Funktionen sind in die folgenden
sechs Kategorien eingeordnet:
 Add-on-Verwaltung
 Deaktivierung von Active Scripting
 Zonensicherheit
 Zertifikatsicherheit
 Reduzierung der Anwendungsrechte
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
4

Internet Explorer 8-Sicherheitsleitfaden
Andere Sicherheitseinstellungen
Zu jeder Einstellung finden Sie eine Beschreibung zu ihrer Wirkungsweise, zum
Standardverhalten im Browser und zur empfohlenen Einstellungskonfiguration
für die einzelnen Sicherheitsumgebungen.
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
In diesem Kapitel finden Sie Informationen zu Funktionen und
Gruppenrichtlinieneinstellungen für Internet Explorer 8 aus dem Bereich
Datenschutz. Die Einstellungen und Empfehlungen in diesem Kapitel befassen
sich hauptsächlich mit den Funktionen InPrivate-Browsing und SmartScreenFilter.
Anhang A: Sicherheitscheckliste
Im Anhang finden Sie eine Checkliste aller zur Sicherung der Clientcomputer
mit Internet Explorer 8 empfohlenen Funktionen und Einstellungen.
Stilvereinbarungen
Dieser Leitfaden nutzt die folgenden Stilkonventionen:
Element
Bedeutung
Fett
Text, der exakt so wie gezeigt eingeben werden muss oder
angezeigt wird. Beispielsweise Befehle, Schalter und
Dateinamen. Auch die Elemente der Benutzeroberfläche
werden fett angegeben.
Kursiv
Buchtitel und andere wichtige Publikationen. Neue Begriffe
bei ihrer ersten Nennung.
<Kursiv>
Platzhalter für Variablen.
Monospace
Programmcode und Skripte.
Anmerkung
Warnhinweise mit ergänzenden Informationen.
Wichtig
Wichtiger Hinweis mit Informationen, die für die Durchführung
einer Aufgabe von grundlegender Bedeutung sind.
Warnung
Warnungen mit grundlegenden ergänzenden Informationen,
die wahrgenommen werden sollten.
‡
Änderungen oder Empfehlungen für spezielle
Gruppenrichtlinieneinstellungen.
§
Gruppenrichtlinieneinstellungen, die unter Windows 7 neu
eingeführt wurden.
Zusätzliche Informationen
In den folgenden Ressourcen finden Sie zusätzliche Informationen zur
Sicherheit in Internet Explorer 8:
 Internet Explorer 8-Homepage.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
Überblick
5
Support und Feedback
Das SA-SC-Team (Solution Accelerators – Security and Compliance) freut sich
auf Ihre Meinung zu diesem und anderen Solution-Accelerators.
Bitte senden Sie Ihre Fragen und Anmerkungen zu diesem Leitfaden an die
folgende Adresse: [email protected] (bitte in englischer Sprache).
Wir freuen uns darauf, von Ihnen zu hören.
Danksagung
Das SA-SC-Team dankt dem Team, das den Internet Explorer 8Sicherheitsleitfaden erstellt hat. Die folgenden Personen waren entweder
direkt an der Erstellung beteiligt oder haben einen wichtigen Beitrag geleistet.
Entwicklungsteam
Entwicklung der Inhalte
Kurt Dillard – kurtdillard.com
Richard Harrison – Content Master Ltd.
Entwickler
Barry Hartmann
Gerald Herbaugh
Haikun Zhang – Beijing ZZZGroup Co. Ltd
Jeff Sigman
Jim Riekse
José Maldonado
Michael Tan
ZhiQiang Yuan – Beijing ZZZGroup Co. Ltd.
Redakteure
John Cobb – Wadeware LLC
Steve Wacker – Wadeware LLC
Produktmanager
Michelle Arney
Shruti Kala
Stephanie Chacharon – Xtreme Consulting Group Inc.
Programmmanager
Tom Cloward
Release-Manager
Cheri Ahlbeck – Aquent LLC
Karina Larson
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
6
Internet Explorer 8-Sicherheitsleitfaden
Testmanager
Sumit Parikh
Tester
Jaideep Bahadur – Infosys Technologies Ltd.
Mansi Sharma – Infosys Technologies Ltd.
Raxit Gajjar – Infosys Technologies Ltd.
Weitere Mitwirkende und Lektoren
Aaron Margosis, Blake Frantz – Center for Internet Security, Dan Fox, Daniel
Taylor, Defense Information System Agency (DISA), Derek Seaman – Lockheed
Martin, Fidelis Ekezue, Greg Cottingham, Guy Hunt, Juan Antonio Díaz Muñoz,
Kathy Lambert, Lori Kingery, Mandy Tidwell, Nate Morin, Pete LePage, Rick
Munck, Roger Grimes, Roger Podwoski, Susan Bradley – www.sbsdiva.com,
Susan Fosselman, Steven Rolnick, Tim Clark, TJ Onishile, Yung Chou
Anmerkung: Auf Anfrage von Microsoft hat sich das National Security Agency Information
Assurance Directorate am Review dieses Microsoft-Sicherheitsleitfadens beteiligt und
Anmerkungen bereitgestellt, die in die endgültige Version des Leitfadens eingeflossen sind.
Während der Entwicklung dieses Microsoft-Leitfadens und der entsprechenden SicherheitsBasiseinstellungen haben Mitglieder des Center for Internet Security gemeinsam mit Microsoft
Anmerkungen bereitgestellt, die in die endgültige Version des Leitfadens eingeflossen sind.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators (engl.)
Kapitel 1: Implementierung der Internet
Explorer 8-Sicherheitsbasis
Windows® Internet Explorer® 8 baut auf den Sicherheitsverbesserungen und
-erweiterungen von Internet Explorer 7 auf. Es wurden verschiedene neue
Sicherheitsfunktionen und -designs – beispielsweise der geschützte Modus und
ActiveX® Opt-In – eingeführt. Sie sorgen für zusätzliche Sicherheitsebenen und
so für einen tief greifenderen Sicherheitsansatz. Andere neue Funktionen wie
beispielsweise der Phishing-Filter schützen die Benutzer vor Angriffen, die auf
ihre persönlichen Informationen abzielen. Dieser Leitfaden bietet keine
detaillierte Beschreibung der Sicherheitserweiterungen in älteren Versionen
von Internet Explorer. Entsprechende Informationen erhalten Sie im Internet
Explorer-TechCenter.
Die Fortschritte in Internet Explorer 8 schützen die Benutzer vor vielen der
aktuellsten Onlinebedrohungen. Sie schaffen außerdem eine klarere
Benutzeroberfläche im Rahmen von Sicherheitsentscheidungen. Die
Einstellungen in Internet Explorer 8 wurden so entworfen, dass sie für einen
großen Teil der weltweiten Benutzer eine möglichst gute Balance zwischen
Usability und Sicherheit bieten. Internet Explorer 8 führt des Weiteren ganz
neue Möglichkeiten und Funktionen für den Datenschutz ein. Diese
unterstützen die Benutzer darin, die Kontrolle über ihre Aktivitäten und
Informationen im Internet zu behalten.
Dieser Leitfaden konzentriert sich auf die Sicherheitseinstellungen in Internet
Explorer 8. Zu einem Review der optimalen Sicherung einer Anwendung
gehören jedoch auch Informationen zur Sicherheit auf Host-Level. Diese
Informationen werden in den Sicherheitsleitfäden zu Windows® 7 und
Windows Vista® besprochen. Um Sicherheitslücken im Browser, in den BrowserAdd-ins und im Betriebssystem zu vermeiden, müssen Sie diese Elemente
zudem regelmäßig aktualisierten. Wir empfehlen die Installation aller
Betriebssystemupdates mithilfe von Tools wie Windows Server® Update Services
(WSUS), Systems Management Server (SMS) 2003, Microsoft ® System Center
Configuration Manager 2007 R2 oder automatische Updates. Sie sollten sich
außerdem beim Microsoft Security Notification Service für die technischen
Sicherheitsbenachrichtigungen anmelden. Weitere Informationen finden Sie in
Anhang A, „Sicherheitscheckliste".
Sie können die standardmäßige Browserkonfiguration mithilfe von
Gruppenrichtlinienobjekten (Group Policy objects – GPOs) absichern. Alle
empfohlenen Gruppenrichtlinieneinstellungen sind in der zu diesem Leitfaden
gehörenden Excel®-Arbeitsmappe Internet Explorer 8 Security Baseline Settings
beschrieben.
Zur Bereitstellung der in diesem Kapitel besprochenen Einstellungen benötigen
sie die folgenden Elemente:
 Eine OU-Struktur (Organizational Unit – Organisationseinheit) für Ihre
Umgebung.
 Den Security Compliance Manager aus diesem Leitfaden zur Erstellung der
GPOs für Ihre Umgebung.
 Die Gruppenrichtlinienverwaltungskonsole (GPMC) zur Verknüpfung und
Verwaltung der GPOs.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
8
Internet Explorer 8 Security Guide
Warnung: Es ist von grundlegender Bedeutung, Ihr OU- und GPO-Design vor der Bereitstellung
in der Produktivumgebung gründlich zu testen.
Die Basis-GPOs aus diesem Leitfaden enthalten eine Kombination aus
getesteten Einstellungen zur Verbesserung der Sicherheit der Clientcomputer
unter Windows 7 in den folgenden zwei Sicherheitsumgebungen:
 Unternehmensclient (Enterprise Client; EC)
 Spezielle Sicherheit – eingeschränkte Funktionalität (Specialized Security –
Limited Functionality; SSLF)
Einschränkung der Benutzerrechte
Eine der effektivsten Maßnahmen bei der Verbesserung der Sicherheit von
Computern unter Windows® XP, Windows Vista und Windows 7 ist es, das
Anmelden der Benutzer über Standardkonten sicherzustellen. Die Benutzer
sollten Konten mit erweiterten Berechtigungen nur dann nutzen, wenn sie
administrative Aufgaben durchführen müssen. Gleiches gilt auch für
Webbrowser. Unter normalen Umständen sollten die Benutzer Internet Explorer
mit Standardberechtigungen starten und so sicherstellen, dass der geschützte
Modus das Risiko durch schädlichen Programmcode reduziert. So ist bei einer
Kompromittierung durch Malware gewährleistet, dass sich der schädliche
Code nur auf das Profil des Benutzers auswirkt – denn er ist auf die
Berechtigungen des Benutzers beschränkt. Benutzer mit administrativen
Berechtigungen können außerdem die in diesem Leitfaden besprochenen
Einstellungen umkonfigurieren und so für ein höheres Kompromittierungsrisiko
sorgen.
Umgebung „Unternehmensclient“ (EC)
Die EC-Umgebung setzt sich aus einer Domäne mit Active Directory® Domain
Services (AD DS) mit Computern unter Windows Server® 2008, Windows
Server® 2003 R2 oder Windows Server 2003 SP2 und durch Active Directory
verwaltete Clientcomputer unter Windows 7, Windows Vista oder Windows XP
Professional SP3 zusammen. Die Clientcomputer werden in dieser Umgebung
über Gruppenrichtlinien verwaltet. Die Gruppenrichtlinien werden auf
Standorte, Domänen und OUs angewandt. Gruppenrichtlinien sind eine
zentralisierte Infrastruktur in Active Directory, mit der verzeichnisbasierte
Änderungen und Konfigurationen für Benutzer- und Computereinstellungen
implementiert werden können. Die EC-Sicherheitsbasis sorgt für eine erweiterte
Sicherheit mit einer für den größten Teil aller Organisation ausreichenden
Funktionalität für das Betriebssystem und die Anwendungen.
Umgebung „Spezielle Sicherheit – eingeschränkte Funktionalität“
(SSLF)
Die SSLF-Sicherheitsbasis in diesem Leitfaden ist für hochsichere Umgebungen
mit Computern mit Internet Explorer 8 gedacht. In dieser Umgebung sind die
Anforderungen an die Sicherheit so hoch, dass ein erheblicher Verlust an
Funktionalität und Verwaltbarkeit akzeptabel ist.
Warnung: Die SSLF-Sicherheitseinstellungen sind für die meisten Organisationen nicht
geeignet. Sie wurden für Organisationen entwickelt, in denen Sicherheit wichtiger als die
Funktionalität ist.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
9
Wenn Sie sich dazu entscheiden, die SSLF-Konfigurationseinstellungen für die
Clientcomputer Ihrer Umgebung bereitzustellen, dann wird durch die
eingeschränkte Funktionalität wahrscheinlich die Anzahl der Anrufe beim
Helpdesk steigen. Die Konfiguration sorgt zwar für mehr Sicherheit für die
Daten und das Netzwerk, sie sorgt jedoch auch dafür, dass einige
möglicherweise erforderliche Komponenten nicht mehr ausgeführt werden
(beispielsweise ist der Zugriff auf ActiveX®-Steuerelemente gesperrt – was den
Zugriff auf spezielle Funktionen einiger Websites behindern kann).
Die SSLF-Sicherheitsbasis ist nicht als Zusatz zur EC-Sicherheitsbasis gedacht. Die
SSLF-Sicherheitsbasis sorgt für eine ganz andere Sicherheit. Versuchen Sie
daher nicht, die SSL- und EC-Sicherheitsbasis auf denselben Computern
anzuwenden. Im Rahmen dieses Leitfadens ist es daher notwendig, zuerst die
für Ihre Umgebung erforderliche Sicherheitsstufe zu ermitteln und sich dann für
die EC- oder die SSLF-Sicherheitsbasis zu entscheiden. Zum Vergleich der
Einstellungen der EC- und SSLF-Sicherheitsbasis können Sie die ExcelArbeitsmappe Internet Explorer 8 Security Baseline Settings aus diesem
Leitfaden nutzen.
Wichtig: Wenn Sie die SSLF-Sicherheitsbasis einsetzen möchten, dann sind umfassende Tests der
Computer Ihrer Umgebung nach der Anwendung der Sicherheitsbasis erforderlich. Nur so können
Sie sicherstellen, dass keine erforderlichen Funktionalitäten von den neuen Einstellungen
verhindert werden.
Verwalten von Internet Explorer 8
Abhängig von der Größe und Komplexität Ihrer Organisationen gibt es zwei
Optionen zur zentralisierten Administration der Einstellungen von Internet
Explorer 8: das Internet Explorer Administration Kit (IEAK) 8 und Active
Directory-GPOs. Es gibt einige Einstellungen, die Sie nur über das IEAK oder nur
über GPOs konfigurieren können. Wo immer möglich stellt dieser Leitfaden
Informationen zu beiden Varianten zur Verfügung.
Um die optimale Lösung für Ihre Umgebung auswählen zu können, benötigen
Sie ein Verständnis der beiden Lösungen. Grundsätzlich kann man sagen, dass
das IEAK für Organisationen ohne Active Directory-Infrastruktur gedacht ist. Es
ermöglicht außerdem eine Anpassung des Browsers (inklusive Einstellungen
und Optionen). Das IEAK ermöglicht Administratoren die einfache Erstellung
von Dateien für angepasste Konfigurationseinstellungen. Diese Dateien
werden dann während der Installation angewandt. Mit dem IEAK können
viele, aber nicht alle Internet Explorer 8-Einstellungen angepasst werden. Die
IEAK-Anpassungen bleiben außerdem nur so lange erhalten, bis der Benutzer
sie ändert. Bei der internen Bereitstellung können Sie die IEAK-Einstellungen in
bestimmten Intervallen anwenden. So können Sie sicherstellen, dass die
Einstellungen auch nach der Installation den Unternehmensstandards
entsprechen. Die neue Option Internet Explorer-Einstellungen zurücksetzen
sorgt dafür, dass die Installation auf die angepassten Einstellungen
zurückgesetzt wird und setzt ActiveX Opt-In-Einstellungen auf ihre
Standardwerte zurück und deaktiviert zudem alle auf dem Computer
installierten Symbolleisten und Erweiterungen (sie werden jedoch nicht
entfernt).
Mit GPOs können Sie sauber definierte Installationskonfigurationen erstellen,
die regelmäßig über die Gruppenrichtlinienmechanismen aktualisiert werden,
und so Änderungen durch die Benutzer verhindern. Mit GPO-Einstellungen
können Sie hunderte von Einstellungen und Optionen von Internet Explorer 8
steuern. Die Arbeit mit GPOs ist jedoch komplexer als die mit dem IEAK. Nach
der Definition und Anwendung einer GPO-Vorlage folgen alle betroffenen
Systeme der Konfiguration so lange, bis diese von einem Administrator
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
10
Internet Explorer 8 Security Guide
geändert wird. Die Veränderung der Einstellungen durch den Benutzer ist in
vielen Fällen einfach nicht möglich oder wird ignoriert. In einigen Fällen ist es
eventuell noch möglich, Änderungen vorzunehmen. Diese Änderungen
werden jedoch bei der nächsten Richtlinienanwendung überschrieben und
auf die Einstellungen zurückgesetzt.
Wir empfehlen Unternehmenskunden den Einsatz von GPOs in einer Active
Directory-Infrastruktur. Nur so können Sie sicherstellen, dass die
Sicherheitseinstellungen durchgesetzt und nicht verändert werden.
Das Zonenmodell
Mit Internet Explorer steht Administratoren ein Sicherheitsfunktion zur
Verfügung, das andere Browser nicht anbieten: Die Möglichkeit,
Sicherheitseinstellungen für verschiedene Klassen von Websites festlegen zu
können. Im Gegensatz zu den meisten anderen Browsern legt Internet Explorer
die Sicherheitsstufe fest, indem die Webseite auf Basis ihrer Herkunft in eine
URL-Sicherheitszone kategorisiert wird.
Die fünf Sicherheitszonen sind Lokaler Computer (in der Benutzeroberfläche
von Internet Explorer nicht sichtbar), Internet, Lokales Internet,
Vertrauenswürdige Sites und Eingeschränkte Sites. Websites auf dem lokalen
Computer werden in die Zone Lokaler Computer eingeordnet, Remoteserver
befinden sich in der Zone Internet, und Websites im lokalen Netzwerk sind in
der Zone Lokales Internet. Websites auf Servern, die vom Benutzer oder
Administrator als möglicherweise schadhaft definiert wurden, werden in die
Zone Eingeschränkte Sites kategorisiert. Websites auf Servern, die vom
Benutzer oder Administrator als vertrauenswürdig eingestuft wurden, werden
in die Zone Vertrauenswürdige Sites eingeordnet.
Anmerkung: Auf Computern, die nicht Domänen angehören, ist die Zone Lokales Intranet
deaktiviert, und die Sites, die normalerweise in dieser Zone eingeordnet werden, werden
stattdessen in der Zone Internet eingeordnet. Die Zone Lokaler Computer ist über die Internet
Explorer-Benutzeroberfläche nicht sichtbar.
Jede der Zonen hat unterschiedliche Sicherheitseinstellungen. Internet
Explorer nutzt hierzu URL-Sicherheitszonenvorlagen. Standardmäßig gibt es fünf
Vorlagen: hoch, mittel, niedrig und sehr niedrig. Die Sicherheitszonen sind den
jeweiligen URL-Vorlagen zugeordnet.
Tabelle 1.1: Zuordnung der Sicherheitszonen
Sicherheitszone Sicherheitsebene Beschreibung
(standardmäßige
URL-Sicherheitszone)
Lokaler
Computer
Angepasst
Alle Inhalte auf dem Computer des
Benutzers (mit Ausnahme der Inhalte, die
Internet Explorer auf dem lokalen System
zwischenspeichert) sind sehr
vertrauenswürdig. Diese Zone kann nicht in
Internet Explorer konfiguriert werden.
Internet
Mittelhoch
Die Zone Internet setzt sich aus allen
Websites zusammen, die nicht in einer
anderen Zone angeordnet werden.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
11
Sicherheitszone Sicherheitsebene Beschreibung
(standardmäßige
URL-Sicherheitszone)
Lokales Internet Niedrig
(nur auf
Computern,
die Domänenmitglieder sind)
Alle Websites dieser Zone sollten sich hinter
der Firewall befinden. Die Proxyserver
sollten so konfiguriert werden, dass ein
externer DNS-Name für diese Zone nicht
ausgelöst werden kann.
Vertrauenswürdige Sites
Mittel
Seiten in dieser Zone dürfen mehr Aktionen
durchführen als andere Websites. Die
Benutzer werden weniger oft dazu
aufgefordert, Sicherheitsentscheidungen zu
treffen. Externe Seiten sollten nur dann zu
dieser Zone hinzugefügt werden, wenn Sie
allen Inhalten der Site vertrauen und die
Site niemals schädliche Aktionen
durchführen wird.
Eingeschränkte
Sites
Hoch
Diese Zone enthält Sites, die als nicht
vertrauenswürdig eingestuft wurden. Die
Standardeinstellungen für diese Zone
schränken Webfunktionen ein, blockieren
den Zugriff auf die Sites jedoch nicht.
Websites können vom Benutzer oder über
Gruppenrichtlinien zu dieser Zone
hinzugefügt werden.
Zusätzlich zu diesen Zonen gibt es entsprechende gesperrte Zonen, die über
die Benutzeroberfläche von Internet Explorer nicht angezeigt werden. Die
Einstellungen für gesperrte Zonen für Lokaler Computer werden durch eine
Funktion mit dem Namen „Sperrung der Zone des lokalen Computers“ (“Local
Machine Zone Lockdown" – LMZL) aus Windows XP SP2 genutzt. Wenn eine
Webseite in der Zone Lokaler Computer geöffnet wird, dann wird diese
standardmäßig mit restriktiveren Berechtigungen in der gesperrten Zone
ausgeführt. Versucht der Inhalt der Website, ein ActiveX-Element oder ein
Skript auszuführen, dann wird dem Benutzer eine Informationsleiste angezeigt,
über die er dies zulassen kann. Lässt der Benutzer den blockierten Inhalt zu, so
nutzt Internet Explorer die weniger restriktiven normalen Einstellungen für die
Zone Lokaler Computer – und zwar für die gesamte Lebensdauer der
Browserregisterkarte in Internet Explorer 7 und Internet Explorer 8 oder des
Browserfensters in Internet Explorer 6. Die anderen gesperrten Zonen werden
für die in der Gruppenrichtlinie definierten Protokolle eingesetzt.
Die Einstellungen werden in verschiedenen Pfaden in der Registrierung
gespeichert (abhängig von der Konfiguration der Einstellung und davon, ob
sie für Benutzer oder Computer gilt). In der folgenden Tabelle sind diese Pfade
zusammengefasst.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
12
Internet Explorer 8 Security Guide
Tabelle 1.2: Registrierungspfade für Zoneneinstellungen
Benutzereinstellungen
Computer- Über
einstellun- Gruppengen
richtlinien
konfiguriert

Lokal über
Internetoptionen
konfiguriert
Pfad

HKEY_CURRENT_USER\Softwar
e\Microsoft\Windows\
CurrentVersion\Internet
Settings\Zones


HKEY_CURRENT_USER\Softwar
e\Policies\Microsoft\Internet
Explorer\Zones\


HKEY_CURRENT_USER\Softwar
e\Policies\Microsoft\Internet
Explorer\Lockdown_Zones\


HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows
\
CurrentVersion\Internet
Settings\Zones\


HKEY_LOCAL_MACHINE\
Software\Policies\Microsoft\
Windows\CurrentVersion\
Internet Settings\Zones\


HKEY_LOCAL_MACHINE\
Software\Policies\Microsoft\
Windows\CurrentVersion\
Internet Settings\
LockdownZones\
Unter den genannten Pfaden gibt es Unterschlüssel für die einzelnen
Sicherheitszonen.
Diese Unterschlüssel sind:
 0 = Zone Lokaler Computer
 1 = Zone Lokales Intranet
 2 = Zone Vertrauenswürdige Sites
 3 = Zone Internet
 4 = Zone Eingeschränkte Sites
Die URL-Sicherheitszonenvorlagen legen fest, welche Aktionen Webseiten
durchführen können. Die URL-Sicherheitszonenvorlage „Hoch“ definiert
beispielsweise, dass ActiveX-Steuerelemente oder Skripte für die Webseite
nicht erlaubt sind. Standardmäßig können Seiten aus der Zone Eingeschränkte
Sites die entsprechenden Funktionalitäten daher nicht nutzen. Weitere
Informationen zu URL-Sicherheitszonen und Vorlagen finden Sie im MSDN®Artikel Über URL-Sicherheitszonen (engl.).
Bearbeitung der Zoneneinstellungen
Es gibt für die Benutzer mehrere Möglichkeiten zur Änderung der
Zoneneinstellungen im Dialogfenster Internetoptionen:
 Sie können den Regler für die Sicherheitszone unter der Registerkarte
Sicherheit auf die gewünschte URL-Sicherheitszonenvorlage
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis


13
(Sicherheitsstufe) festlegen. Ein Benutzer könnte beispielsweise für die Zone
Internet die Sicherheitsstufe von Niedrig auf Mittel ändern.
Sie können über den Schalter Stufe anpassen auf der Registerkarte
Sicherheit spezielle Einstellungen für die jeweilige Zone eingeben.
Sie können mit einem Klick auf den Schalter Sites auf der Registerkarte
Sicherheit Websites zu einer Zone hinzufügen (für die Zone Internet steht
diese Option nicht zur Verfügung – sie enthält per Definition alle Websites,
die nicht in andere Zonen kategorisiert sind).
Bei der Zone Lokales Intranet funktioniert der Sites-Schalter anders. Bei dieser
Zone können Sie mit dem Schalter festlegen, ob das Internet-Netzwerk
automatisch erkannt wird (Standardeinstellung), oder die für die Erkennung zu
verwendenden Kriterien definieren. Sie können alle lokalen (Intranet)
Websites, die sich nicht in anderen Zonen befinden, alle Sites, die nicht über
den Proxy-Server abgerufen werden, und alle UNC-Netzwerkpfade (Universal
Naming Convention) einschließen. Es ist über den Schalter Erweitert im
Dialogfenster mit den Einstellungen weiterhin möglich, lokale Sites einzutragen.
Wenn Sie einen vollqualifizierten Domänennamen (Fully Qualified Domain
Names – FQDN) zur Erkennung von Intranet-Sites nutzen möchten, dann
müssen Sie diese Sites manuell zur Zone Lokales Intranet hinzufügen. Dies liegt
daran, dass Internet Explorer Hosts mit Punkten im FQDN zur Zone Internet
zuweist.
Administratoren möchten die Benutzer in der Bearbeitung der
Zoneneinstellungen oft einschränken. Weitere Informationen dazu, wie Sie dies
realisieren, finden Sie in Kapitel 2, „Sicherheitsempfehlungen“.
Zonenbestimmung
Das grundlegende Konzept der Zonen-Sicherheitsberechtigungen ist leicht zu
verstehen. Um Computer effektiver verwalten zu können, ist es jedoch
hilfreich, auch die eigentliche Logik hinter der Zonenbestimmung zu kennen.
Kern des Bestimmungsprozesses ist die Eingabe in die Adressleiste – nicht der
DNS-IP-Wert oder die Netzwerkmaske. Die erste grundlegende Regel lautet
also: Die Zonenbestimmung basiert auf der Benutzereingabe in die
Adressleiste. Standardmäßig werden die folgenden weiteren Regeln zur
Zonenbestimmung genutzt:
 Alle Sites, die in der Zone Eingeschränkte Sites aufgeführt sind, werden in
dieser Zone geöffnet.
 Alle Sites, die in der Zone Vertrauenswürdige Sites aufgeführt sind, werden
in dieser Zone geöffnet.
 Alle Sites, die in der Zone Lokales Intranet aufgeführt sind, werden in dieser
Zone geöffnet.
 Alle Sites auf der Proxy-Bypass-Liste werden in der Zone Lokale Intranet
geöffnet.
 Eingaben ohne Punkt in der Adressleiste, die aufgelöst werden können,
werden in der Zone Lokales Intranet geöffnet (zum Beispiel http://local).
 Andere Sites werden in der Zone Internet geöffnet.
Anmerkung: Sites können nicht zu mehr als einer Zone hinzugefügt werden.
Sie sollten sich bewusst machen, dass durch diese Regeln manchmal IntranetSites in der Zone Internet geöffnet werden. Dies passiert beispielsweise dann,
wenn die Intranet-Site über eine IP-Adresse oder einen FQDN geöffnet wird
(der Name enthält in diesem Fall Punkte).
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
14
Internet Explorer 8 Security Guide
Jenseits des Zonenmodells: Allgemeine
Sicherheitseinstellungen
Internet Explorer 8 umfasst des Weiteren Sicherheitseinstellungen, die nicht
zonenspezifisch sind. Diese Einstellungen finden Sie unter den Registerkarten
Datenschutz, Inhalte und Erweitert der Internetoptionen. Sie werden weiter
unten in diesem Leitfaden genauer besprochen.
Sicherheitsdesign
Das in diesem Kapitel empfohlene Sicherheitsdesign bildet den Startpunkt für
die in diesem Leitfaden genutzten Szenarien und die
Abschwächungsvorschläge für die Szenarien. In den weiteren Abschnitten
dieses Kapitels erfahren Sie mehr zur Sicherheits-Kernstruktur:
 OU-Design für Sicherheitsrichtlinien
 GPO-Design für Sicherheitsrichtlinien
Microsoft empfiehlt dringend, dass Sie Ihre eigenen Tests in einer
Laborumgebung durchführen, bevor Sie neue Sicherheitsrichtlinien für
Computer in Produktivumgebungen nutzen. Die in diesem Leitfaden
empfohlenen und in den Sicherheitsbasiskonfigurationen im SCM-Tool
angegebenen Einstellungen wurden sorgfältig getestet. Wie in fast jedem
Netzwerk gibt es jedoch wahrscheinlich auch in Ihrem Netzwerk
Anwendungen, auf die einige dieser Einstellungen Auswirkungen haben. Es ist
daher extrem wichtig, die Einstellungen vor der Implementierung in einer
Produktivumgebung gründlich zu testen.
OU-Design für Sicherheitsrichtlinien
Die Microsoft-Sicherheitsleitfäden für Windows, Office und Internet Explorer
nutzen OUs. Eine OU ist ein Container in einer Domäne mit AD DS. Eine OU
kann Benutzer, Gruppen, Computer und andere OUs enthalten. Enthält eine
OU andere OUs, dann wird sie als übergeordnete OU bezeichnet. Eine OU in
einer übergeordneten OU ist hingegen eine untergeordnete OU.
Sie können ein GPO mit einer OU verknüpfen. Die GPO-Einstellungen werden
dann auf die Benutzer und Computer in der OU und in allen untergeordneten
OUs angewandt. Zur einfacheren Administration können Sie die administrative
Gewalt über jede einzelne OU delegieren.
OUs sind eine effektive Möglichkeit, die administrativen Grenzen für Benutzer
und Computer aufzuteilen. Da einige Einstellungen nur für Benutzer und einige
nur für Computer gelten, empfiehlt Microsoft, die Benutzer und Computer
unterschiedlichen OUs zuzuweisen.
Mit dem Delegierungsassistenten können Sie im MMC-Snap-In Active
Directory-Benutzer und -Computer die Kontrolle über eine Gruppe von OUs
oder über einzelne OUs delegieren. Links zu weiteren Dokumenten zu diesem
Thema finden Sie im Abschnitt „Zusätzliche Informationen“ am Ende dieses
Kapitels.
Eines der Hauptziele eines OU-Designs ist es, eine Basis für die nahtlose
Implementierung von Gruppenrichtlinien für alle Computer im AD DS zu
schaffen. Nur so kann sichergestellt werden, dass alle Computer den
Sicherheitsstandards Ihrer Organisation entsprechen. Das OU-Design muss eine
Struktur aufweisen, die zu den Anforderungen der unterschiedlichen Benutzer
einer Organisation an die Sicherheitseinstellungen passt. Entwickler benötigen
beispielsweise oft Zugriffsmöglichkeiten auf ihre Computer, die normale
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
15
Benutzer nicht brauchen. Auch Notebookbenutzer haben andere
Anforderungen als der normale Durchschnittsbenutzer.
In der folgenden Abbildung sehen Sie eine einfache OU-Struktur, die für die
Diskussion rund um die Gruppenrichtlinien aus diesem Kapitel ausreicht. Diese
OU-Struktur muss aber natürlich nicht zwingend den Anforderungen Ihrer
Organisation entsprechen.
Abbildung 1.1: Beispiel für eine OU-Struktur für Computer unter Windows 7 und
Windows Server 2008
Domänenstamm
Einige Sicherheitseinstellungen sollten für die gesamte Domäne angewandt
werden. Sie legen fest, wie die Domäne insgesamt konfiguriert ist. Die
entsprechenden Einstellungen können in ein GPO aufgenommen werden, das
der Domäne selbst zugewiesen wird. In diesem Container befinden sich keine
Benutzer und Computer.
OU Domänencontroller
Auf den Domänencontrollern sind einige der sensibelsten Daten in Ihrer
Organisation gespeichert – beispielsweise Daten, die der
Sicherheitskonfiguration selbst dienen. Hier angewandte GPOs konfigurieren
und schützen die Domänencontroller.
OU Mitgliedsserver
Diese OU enthält die unten aufgeführten untergeordneten OUs. GPOs, die
dieser OU zugewiesen werden, sollten Einstellungen enthalten, die auf alle
Server, aber nicht auf die Arbeitsstationen angewandt werden sollen.
OUs für die Serverrollen
Microsoft empfiehlt, für jede in der Organisation eingesetzte Serverrolle eine
OU anzulegen. Jede OU sollte nur die entsprechende Art Servercomputer
enthalten. So haben Sie die Möglichkeit, GPO-Einstellungen speziell für die
einzelnen Serverrollen zu definieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
16
Internet Explorer 8 Security Guide
Natürlich können Sie bestimmte Rollen auch auf einem Server kombinieren. Sie
können beispielsweise Datei- und Druckdienste auf einem Server
zusammenfassen. In diesem Fall erstellen Sie einfach eine OU für die
kombinierten Serverrollen (zum Beispiel mit dem Namen „Datei- und
Druckserver“) und verknüpfen dann alle entsprechenden rollenspezifischen
GPOs mit der OU.
Wichtig: Zur Kombination von Serverrollen auf einem Computer sind eine sorgfältige
Planung und saubere Tests erforderlich. Nur so können Sie sicherstellen, dass sich keine
negativen Effekte auf die Gesamtsicherheit der kombinierten Serverrollen ergeben.
OU Abteilung
Sicherheitsanforderungen sind innerhalb einer Organisation oft sehr
unterschiedlich. Aus diesem Grund macht es Sinn, eine oder mehrere
Abteilungs-OUs zu erstellen. So haben Sie die Möglichkeit,
Sicherheitseinstellungen aus GPOs für Computer und Benutzer in bestimmten
Abteilungen festzulegen.
OU Windows 7-Benutzer
Diese enthält die Benutzerkonten für das EC-Szenario. Die Einstellungen für
diese OU werden in der zu diesem Leitfaden gehörenden Excel-Arbeitsmappe
Windows 7 Security Baseline Settings beschrieben.
OU Windows 7-Computer
Diese OU enthält untergeordnete OUs für die einzelnen Clientcomputertypen
unter Windows 7 aus dem EC-Szenario. Dieser Leitfaden konzentriert sich auf
die Sicherheit von Desktop- und Notebookcomputern. Aus diesem Grund
wurden die folgenden untergeordneten OUs erstellt:
 OU Desktops: Diese OU enthält die Desktopcomputer, die permanent
mit dem Netzwerk verbunden sind. Die Einstellungen für diese OU
werden in der zu diesem Leitfaden gehörenden Excel-Arbeitsmappe
Windows 7 Security Baseline Settings beschrieben.
 OU Notebooks: Diese OU enthält die Notebookcomputer der mobilen
Benutzer, die nicht permanent mit dem Netzwerk verbunden sind. Die
Einstellungen für diese OU werden in der zu diesem Leitfaden
gehörenden Excel-Arbeitsmappe Windows 7 Security Baseline Settings
beschrieben.
GPO-Design für Sicherheitsrichtlinien
Ein GPO ist eine Sammlung von Gruppenrichtlinieneinstellungen, die
grundsätzlich aus den mithilfe des Snap-Ins Gruppenrichtlinien erstellten
Dateien besteht. Die Einstellungen werden auf Domänenebene gespeichert
und wirken sich auf Benutzer und Computer in Standorten, Domänen und OUs
aus.
Sie können GPOs dazu nutzen, bestimmte Einstellungen, Benutzerrechte und
Computereinstellungen auf alle Clientcomputer oder Benutzer einer OU
anzuwenden. Durch die Nutzung von Gruppenrichtlinien statt einer manuellen
Konfiguration wird es einfacher, Änderungen für viele Computer und Benutzer
zu verwalten und durchzuführen. Da viele Mitarbeiter viele Computer vor Ort
besuchen müssten, ist eine manuelle Konfiguration nicht nur ineffizient,
sondern auch ineffektiv. Dies liegt primär daran, dass die Einstellungen in
domänenbasierten GPOs die lokal definierten Einstellungen überschreiben.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
17
Abbildung 1.2: GPO-Prioritätsreihenfolge
In der Abbildung oben sehen Sie die Reihenfolge, in der GPOs auf einem
Computer in einer untergeordneten OU angewandt werden – von der
geringsten Priorität (1) bis hin zur höchsten Priorität (5). Als Erstes werden die
lokalen Sicherheitsrichtlinien jeder Arbeitsstation angewandt. Danach werden
die GPOs auf Standortebene und dann die auf Domänenebene angewandt.
Befinden sich Computer mit Windows Server 2008, Windows Server 2003 SP2
oder höher oder Windows Vista SP1 oder Windows XP Professional SP3 oder
höher in untergeordneten OUs, so werden die GPOs von der übergeordneten
OU bis hin zur untersten untergeordneten OU angewandt. Diese Reihenfolge
der GPO-Verarbeitung ist von großer Bedeutung – denn Änderungen, die
später im Prozess angewandt werden, überschreiben die vorher im Prozess
angewandten Änderungen. Unterschiedliche Werte für eine Einstellung in
unterschiedlichen GPOs werden nicht kombiniert. Dies gilt nicht nur für
Computer-GPOs, sondern auch für Benutzer-GPOs.
Beim Design von Gruppenrichtlinien müssen die folgenden Überlegungen
berücksichtigt werden:
 Ein Administrator muss eine Reihenfolge für die Anwendungen mehrerer
mit einer OU verknüpfter GPOs festlegen. Andernfalls werden die
Gruppenrichtlinien in der Reihenfolge angewandt, in der sie mit der OU
verknüpft wurden. Die Reihenfolge sehen Sie in der Liste
Verknüpfungsreihenfolge der GPMC. Ist eine der Einstellungen in mehreren
Richtlinien konfiguriert, so hat die aus der obersten Richtlinie in der
Richtlinienliste Vorrang.
 Sie können ein GPO mit der Option Vorrang konfigurieren. Mit dieser
Option können andere GPOs die Einstellungen aus diesem GPO jedoch
nicht mehr überschreiben.
 Gruppenrichtlinieneinstellungen gelten für Benutzer und Computer (auf
Basis des jeweiligen Speicherortes der Benutzer- und Computerobjekte in
AD DS). In einigen Fällen sind möglicherweise Richtlinien für
Benutzerobjekte auf Basis des Speicherortes des jeweiligen
Computerobjekts statt des Benutzerobjekts erforderlich. Mit der LoopbackFunktion haben Sie die Möglichkeit, BenutzerGruppenrichtlinieneinstellungen auf Basis des Computers, an dem sich der
Benutzer angemeldet hat, anzuwenden. Weitere Informationen zu diesem
Thema finden Sie im Artikel Loopbackverarbeitung von Gruppenrichtlinien.
 Sie können Active Directory-Standorte, -Domänen und -OUs mit der
Option Richtlinienvererbung blockieren konfigurieren. Diese Option
blockiert GPO-Einstellungen aus GPOs, die sich weiter oben in der Active
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
18
Internet Explorer 8 Security Guide
Directory-Hierarchie befinden (es sei denn, bei diesen ist die Option
Vorrang aktiviert). Die Option Vorrang hat also auch Vorrang vor der
Option Richtlinienvererbung blockieren.
Anmerkung: Die Optionen Vorrang und Richtlinienvererbung blockieren sollten mit
größtmöglicher Vorsicht genutzt werden. Sie können dafür sorgen, dass die
Fehlersuche bei GPOs schwierig und mühsam wird.
Empfohlene GPOs
Um das oben beschriebene OU-Design zu implementieren, sind mindestens
die folgenden GPOs erforderlich:
 Eine Richtlinie für die Domäne.
 Eine Richtlinie mit einer Sicherheitsbasis für alle Domänencontroller.
 Eine Richtlinie mit einer Sicherheitsbasis für alle Mitgliedsserver.
 Eine Richtlinie für jede Serverrolle in Ihrer Organisation.
 Eine Richtlinie für die OU Windows 7-Benutzer.
 Eine Richtlinie für die OU Desktops.
 Eine Richtlinie für die OU Notebooks.
Die folgende Abbildung erweitert die vorläufige OU-Struktur und zeigt die
Verknüpfungen zwischen den GPOs und dem OU-Design.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
19
Abbildung 1.3: Beispiel zur OU-Struktur und GPO-Verknüpfungen für Computer
unter Windows 7 und Windows Server 2008
Dieser Leitfaden deckt nur ein einziges Produkt von Microsoft ab. In der oben
dargestellten Abbildung sind jedoch Empfehlungen aus verschiedenen
Sicherheitsleitfäden aus der Security Compliance Management Toolkit-Serie
eingeflossen:
 Windows Server 2008-Sicherheitsleitfaden
 Windows 7-Sicherheitsleitfaden
 2007 Microsoft Office-Sicherheitsleitfaden
 Internet Explorer 8.0-Sicherheitsleitfaden
Vermutlich werden in Ihrem Netzwerk verschiedene Versionen von Windows,
Office und Internet Explorer ausgeführt. Das Beispiel aus der Abbildung oben
ist nur ein fiktives Design. Sie müssen eine eigene OU-Hierarchie entwerfen, die
an die in Ihrer Umgebung eingesetzten Versionen angepasst ist.
Im oben gezeigten Beispiel sind die Notebookcomputer Mitglieder der OU
Notebooks. Die erste Richtlinie, die auf die Notebooks angewandt wird, ist die
lokale Sicherheitsrichtlinie. Da es in diesem Beispiel nur einen Standort gibt,
wird kein GPO auf Standortebene angewandt. Daher ist das Domänen-GPO
die nächste angewandte Richtlinie. Als Letztes wird das GPO der OU
Notebooks angewandt.
Sie sehen in der Abbildung außerdem, dass ein Dateiserver Mitglied der OU
Dateiserver ist. Auch auf dem Dateiserver wird als Erstes die lokale
Sicherheitsrichtlinie angewandt. Auf Servern werden jedoch normalerweise,
wenn überhaupt, nur wenige Konfigurationen über die lokale
Sicherheitsrichtlinie definiert. Stattdessen sollten sie immer über
Gruppenrichtlinien durchgesetzt werden.
Da es in diesem Beispiel nur einen Standort gibt, wird kein GPO auf
Standortebene angewandt. Daher ist das Domänen-GPO die nächste auf die
Server angewandte Richtlinie. Danach wird die Windows Server 2008 ECBasisrichtlinie der OU Mitgliedsserver angewandt. Und als Letztes werden die
Richtlinien der OU Dateiserver angewandt.
Betrachten wir als Beispiel für die Reihenfolge ein Szenario, in dem die
Einstellung Anmeldung über Terminaldienste zulassen auf die folgenden OUs
und Benutzergruppen angewandt ist:
 OU Mitgliedsserver – Gruppe Administratoren
 OU Dateiserver – Gruppen Remotedesktopbenutzer und Administratoren
In einem solchen Szenario wäre die Anmeldemöglichkeit an Terminaldiensten
für die Server in der OU Mitgliedsserver auf die Gruppe Administratoren
beschränkt. Benutzer, deren Konto sich in der Gruppe
Remotedesktopbenutzer befindet, können sich jedoch über die
Terminaldienste an Dateiservern anmelden – denn die OU Dateiserver ist eine
untergeordnete OU der OU Mitgliedsserver, und die Richtlinie hat daher eine
höhere Priorität.
Wenn Sie die Option Vorrang im GPO für die OU Mitgliedsserver aktivieren,
dann können nur noch die Benutzer aus der Gruppe Administratoren über die
Terminaldienste auf die Dateiserver zugreifen. Die Option Vorrang verhindert,
dass die Richtlinie überschrieben wird.
Einsatz eines mit dem Security Compliance Manager-Tool
erstellten GPOs
Die Empfehlungen zu den Einstellungen aus diesem Leitfaden stehen im SCMTool als vordefinierte Basiskonfiguration bereit. Sie können diese von Microsoft
erstellten Basiskonfigurationen zwar so wie sie sind nutzen, in den meisten
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
20
Internet Explorer 8 Security Guide
Organisationen werden jedoch wahrscheinlich ein paar Anpassungen
erforderlich sein. Erstellen Sie mit dem SCM-Tool eine Sicherung des jeweiligen
GPOs (weitere Informationen zum SCM-Tool finden Sie in der Hilfe des Tools).
Mit der GPMC können Sie die Einstellungen dann aus dem gesicherten GPO in
Ihre AD DS-Domäne importieren.
So importieren Sie Einstellungen aus einem gesicherten GPO in ein GPO:
1. Erweitern Sie in der GPMC-Konsolenansicht die Gesamtstruktur und die
Domäne mit dem GPO, in das Sie die Einstellungen importieren möchten,
und klicken sie dann auf den Ordner Gruppenrichtlinienobjekte.
2. Klicken Sie mit rechts auf das GPO, in das Sie die Einstellungen importieren
möchten, und dann auf Einstellungen Importieren.
3. Folgen Sie den Anweisungen des Importeinstellungs-Assistenten.
4. Nachdem der Import abgeschlossen ist, wird Ihnen eine
Zusammenfassung angezeigt, in der Sie sehen, ob der Import erfolgreich
war.
Nutzung von Migrationstabellen
Da einige Daten in einem GPO domänenspezifisch sind und bei einem
direkten Kopieren in eine andere Domäne nicht gültig sein können, stellt die
GPMC Migrationstabellen bereit. Eine Migrationstabelle ist eine einfache
Tabelle mit einer Zuordnung der Quellwerte zu Zielwerten.
Eine Migrationstabelle konvertiert während eines Kopier- oder
Importvorganges die Referenzen in einem GPO zu neuen, für die Zieldomäne
passenden Referenzen. Sie können Migrationstabellen dazu nutzen,
Sicherheitsprinzipale und UNC-Pfade während des Import- oder
Kopiervorganges auf neue Werte zu aktualisieren. Migrationstabellen werden
unter der Dateierweiterung .migrable gespeichert und sind eigentlich XMLDateien. Sie müssen für die Erstellung und Bearbeitung von Migrationstabellen
jedoch nicht über XML-Kenntnisse verfügen. Die GPMC stellt den MCE zur
Bearbeitung von Migrationstabellen bereit.
Eine Migrationstabelle besteht aus einem oder mehreren
Zuordnungseinträgen. Jeder Zuordnungseintrag setzt sich aus einem Quelltyp,
einer Quellreferenz und einer Zielreferenz zusammen. Wenn Sie eine
Migrationstabelle beim Import oder beim Kopieren angeben, dann wird beim
Schreiben der Einstellungen in das Ziel-GPO jedes Vorkommen der
Quellreferenz durch die Zielreferenz ersetzt. Bevor Sie eine Migrationstabelle
nutzen, müssen Sie sicherstellen, dass die in der Tabelle angegeben
Zielreferenz bereits existiert.
Die folgenden Elemente können Sicherheitsprinzipale enthalten und mithilfe
einer Migrationstabelle geändert werden:
 SicherheitsEinstellungen der folgenden Typen:
 Zuweisung von Benutzerrechten
 Eingeschränkte Gruppen
 Systemdienste
 Dateisystem
 Registrierung
 Richtlinien für die erweiterte Ordnerumleitung
 Die DACL (Discretionary Access Control List) von GPOs, wenn diese
während einer Kopieraktion erhalten bleiben.
 Die DACL (Discretionary Access Control List) von
Softwareinstallationsobjekten (bleiben nur erhalten, wenn die Option zum
Kopieren der GPO-DACL aktiviert ist).
Die folgenden Elemente können UNC-Pfade enthalten, die während des
Imports oder Kopierens aktualisiert werden müssen:
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis



21
Gruppenrichtlinieneinstellungen für die Ordnerumleitung
Gruppenrichtlinieneinstellungen für die Softwareinstallation
Referenzen auf Skripte wie beispielsweise Anmelde- oder Abmeldeskripte.
Das Skript selbst wird beim Kopieren oder Importieren von GPOs nicht
kopiert (es sei denn, es ist in dem Quell-GPO gespeichert).
Weitere Informationen zum Import von Einstellungen mit der GPMC finden Sie
im Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien.
Sicherheits- und Datenschutzfunktionen in Internet Explorer 8
Die Sicherheit der Benutzer, Wahlmöglichkeiten und mehr Kontrolle sind die
Hauptelemente von Internet Explorer 8. Aus diesen Bereichen kommen viele
Innovationen, die zu einer vertrauenswürdigeren Webumgebung beitragen.
Dieser Abschnitt befasst sich mit einigen der Funktionen und Technologien aus
den Bereichen Sicherheit und Datenschutz von Internet Explorer 8:
 SmartScreen-Filter
 Phishing- und Malware-Schutz
 ClickJacking
 Cross-Site Scripting-Filter (XSS)
 Domänenhervorhebung
 Geschützter Modus
 ActiveX-Opt-In
 InPrivate-Browsing
 InPrivate-Filterung
SmartScreen-Filter
Internet Explorer 8 stellt eine Funktion mit dem Namen SmartScreen-Filter
bereit. Der SmartScreen-Filter besteht aus Technologien, mit denen Benutzer
vor Internet-Angriffen und Social-Engineering-Angriffen geschützt werden. Er
erweitert die Funktionalität der Phishing-Filter von Internet Explorer 7.
Der SmartScreen-Filter schützt die Benutzer vor bekannten Phishing- und
Malware-Websites, wenn diese die entsprechenden Seiten im Internet
aufrufen. Des Weiteren schützt er vor ClickJacking. ClickJacking ist eine
Technik, mit der Angreifer Tastendrücke abfangen, Anmeldeinformationen
des Benutzers stehlen, Webseiten verändern oder andere Angriffe starten. Der
SmartScreen-Filter umfasst außerdem den neuen XSS-Filter. Dieser schützt vor
Type-1 Cross-Site-Scripting-Angriffen.
Phishing- und Malware-Schutz
Phishing ist eine Technik, mit der Angreifer Benutzer durch Manipulation dazu
bringen, persönliche Informationen oder Finanzinformationen über eine E-Mail
oder Website weiterzugeben. Phisher tarnen sich als Mitarbeiter eines seriösen
Unternehmens oder direkt als Unternehmen und versuchen so, persönliche
Informationen wie Kennwörter oder Kreditkartennummern von den Benutzern
zu ergaunern. Der SmartScreen-Filter in Internet Explorer 8 informiert die
Benutzer über verdächtige Websites und bekannte Phishing-Websites, so dass
diese sicherer im Internet surfen können. Der Filter analysiert die Inhalte von
Websites auf bekannte Phishing-Techniken und nutzt ein Netzwerk aus
weltweiten Datenquellen zur Bewertung der Vertrauenswürdigkeit von
Websites. Er sorgt zudem für einen dynamischen Schutz vor bösartiger
Software und schützt den Benutzer so vor Websites, die bekanntermaßen
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
22
Internet Explorer 8 Security Guide
schädlichen Code oder schädliche Downloads enthalten oder diese
verbreiten.
Der SmartScreen-Filter nutzt verschiedenste Technologien und einen
regelmäßig aktualisierten Onlinedienst dazu, die aktuellsten Informationen zu
betrügerischen Websites zusammenzustellen. Mit diesen Informationen warnt
und schützt er die Benutzer von Internet Explorer 8.
Der SmartScreen-Filter kombiniert clientseitige Webseiten-Scans auf
verdächtige Charakteristiken mit einem optionalen Onlinedienst. Der Filter
wurde so entworfen, dass er die Benutzer auf drei verschiedene Arten vor
Phishing-Angriffen und Malware-Sites schützen kann:
 Vergleich der vom Benutzer besuchten Websites mit den Adressen
bekannter und vertrauenswürdiger Websites: Hierbei wird eine Liste von
bekannten Websites mit hohen Zugriffszahlen auf dem Computer des
Benutzers gespeichert. Wird die aufzurufende Website in dieser Liste
gefunden, so werden keine weiteren Prüfungen durchgeführt.
 Analyse der Websites, die der Benutzer aufrufen möchte: Hierbei wird
nach für Phishing-Sites charakteristischen Elementen gesucht.
 Senden der Website-Adresse, auf die der Benutzer zugreifen möchte, an
einen von Microsoft betriebenen und gepflegten Onlinedienst: Der
Onlinedienst prüft die Adresse direkt anhand einer regelmäßig
aktualisierten Liste von Phishing- und Malware-Sites. Auf dieser Liste
befinden sich Websites, die als betrügerisch oder schädlich ermittelt und
an Microsoft gemeldet wurden.
Anmerkung: Der Onlinedienst wird asynchron über eine SSL-Verbindung kontaktiert. So ist es
möglich, dass Seiten geladen werden und die Arbeit des Benutzers nicht beeinträchtigt wird.
Wenn der Dienst nicht kontaktiert werden kann, dann wird die Seite normal dargestellt. In diesem
Fall zeigt eine Nachricht in der Statusleiste an, dass der Dienst nicht kontaktiert werden konnte.
Anmerkung: Mit Internet Explorer können Sie jederzeit feststellen, ob eine Website möglicherweise
eine Phishing-Site ist. Klicken Sie auf Extras, zeigen Sie auf SmartScreen-Filter, und klicken Sie dann
auf Diese Website überprüfen.
Der SmartScreen-Filter fragt beim Benutzer nach, ob die Funktion aktiviert oder
deaktiviert werden soll – es gibt daher keine Standardeinstellung. Sie können
diese Nachfrage unterbinden, indem Sie den Anpassungs-Assistenten für den
ersten Start deaktivieren oder mit dem IEAK ein angepasstes Paket erstellen.
Für einen korrekten Schutz durch den SmartScreen-Filter empfehlen wir,
SmartScreen automatisch zu aktivieren und die Deaktivierung durch den
Benutzer zu verhindern. Des Weiteren empfehlen wir, die Fortfahren-Option aus
den SmartScreen-Warnhinweisen zu erkannten Phishing- und Malware-Sites zu
deaktivieren.
ClickJacking
Beim ClickJacking versucht ein Angreifer, den Benutzer, ohne dass dieser es
bemerkt, zu einem Klick auf eine präparierte Webseite zu verleiten, die Inhalte
aus anderen Domänen (oder aus einem Sicherheitsfenster) enthält.
ClickJacking sorgt dafür, dass die meisten CSRF-Maßnahmen (Cross-Site
Request Forgery) wirkungslos bleiben. Der Angreifer kann mit ClickJacking
bestimmte Browser-Add-Ons so konfigurieren, dass diese unsicher sind.
Der SmartScreen-Filter umfasst ein neues Sicherheitsfunktion, das die
Erkennung von ClickJacking verbessert und entsprechende Angriffe
verhindert. Die entsprechende Funktion gehört zur Codebasis von Internet
Explorer 8 – was bedeutet, dass es immer aktiv ist und nicht deaktiviert werden
kann.
Angreifer nutzen Verfahren, bei denen Schalter-Attrappen angezeigt werden.
Dann wird eine transparente Ebene über diese Schalter gelegt. Der Benutzer
denkt, dass er auf die Schalter klickt. Tatsächlich klickt er jedoch auf die
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
23
versteckte Seite. Diese versteckte Seite kann beispielsweise eine
Authentifizierungsseite sein. Der Angreifer kann den Benutzer mit diesem Trick
dazu bringen, Aktionen auszuführen, die er ansonsten niemals durchführen
würde. Es gibt keine Möglichkeit, entsprechende Angriffe später
nachzuvollziehen, denn der Benutzer authentifiziert sich ja korrekt auf der
anderen Seite – er merkt es nur nicht.
Um den zusätzlichen Schutz vor ClickJacking-Angriff nutzen zu können, müssen
Websites ein X-FRAME-OPTIONS-Tag in den HTTP-Header oder den HTTP EQUIVMetatag aufnehmen. Weitere Informationen zu ClickJacking finden Sie im
Blog IE8 Security Part VII: ClickJacking Defenses (engl.).
XSS-Filter (Cross-Site Scripting)
Der neue XSS-Filter aus dem SmartScreen-Filter schützt die Benutzer vor
bestimmten Angriffen auf Sicherheitslücken in serverseitigen Anwendungen.
Die entsprechenden Angriffe werden als Type 1 oder auch als
Reflektionsangriffe (Reflected-Attacks) bezeichnet und gehören zu den am
häufigsten vorkommenen XSS-Angriffen. Sie kommen zustande, wenn Code,
normalerweise in Form eines Skriptes, an einen Webserver gesendet wird und
dieser den Code an den Benutzer zurückgibt (reflektiert). Dies kann zum
Beispiel dann geschehen, wenn Informationen, die durch den Webbrowser an
den Server gesendet werden, von serverseitigen Skripten direkt dazu genutzt
werden, eine neue Webseite für den Benutzer zu generieren.
Der XSS-Filter schützt die Benutzer vor entsprechenden Angriffen. Er analysiert
die an den Benutzer zurückgegebenen Daten. Durch die Analyse des
Datenstroms kann Internet Explorer 8 verschiedene ungültige Aktionen
erkennen und das Skript dann entsprechend anhalten und so den Benutzer
schützen. Weitere Informationen zur Verwaltung der Einstellungen für den XSSFilter finden Sie in Kapitel 2, “Sicherheitsempfehlungen".
Anmerkung: Der Schutz vor Clickjacking und XSS ist standardmäßig aktiviert. Der ClickJackingSchutz ist Teil des Defense-in-Depth-Designs des Browsers und kann daher nicht deaktiviert
werden. Die Benutzer können jedoch den XSS-Filter deaktivieren.
Domänenhervorhebung
Die wohl auffälligste Änderung in der Adressleiste von Internet Explorer 8 ist die
Domänenhervorhebung. Internet Explorer 8 hebt die Domäne der vom
Benutzer angezeigten Seite automatisch hervor. Der Benutzer kann so
erkennen, wo eine Seite herkommt, und bemerkt, wenn eine Website
versucht, ihn zu täuschen. Die Domänenhervorhebung kann nicht deaktiviert
werden und wird zusätzlich zu den Warnungen und -benachrichtigungen zu
Phishing-Sites angezeigt.
Geschützter Modus
Der geschützte Modus steht mit Internet Explorer 7 oder Internet Explorer 8 auf
Computern unter Windows 7 oder Windows Vista zur Verfügung. Er sorgt für
zusätzlichen Schutz, indem er den Zugriff von Anwendungen auf einen
bestimmten Teil des Dateisystems und der Registrierung beschränkt. Er schützt
zudem davor, dass der Browser durch schädlichen Code übernommen wird
und so Code mit den Rechten des Benutzers ausführt.
Der geschützte Modus verhindert die stillschweigende Installation von
schädlichem Code und schützt so vor Sicherheitslücken in
Browsererweiterungen. Die entsprechende API (Application Programming
Interface) ermöglicht es Softwareherstellen, Erweiterungen und Add-Ons für
Internet Explorer zu entwickeln, die im geschützten Modus auf das Dateisystem
und die Registrierung zugreifen können.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
24
Internet Explorer 8 Security Guide
Im geschützten Modus wird Internet Explorer 8 mit reduzierten Rechten
ausgeführt. So sorgt er dafür, dass keine Benutzer- oder Systemdateien oder Einstellungen ohne ausdrückliche Erlaubnis des Benutzers geändert werden.
Gemeinsam mit dem neuen LCIE-Design (Loosely Coupled Internet Explorer)
ist der geschützte Modus von Internet Explorer 8 des Weiteren
benutzerfreundlicher als der von Internet Explorer 7. LCIE trennt die Prozesse für
das Internet Explorer-Fenster und die Frames. So können Registerkarten im
geschützten Modus Seite an Seite mit Seiten ohne den geschützten Modus
angezeigt werden. Diese Erweiterung sorgt dafür, dass der in Internet
Explorer 7 genutzte Verwaltungsprozess nicht mehr erforderlich ist.
Der geschützte Modus ist für alle Benutzer mit Ausnahme des
standardmäßigen Administratorkontos aktiviert (auch für alle anderen Konten
mit administrativen Rechten ist der geschützte Modus aktiv). Sie können den
geschützten Modus entweder über die Startoption oder über die Registrierung
beziehungsweise über ein GPO deaktivieren. Damit der Benutzer Internet
Explorer 8 auf einem Computer mit Windows 7 oder Windows Vista ohne den
geschützten Modus starten kann, muss dieser mit rechts auf das Internet
Explorer-Symbol und dann auf Als Administrator ausführen klicken. Er wird
dann zur Eingabe der entsprechenden Anmeldeinformationen aufgefordert.
In Internet Explorer 8 ist der geschützte Modus standardmäßig für die
Sicherheitszonen Internet und Eingeschränkte Sites aktiv.
ActiveX-Opt-in
Internet Explorer 7 hat einen Opt-in-Mechanismus für ActiveX eingeführt.
Dieser deaktiviert automatisch alle Steuerelemente, die nicht explizit durch
den Benutzer zugelassen wurden. So reduziert er die Risiken durch einen
möglichen Missbrauch vorinstallierter Steuerelemente. Internet Explorer 8
weitet den Schutz durch diese Funktion noch weiter aus und ermöglicht die
Feinanpassung der entsprechenden Einstellungen auf Benutzer- und
Domänenebene.
Die Informationsleiste in Internet Explorer 8 benachrichtigt den Benutzer vor
dem Zugriff auf ein bereits installiertes ActiveX-Steuerelement, das bis zu
diesem Zeitpunkt noch nicht im Internet genutzt wurde. Mit diesem
Benachrichtigungsmechanismus kann der Benutzer den Zugriff für jedes
Steuerelemente und jede Website einzeln kontrollieren und so die
Angriffsfläche zusätzlich verringern. Böswillige Benutzer sind so nicht mehr in
der Lage, automatisierte Angriffe mit ActiveX-Steuerelementen über Websites
zu starten. Durch die benutzerbasierte Steuerung werden die freigegebenen
Steuerelemente auf die erwünschten Benutzer eingeschränkt. Andere
Domänen können die Steuerelemente ohne explizite Einwilligung des
Benutzers nicht verwenden.
InPrivate-Browsing
Mit InPrivate-Browsing können Sie steuern, ob Internet Explorer 8 den Verlauf,
Cookies und andere Daten speichert oder nicht. Wenn Sie einen PC mit
anderen Personen gemeinsam nutzen (beispielsweise ein geliehenes
Notebook oder einen öffentlichen PC), dann möchten Sie sicherlich in einigen
Situationen nicht, dass andere Personen sehen können, welche Seiten Sie
aufgerufen haben. Mit dem InPrivate-Browsing in Internet Explorer 8 können
Sie einen entsprechenden Datenschutz gewährleisten.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis
25
Folgendes passiert, solange InPrivate-Browsing aktiv ist:
 BHOs (Browser Helper Objects) und Leisten sind deaktiviert.
 Es werden keine neuen Cookies gespeichert.
 Wenn eine Website versucht, ein persistentes Cookie zu erstellen, dann
wird dieses Cookie stattdessen als Sitzungs-Cookie erstellt und nach
dem Schließen der Browsersitzung gelöscht.
 Bestehende persistente Cookies werden nicht gelesen oder gesendet.
 Die neue DOM-Storage-Funktion arbeitet auf die gleiche Art.
 Es werden keine neuen Einträge in den Verlauf aufgenommen.
 Nachdem das Private-Browsing-Fenster geschlossen wurde, werden neue
temporäre Internetdateien gelöscht.
 Es werden keine Formulardaten gespeichert.
 Es werden keine Kennwörter gespeichert.
 Die in die Adressleiste eingegebenen Adressen werden nicht gespeichert.
 Die in das Suchfeld eingegebenen Abfragen werden nicht gespeichert.
Des Weiteren sind alle Leisten und BHOs standardmäßig deaktiviert. Der
Benutzer kann die entsprechenden Funktionalitäten über die Registerkarte
Datenschutz im Dialogfenster Internetoptionen aktivieren.
InPrivate-Filterung
Die InPrivate-Filterung gibt den Benutzern mehr Kontrolle darüber, an welche
Drittanbieter-Websites sie Informationen über ihre persönlichen Aktivitäten im
Internet weitergeben möchten. Websites nutzen Informationen aus immer
mehr Quellen dazu, den Benutzern große Mehrwerte anzubieten. Den
Benutzern ist jedoch oft nicht klar, dass einige Inhalte, Bilder, Webeinhalte und
Analysen durch Drittanbieter-Websites bereitgestellt werden oder dass diese
Websites die Möglichkeit haben, das Verhalten der Benutzer über mehrere
Websites hinweg nachzuvollziehen. Die InPrivate-Filterung ermöglicht den
Benutzern eine Kontrolle darüber, welche Informationen zur möglichen
Nachverfolgung von Aktivitäten an Drittanbieter-Websites weitergegeben
werden.
Anmerkung: Detaillierte Informationen zu dieser Funktion finden Sie im Internet Explorer 8Leitfaden zum Datenschutz und zur Benutzerüberwachung (engl.).
Zusätzliche Informationen
In den folgenden Ressourcen auf microsoft.com finden Sie zusätzliche
Informationen zu sicherheitsbezogenen Themen zu Internet Explorer 8:
 URL-Sicherheitszonen (engl.)
 Sichern, Wiederherstellen, Kopieren und Importieren im Windows ServerTechCenter
 Blog IE8-Sicherheit Teil VII: Verteidigung gegen ClickJacking (engl.)
 Internet Explorer 8-Leitfaden zum Datenschutz und zur
Benutzerüberwachung (engl.)
 Internet Explorer Administration Kit (IEAK) 8
 Website Internet Explorer und der geschäftliche Mehrwert von Extended
Validation SSL-Zertifikaten (engl.)
 Internet Explorer-TechCenter
 Artikel Loopbackverarbeitung von Gruppenrichtlinien
 Technische Sicherheitsbenachrichtigungen von Microsoft
 Remoteserver-Verwaltungstools für Windows 7
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
Zur Verbesserung der Sicherheit in Windows® Internet Explorer® 8 gegenüber
den Standardeinstellungen gehört mehr, als nur eine Einstellung zu ändern
oder den Regler für eine Sicherheitszone auf Hoch zu stellen. Solche
drastischen Änderungen sorgen meist nur dafür, dass die Benutzer nicht mehr
richtig navigieren können und der Browser mehr oder weniger nutzlos wird. In
diesem Abschnitt besprechen wir die verschiedenen Änderungen zur
Browsersicherheit, die in Internet Explorer 8 ohne drastische Auswirkungen auf
die Funktionalität durchgeführt werden können.
Die Empfehlungen zu den Sicherheitseinstellungen und Funktionen in Internet
Explorer 8 aus diesem Kapitel sind in sechs verschiedene Kategorien
eingeordnet:

Add-On-Verwaltung

Deaktivierung von Active Scripting

Zonensicherheit

Zertifikatsicherheit

Reduzierung der Anwendungsrechte

Andere Sicherheitseinstellungen
Eine Liste aller von uns empfohlenen Einstellungen finden Sie in Anhang A,
„Sicherheitscheckliste", am Ende dieses Leitfadens. In diesem Kapitel werden
die empfohlenen Einstellungen und Funktionen detaillierter besprochen.
Anmerkung: Möglicherweise möchten Sie, zusätzlich zu den in diesem Kapitel besprochenen
Einstellungen, Registerkarten aus dem Dialogfenster Internetoptionen entfernen (beispielsweise
Verbindungen oder Erweitert). Da die Benutzer diese Einstellungen auch ohne die Registerkarten
ändern können (zum Beispiel über die Registrierung), sollen Sie auch in diesem Fall die relevanten
Einstellungen aus diesen Registerkarten durchsetzen.
Add-On-Verwaltung
Die ActiveX®-Plattform wurde eingeführt, um Webentwicklern die Möglichkeit
zu geben, Anwendungen und Funktionalitäten über die
Standardfunktionalitäten des Browsers hinaus zu erweitern. Mit der ActiveXPlattform wurden umfangreiche und interaktive Anwendungen entwickelt, die
Daten aus nahezu jeder beliebigen Quelle integrieren können. Bereits bei der
Entwicklung der ActiveX-Plattform wurde auf Sicherheit geachtet. Sie kann
jedoch durch Funktionen wie Authenticode® noch weiter verbessert werden.
Um die Sicherheit zu gewährleisten, ist es trotzdem von entscheidender
Bedeutung, dass die Benutzer bestimmte Richtlinien einhalten. In Internet
Explorer 8 können die Benutzer die entsprechenden Erweiterungen über die
Option Add-Ons verwalten steuern. In diesem Abschnitt finden Sie passende
Sicherheitsempfehlungen für ActiveX-Steuerelemente und andere aktive
Inhalte.
Einschränken von ActiveX-Steuerelementen
Oft installieren die Benutzer Software wie ActiveX-Steuerelemente, die von
den Sicherheitsrichtlinien ihrer Organisation nicht zugelassen werden. Diese
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
28
Internet Explorer 8 Security Guide
Software kann für erhebliche Sicherheits- und Datenschutzrisiken sorgen. Um
die Benutzer an der Installation nicht autorisierter ActiveX-Steuerelemente zu
hindern, empfehlen wir, die Anzeige von Installationsaufforderungen für
ActiveX-Steuerelemente über Gruppenrichtlinien zu unterbinden. Sie sollten
sich jedoch bewusst machen, dass diese Maßnahme auch die Installation
legitimer ActiveX-Steuerelemente wie beispielsweise Windows Update
verhindert. Wenn Sie die ActiveX-Installation unterdrücken, dann sollten Sie
gleichzeitig sicherstellen, dass es einen Mechanismus wie beispielsweise
Gruppenrichtlinien gibt, über den die erforderlichen ActiveX-Steuerelemente
für die Desktops der Benutzer bereitgestellt werden. Weitere Informationen zu
dieser Empfehlung finden Sie im nächsten Abschnitt.
Wenn Sie Einschränkungen durchsetzen, dann benötigen Sie darüber hinaus
eine alternative Möglichkeit zur Bereitstellung von Sicherheitsupdates
(beispielsweise Windows Server® Update Services).
In der folgenden Tabelle sehen Sie den Namen des Richtlinienobjekts und
seinen Pfad in der Gruppenrichtlinie.
Tabelle 2.1: Einstellung „ActiveX-Installation einschränkten“
Richtlinienobjekt
Pfad
Internet Explorer
Processes (Restrict
ActiveX Install)
Computerkonfiguration\Administrative Vorlagen\
Windows-Komponenten\Internet
Explorer\Sicherheitsfunktionen\ ActiveX-Installation
einschränkten
Websitebasierte ActiveX-Einstellungen
Internet Explorer 8 gibt Administratoren die Möglichkeit, ActiveXSteuerelemente auf Basis von Websites zu verwalten. So können sie
sicherstellen, dass die ActiveX-Steuerelemente nur von den freigegebenen
Websites ausgeführt werden können.
Mit Internet Explorer 8 können die zugelassenen Steuerelemente und die
entsprechenden Domänen vorab definiert werden. Sie können die
entsprechenden Einstellungen über Gruppenrichtlinien definieren und
durchsetzen. Die zugelassenen Domänen und Steuerelemente werden unter
dem folgenden Registrierungspfad gespeichert:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\
Stats\{CLSID}\iexplore\AllowedDomains\{Domänen oder *}
{CLSID} ist die Klassen-ID des betreffenden Steuerelementes und {Domänen
oder *} steht für die Domänen, die das entsprechende Steuerelement nutzen
dürfen (der * steht für alle Domänen).
Die folgenden Werte sind möglich:
 REG_DWORD Blocked
 REG_DWORD Count
 REG_DWORD Flags
 REG_DWORD Binary
 REG_DWORD Type
Nutzung von ActiveX-Steuerelementen, Plug-ins und
vorab definierten Freigabelisten
Die im letzten Abschnitt genannte Einstellung sorgt dafür, dass keine ActiveXSteuerelemente auf dem Client ausgeführt werden, solange diese nicht vorab
von der Organisation freigegeben wurden. Einige Organisationen empfinden
diese Einstellung jedoch als zu restriktiv. Wenn dies auch bei Ihnen der Fall ist
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
29
und Sie die Einstellung so nicht nutzen möchten, so stellen Sie zumindest sicher,
dass die Einstellung Ausführen von bisher nicht verwendeten ActiveXSteuerelementen ohne Eingabeaufforderung für die Zonen Internet und
Eingeschränkte Sites deaktiviert ist (diese Einstellung entspricht auch der
Standardkonfiguration des Browsers). Diese auch ActiveX-Opt-In genannte
Einstellung sorgt dafür, dass sich die Steuerelemente wie gewünscht verhalten
und die Systeme trotzdem nicht nur durch den einfachen Besuch einer
Website angegriffen werden können. Mit der Opt-In-Funktion müssen die
Benutzer als Preis für die höhere Sicherheit bei bekannten und
erwiesenermaßen harmlosen Websites die Steuerelemente erst freigeben,
bevor die Website wie vorgesehen funktioniert.
Egal, wie genau Sie die ActiveX-Installation einschränken – es ist immer
möglich, dass die Einschränkungen Auswirkungen auf wichtige geschäftliche
Funktionalitäten haben. Wir empfehlen daher, dass Sie eine Liste von vorab
freigegebenen Steuerelementen auf den Computern der Benutzer
bereitstellen und die Liste mit einer Funktion wie der Gruppenrichtlinie
verwalten. Über die Gruppenrichtlinie können Sie die Klassen-ID der
Steuerelemente zum entsprechenden Registrierungspfad hinzufügen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Ext\PreApproved
Anmerkung: Tritt in einem ActiveX-Steuerelement eine Sicherheitslücke auf, die eine Bedrohung
für die Benutzer darstellt, so ist es möglich, dass Microsoft das entsprechende Steuerelement
mithilfe eines über Windows Update Windows Update, Microsoft Update oder Windows Server
Update Services verteilten Sicherheitsupdates deaktiviert. In diesem ist das Steuerelement auch
dann deaktiviert, wenn es in der beschriebenen Form über eine vorab definierte Liste explizit
zugelassen wurde.
Mit GUIDs (Globally Unique Identifier) können installierte Steuerelemente durch
die Bearbeitung der entsprechenden Registrierungseinstellungen aktiviert oder
deaktiviert werden. Wenn Sie noch nicht über einen passenden GUID-Katalog
für Ihre Organisation verfügen, dann sollten Sie dringend einen solchen
Katalog erstellen. Eine Möglichkeit zu Erstellung eines passenden GUIDKatalogs ist die Einrichtung eines neuen Computers. Auf diesem neuen
Computer konfigurieren und aktivieren Sie dann die erforderlichen
Geschäftsanwendungen und überprüfen danach die GUIDs im Internet
Explorer-Registrierungspfad. Mit der so erstellten Liste wissen Sie dann, welche
Steuerelemente mindestens für Ihre Umgebung erforderlich sind, und können
die entsprechenden Steuerelemente in einer vorab definierten Liste aus
freigegebenen Steuerelementen eintragen.
Wir empfehlen die Nutzung von GPOs zur Verwaltung einer Liste von
freigegebenen Steuerelementen. Weitere Informationen zur ActiveXSicherheit und Best-Practices zur Verwaltung von ActiveX-Steuerelementen
finden Sie im Artikel ActiveX-Sicherheit: Verbesserungen und Best-Practices
(engl.) im MSDN®.
Deaktivieren von Active Scripting
Mit der Einführung des Security Design Lifecycle (SDL) im Jahr 2002 sorgte
Microsoft für die Verbesserung der Qualität der Softwaresicherheit und die
Reduzierung der Auswirkungen durch Sicherheitslücken. Der SDL hat sich als
sehr effektiv erwiesen, und die Anzahl der Sicherheitslücken und Exploits
wurden erheblich verringert. Leider sind Software und Prozesse jedoch niemals
perfekt. Die Funktionalitäten des Web 2.0 sorgen für zusätzliche
Sicherheitsrisiken. Es ist nicht nur von grundlegender Bedeutung, sicheren
Code zu entwickeln, sondern auch über einen Reaktionsplan im Fall einer
Kompromittierung oder einer Sicherheitslücke zu verfügen. Es kommt
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
30
Internet Explorer 8 Security Guide
unvermeidbar vor, dass eine Sicherheitslücke ausgenützt wird, bevor sie den
Verantwortlichen bekannt ist. Entsprechende Situationen werden als ZeroDay-Exploit bezeichnet.
In anderen Fällen kann es vorkommen, dass eine Sicherheitslücke zwar den
Verantwortlichen korrekt mitgeteilt wird, jedoch eine gewisse Zeit zur
Entwicklung und für das Testen eines entsprechenden Updates benötigt wird.
Sie können entsprechende Situationen nicht vermeiden. Empfehlen Sie den
Benutzern daher, unbekannte Websites zu meiden und beim Klicken auf Links
Vorsicht walten zu lassen. Des Weiteren haben Sie jedoch die Möglichkeit, die
Benutzer durch die Einstellung Active Scripting zulassen vor noch nicht durch
ein Update beseitigten oder aber bekannten Sicherheitslücken zu schützen.
Um bekannte aktuelle Zero-Day-Exploits und andere kritische Skripting-Angriffe
zu verhindern, empfehlen wir Ihnen, diese Einstellung temporär über eine
Gruppenrichtlinie mit Deaktiviert zu konfigurieren. Um ein korrektes
Funktionieren der Websites zu gewährleisten, sollte die Einstellung jedoch unter
normalen Bedingungen mit Aktiviert konfiguriert werden.
Sie finden die Einstellung Active Scripting zulassen im Gruppenrichtlinieneditor
unter dem folgenden Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu dieser
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.2: Einstellung „Active Scripting zulassen“
Richtlinienobjekt
Beschreibung
Active Scripting
zulassen
Mit dieser Einstellung können Sie festlegen, ob Skriptcode
in der entsprechenden Zone ausgeführt wird.
Standardmäßig wird der Skriptcode automatisch
ausgeführt.
Skripting-Unterstützung
Internet Explorer unterstützt clientseitiges Skripting. Clientseitige Skripte sind
Programme aus dem Internet, die im Webbrowser des Benutzers ausgeführt
werden. Typische clientseitige Skripte sind in einem HTML-Dokument
eingebettete Skripte. Andere clientseitige Skripte sind die sogenannten
externen Skripte. Diese Skripte sind separate Dateien, auf die in einem
Dokument verwiesen wird. Internet Explorer 8 unterstützt von Haus aus
verschiedenste Skriptsprachen wie beispielsweise VBScript, JScript ® und
ECMAScript.
Clientseitiges Skripting ist eine wichtige Funktionalität eines jeden
Webbrowsers. Es ermöglicht Inhalte, die auf Basis verschiedenster
Bedingungen (beispielsweise die Browserversion, die Tageszeit oder auch die
Anmeldedaten des Benutzers) dynamisch geändert werden. Natürlich
eröffnet eine solch leistungsfähige Funktionalität auch Risiken. Die Skripte
befinden sich außerhalb Ihres Kontrollbereiches auf dem Webserver. Sie sollten
entsprechende dynamische Inhalte daher nur dann für das lokale Ausführen
zulassen, wenn der Webserver vertrauenswürdig ist. Empfehlungen zur
Reduzierung der Risiken durch clientseitiges Skripting finden Sie weiter unten in
diesem Leitfaden.
Anmerkung: Dieser Abschnitt befasst sich mit clientseitigen Skripten. Verwechseln Sie diese nicht
mit serverseitigen Skripten. Webserver-Software wie IIS (Internet Information Services) nutzt
normalerweise serverseitige Skripte in Programmiersprachen wie VBScript, JScript und Perl. Die
Ergebnisse dieser serverseitigen Skripte werden als normale HTML-Inhalte bereitgestellt. Die Skripte
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
31
sind für die Benutzer grundsätzlich unsichtbar und verursachen nicht die Risiken, die bei
clientseitigen Skripten auftreten.
Aktivierung von Sicherheitseinschränkungen für
Skriptfenster
Internet Explorer ermöglicht das programmgesteuerte Öffnen,
Vergrößern/Verkleinern und Verschieben von verschiedenen Fenstertypen.
Auf diese Art können Popup-Fenster angezeigt werden. Es ist so jedoch auch
möglich, dass Skripte Fenster mit für den Benutzer unsichtbaren Titel- und
Statusleisten anzeigen können oder die Titel- und Statusleisten anderer Fenster
vor dem Benutzer verstecken. Wir empfehlen Ihnen, das Ausführen von
Internet Explorer- und Windows Explorer-Prozessen durch Skripte über
Gruppenrichtlinien zu verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkungen für
Skriptfenster
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.3: Einstellung „Sicherheitseinschränkungen für Skriptfenster“
Richtlinienobjekt Beschreibung
Alle Prozesse
Wenn Sie diese Einstellung aktivieren, dann werden über
Skripte geöffnete Fenster für alle Prozesse eingeschränkt.
Standardmäßig werden über Skripte geöffnete Fenster nicht
eingeschränkt.
Zonensicherheit
Die meisten sicherheitsbezogenen Einstellungen in Internet Explorer 8 finden
sich unter den Sicherheitszonen. Standardmäßig können die Benutzer diese
Zonen bearbeiten und die jeweiligen Sicherheitsstufen verändern. Sie können
eigene Einstellungen für die einzelnen Zonen festlegen und Websites zu den
Zonen Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites
hinzufügen. Für die meisten Umgebungen in Organisationen empfehlen wir
die Sperrung der Zonensicherheit über Gruppenrichtlinien. Die Sperrung
verhindert das Verändern der meisten Einstellungen durch die Benutzer. In den
folgenden Abschnitten erfahren Sie mehr zu den Einstellungen für die
Zonensicherheit von Internet Explorer 8.
Schutz vor Zonenanhebung aktivieren
Internet Explorer setzt für jede geöffnete Website bestimmte Einschränkungen
durch. Diese Einschränkungen hängen vom Speicherort der Webseite ab
(Internet, Lokales Intranet oder Lokaler Computer). Für Webseiten auf dem
lokalen Computer gelten die wenigsten Sicherheitseinschränkungen. Somit ist
diese Zone das Hauptziel für Angreifer.
Wenn Sie die Zonenanhebung mit der Option Internet Explorer-Prozesse
konfigurieren, dann sind alle Zonen vor einer Zonenanhebung durch Internet
Explorer-Prozesse geschützt. Dieser Ansatz verhindert, dass Inhalte aus einer
Zone erweiterte Rechte aus einer anderen Zone erlangen. Wenn Sie die
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
32
Internet Explorer 8 Security Guide
Einstellung deaktivieren, dann ist der entsprechende Schutz für keine Zone
aktiv.
Aufgrund der schwerwiegenden Auswirkungen und der relativen Häufigkeit
von entsprechenden Angriffen empfehlen wir die Einstellung Schutz vor
Zonenanhebung für die Option Internet Explorer Processes mit Aktiviert zu
konfigurieren.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Sicherheitsfunktionen\Schutz vor Zonenanhebung
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.4: Einstellung „Schutz vor Zonenanhebung“
Richtlinienobjekt
Beschreibung
Internet ExplorerProzesse
Wenn Sie diese Einstellung aktivieren, kann jede Zone vor
Zonenanhebung durch Internet Explorer-Prozesse
geschützt werden.
Wenn Sie diese Einstellung deaktivieren, erhält keine
Zone einen derartigen Schutz für Internet ExplorerProzesse.
Wenn Sie diese Einstellung nicht konfigurieren, kann jede
Zone vor Zonenanhebung durch Internet ExplorerProzesse geschützt werden.
Benutzern das Hinzufügen und das Entfernen von Sites
zu Zonen verbieten
Standardmäßig können die Benutzer für die Zonen Lokales Intranet,
Vertrauenswürdige Sites und Eingeschränkte Sites Websites hinzufügen und
löschen. Wenn eine Website zur Zone Vertrauenswürdige Sites hinzugefügt
oder aus der Zone Eingeschränkte Sites entfernt wird, dann eröffnet dies die
Möglichkeit zur Ausführung von schädlichem Programmcode auf dem
Computer.
Wir empfehlen, das Hinzufügen oder Löschen von Websites in Zonen durch die
Benutzer über Gruppenrichtlinien zu verhindern. Die Einstellung
Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen
verhindert außerdem, dass der Benutzer die Einstellungen für die Zone Lokales
Intranet verändert.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.5: Einstellung „Sicherheitszonen: Benutzer können Sites nicht
hinzufügen oder entfernen”
Richtlinienobjekt
Solution Accelerators
Beschreibung
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
33
Richtlinienobjekt
Beschreibung
Sicherheitszonen:
Benutzer können Sites
nicht hinzufügen oder
entfernen
Deaktiviert das Hinzufügen und Entfernen von Sites in
den Sicherheitszonen durch die Benutzer.
Wenn Sie diese Richtlinie deaktivieren oder nicht
konfigurieren, können die Benutzer Websites zu den
Zonen Vertrauenswürde Sites und Eingeschränkte Sites
hinzufügen oder sie von dort entfernen und die
Einstellungen für die Zone Lokales Intranet ändern.
Wir empfehlen die Aktivierung dieser Einstellung. Sie kann jedoch
Auswirkungen auf die Produktivität der Benutzer haben (besonders in
Kombination mit weiteren Einschränkungen für die Zone Internet). In einigen
Fällen fügen die Benutzer Websites zu Zonen mit weniger Einschränkungen
hinzu, wenn sie nicht in der Lage sind, in der Zone Internet auf die Websites
zuzugreifen. Ist diese Funktion deaktiviert, dann sind die Benutzer
möglicherweise nicht in der Lage, auf einige Websites zuzugreifen, bevor der
Administrator diese Websites in eine Zone mit weniger Einschränkungen
aufgenommen hat.
Anmerkung: Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter dem Pfad
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\
Internetsystemsteuerung) aktivieren, dann wird die Registerkarte Sicherheit nicht mehr länger
angezeigt. Die Einstellung Deaktivieren hat Vorrang vor den jeweiligen Zoneneinstellungen.
Änderung der Zoneneinstellungen durch die Benutzer
verhindern
Standardmäßig können die Benutzer diese Zonen bearbeiten und die
jeweiligen Sicherheitsstufen verändern. Sie können eigene Einstellungen für die
einzelnen Zonen festlegen. Dies eröffnet die Möglichkeit zur Ausführung von
schädlichem Programmcode auf dem Computer. Wir empfehlen, die
Änderung der Sicherheitsstufen von Zonen mithilfe von Gruppenrichtlinien und
der Aktivierung der Einstellung Sicherheitszonen: Benutzer können keine
Einstellungen ändern zu verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.6: Einstellung „Sicherheitszonen: Benutzer können keine Einstellungen
ändern”
Richtlinienobjekt
Beschreibung
Sicherheitszonen:
Benutzer können
keine Einstellungen
ändern
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, können die Benutzer die Einstellungen für
die Sicherheitszonen ändern.
Anmerkung: Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter dem Pfad
\Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet
Explorer\Internetsystemsteuerung) aktivieren, dann wird die Registerkarte Sicherheit nicht mehr
länger angezeigt. Die Einstellung Deaktivieren hat Vorrang vor der oben genannten
Zoneneinstellung.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
34
Internet Explorer 8 Security Guide
Zertifikatsicherheit
Zur sicheren Kommunikation zwischen Browser und Server sind Zertifikate und
SSL oder TSL (Transport Layer Security) erforderlich. Internet Explorer 8
unterstützt SSL und TLS. Der Browser versucht außerdem, auf
Sicherheitsprobleme und Fehler – beispielsweise abgelaufene Zertifikate oder
Namensfehler bei Zertifikaten – aufmerksam zu machen. Die
Standardeinstellung von Internet Explorer 8 sorgt dafür, dass dem Benutzer
eine Vollbildwarnung und ein roter Warnhinweis zum Zertifikatsfehler angezeigt
werden. Der Benutzer kann sich jedoch dazu entscheiden, die Navigation
weiterzuführen. Es gibt viele zulässige Gründe für Zertifikatfehler. Trotzdem
sollten öffentlich zugängliche und sauber verwaltete Websites keine Zertifikate
mit Fehlern nutzen. Mit dieser Funktion können Administratoren die Benutzer
daher daran hindern, bei einer Zertifikatswarnung einfach auf „Weiter“ zu
klicken. Die Funktion sorgt so dafür, dass mögliche Angriffe verhindert werden.
Zugriff der Benutzer auf Websites mit Zertifikatfehler
verhindern
Zertifikate können irgendwann ablaufen oder zurückgezogen werden. Es kann
außerdem vorkommen, dass ein falsches Zertifikat für eine Webseite genutzt
wird oder die Adresse einer Website nicht mit der auf dem Zertifikat
angegebenen Adresse übereinstimmt. Standardmäßig werden die Benutzer
bei Zertifikatfehlern gewarnt, können jedoch die Navigation zur
entsprechenden Webseite fortsetzen. Problematisch hieran ist, dass jeder ein
selbst signiertes Zertifikat für eine legitime Website und eine gefälschte Kopie
dieser Website erstellen kann. Internet Explorer zeigt eine Warnung an, wenn
ein Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt
wurde. Benutzer, die es gewohnt sind, Fehler- und Warnmeldungen ohne
Rücksicht auf ihre Bedeutung einfach weg zu klicken, können so von einer
schädlichen Website sehr leicht hintergangen und angegriffen werden. Zwar
ist ein zurückgezogenes oder abgelaufenes Zertifikat für sich selbst genommen
noch kein Sicherheitsproblem, es kann jedoch ein Hinweis dafür sein, dass der
betreffenden Website möglicherweise nicht mehr länger vertraut werden
sollte. Wir empfehlen daher, den Benutzern die Navigation zu Websites mit
Zertifikatfehlern über die GruppenEinstellung Ignorieren von Zertifikatfehlern
verhindern zu verbieten.
Die Aktivierung dieser Einstellung führt zwar nicht zu Leistungsproblemen, kann
jedoch zusätzliche Supportanfragen durch die Benutzer generieren. Da
Websites aus der Zone Vertrauenswürdige Sites von der Einstellung nicht
betroffen sind, können Sie geschäftskritische Websites mit Zertifikatfehlern als
temporäre Lösung zu dieser Zone hinzufügen.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.7: Einstellung „Ignorieren von Zertifikatfehlern verhindern”
Richtlinienobjekt
Solution Accelerators
Beschreibung
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
35
Richtlinienobjekt
Beschreibung
Ignorieren von
Zertifikatfehlern
verhindern
Internet Explorer behandelt SSL/TLS-Zertifikatfehler
(Secure Socket Layer/Transport Layer Security), die die
Navigation unterbrechen (z. B. „Abgelaufen", „Gesperrt"
oder „Name stimmt nicht überein" ), als schwerwiegend.
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, kann der Benutzer Zertifikatfehler
ignorieren und den Navigationsvorgang fortsetzen.
Wir empfehlen die Aktivierung dieser Einstellung.
Reduzierte Anwendungsprivilegien
Eine Möglichkeit zur Sicherung der Clientcomputer ist die Reduzierung der
Angriffsfläche. Sicherheitsexperten weisen immer wieder drauf hin, dass sich
Benutzer mit den geringstmöglichen Privilegien anmelden sollten. Diese
Privilegien sollten nur dann erweitert werden, wenn dies tatsächlich
erforderlich ist. Mit dem geschützten Modus erlaubt es Internet Explorer® 8 für
Windows® 7 und Windows Vista® den Benutzern, diesen Rat sehr einfach in die
Tat umzusetzen. Internet Explorer 8® für Windows® XP sorgt mit der
DropMyRights-Anwendung für entsprechende Möglichkeiten. Weitere
Informationen zu diesem Thema finden Sie im Artikel Nutzung der
geringstmöglichen Privilegien für Windows XP-Benutzerkonten (engl.). Die
beiden Lösungen arbeiten zwar unterschiedlich, sie haben jedoch beide das
gleiche Ziel: Sie sollen die möglichen Auswirkungen durch einen möglichen
Angriff verringern. Die beiden Lösungen werden in den folgenden Abschnitten
genauer besprochen.
Aktivierung des geschützten Modus
In Internet Explorer 8 für Windows Vista und Windows 7 ist der geschützte
Modus für die Zonen Internet und Eingeschränkte Sites standardmäßig
aktiviert. Er beschränkt die Zugriffsmöglichkeiten auf das Dateisystem und die
Registrierung für Anwendungen. Der Internet Explorer-Prozess wird durch diese
Einschränkungen isoliert, und schädliche Websites und andere Software
haben so weniger Möglichkeiten, Benutzerinformationen zu missbrauchen
oder das System zu beschädigen. Der Benutzer kann jedoch den geschützten
Modus deaktivieren – was zur Verschlechterung der Gesamtsicherheit führt.
Aus diesem Grund empfehlen wir, den geschützten Modus für die Zonen
Internet und Eingeschränkte Sites mithilfe einer Gruppenrichtlinie zu aktivieren
und so die Deaktivierung durch die Benutzer zu verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.8: Einstellung „Geschützter Modus aktivieren”
Richtlinienobjekt
Beschreibung
Geschützter Modus
aktivieren
Der geschützte Modus ist standardmäßig aktiv. Der
Benutzer kann ihn jedoch deaktivieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
36
Internet Explorer 8 Security Guide
Diese Einstellung findet nur auf Internet Explorer 8 für Windows 7 und
Windows Vista Anwendung. Im Windows XP-Modus auf einem Computer unter
Windows 7 ist sie ebenfalls nicht aktiv.
Der geschützte Modus ist für die folgenden Zonen von Internet Explorer 8
verfügbar:
 Internetzone
 Intranetzone
 Zone des lokalen Computers
 Sperrung der Zone des Internets
 Sperrung der Zone des Intranets
 Sperrung der Zone des lokalen Computers
 Sperrung der Zone eingeschränkter Sites
 Sperrung der Zone vertrauenswürdiger Sites
 Zone eingeschränkte Sites
 Zone vertrauenswürdige Sites
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
37
Anmerkung: Wenn ein Problem mit dem geschützten Modus die Ausführung einer Anwendung
verhindert, dann deaktivieren Sie die Option nicht einfach. Sie würden durch die Deaktivierung
die Gesamtsicherheit des Browsers beeinträchtigen. Sprechen Sie stattdessen den Besitzer der
Website an, und bitten Sie ihn, die Website für den geschützten Modus entsprechend zu
aktualisieren. Als temporäre Lösung können Sie die Website zur Einstellung Zone vertrauenswürdige
Sites hinzufügen.
DropMyRights unter Windows XP
DropMyRights ist eine einfache Anwendung, mit der Benutzer, die als
Administrator angemeldet sein müssen, Anwendungen in einem deutlich
sicheren Kontext ausführen können. Es ist deutlich sicherer, sich einfach mit
einem Konto ohne administrative Rechte anzumelden. Wenn Ihnen jedoch
keine Wahl bleibt, dann können Sie diese Anwendung auf Computern mit
Internet Explorer 8 für Windows XP als Ersetz für den geschützten Modus
nutzen.
DropMyRights entfernt verschiedenste Privilegien und SIDs (Security Identifier)
aus dem Token des Benutzers. Danach nutzt es das Token dazu, einen
anderen Prozess zu starten. Weitere Informationen zu DropMyRights und eine
Downloadmöglichkeit für den Quellcode finden Sie im MSDN-Artikel Sicheres
Surfen im Web und Lesen von E-Mails als Administrator (engl.). Nach der
Installation muss nur noch eine neue Verknüpfung für den Start von Internet
Explorer über DropMyRights erstellt werden.
Andere Sicherheitseinstellungen
Zusätzlich zu den bereits besprochenen Sicherheitseinstellungen gibt es einige
Optionen, mit denen Sie die Sicherheit weiter verbessern können. In diesem
Abschnitt werden einige dieser Einstellungen besprochen. Sie erhalten
Empfehlungen dazu, welche Werte Sie für die Einstellungen konfigurieren
können.
Sicherheitsfunktion für MIME-Ermittlung
Mit dieser Einstellung können Sie die Veränderung des Dateityps einer Datei zu
einem möglicherweise schädlichen Dateityp verhindern.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Sicherheitsfunktionen\Sicherheitsfunktion für MIMEErmittlung
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung.
Tabelle 2.9: Einstellung „Sicherheitsfunktion für MIME-Ermittlung”
Richtlinienobjekt Beschreibung
Alle Prozesse
Wenn Sie diese Einstellung aktivieren, wird die
Sicherheitsfunktion der MIME-Ermittlung für alle Prozesse
aktiviert.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
38
Internet Explorer 8 Security Guide
Richtlinienobjekt Beschreibung
Internet
ExplorerProzesse
Wenn Sie diese Einstellung deaktivieren, erlauben die Internet
Explorer-Prozesse, dass bei der MIME-Ermittlung eine Datei zu
einem gefährlicheren Dateityp heraufgestuft wird.
Wenn Sie diese Einstellung nicht konfigurieren
(Standardeinstellung), dann stuft die MIME-Ermittlung von
Internet Explorer eine Datei niemals zu einem gefährlicheren
Dateityp herauf.‡
Prozessliste
Mit dieser Einstellung können Administratoren Anwendungen
festlegen, die nicht zugelassen sind.
Weitere Informationen zur Einstellung finden Sie im Gruppenrichtlinieneditor in
der Beschreibung der Einstellung.
Sicherheitseinschränkung für MK-Protokoll
Die Einstellung Sicherheitseinschränkung für MK-Protokoll reduziert die
Angriffsfläche, indem das MK-Protokoll blockiert wird. Ist die Einstellung
aktiviert, dann kann auf Ressourcen, die über das MK-Protokoll gehostet
werden, nicht mehr zugegriffen werden. Das MK-Protokoll ist ein technisch
überholter Mechanismus zur Verknüpfung von Windows-Hilfedateien mit
Webseiten.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkung für MKProtokoll
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung.
Tabelle 2.10: Einstellung „Sicherheitseinschränkung für MK-Protokoll”
Richtlinienobjekt Beschreibung
Alle Prozesse
Die Einschränkung ist standardmäßig für alle Prozesse
nicht aktiv. Wenn Sie diese Einstellung aktivieren, wird
das MK-Protokoll für alle Prozesse deaktiviert. Jegliche
Verwendung des MK-Protokolls wird so blockiert.
Internet
ExplorerProzesse
Wenn Sie diese Einstellung deaktivieren, können
Anwendungen die MK-Protokoll-API verwenden.
Ressourcen, die über das MK-Protokoll gehostet werden,
sind für Windows Explorer- und Internet Explorer-Prozesse
voll funktionsfähig.
Die Standardeinstellung verhindert das MK-Protokoll für
Windows Explorer und Internet Explorer. Die entsprechenden
Ressourcen sind blockiert.
Prozessliste
Mit dieser Einstellung können Administratoren Anwendungen
festlegen, für die die Funktionalität gelten oder nicht gelten
soll.
Weitere Informationen zur Einstellung finden Sie im Gruppenrichtlinieneditor in
der Beschreibung der Einstellung.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
39
Verschlüsselte Seiten nicht auf der Festplatte speichern
Um das Browsen zu verbessern, kann Internet Explorer Inhalte lokal
zwischenspeichern (Temporäre Internetdateien). Diese Seiten können danach
direkt lokal abgerufen werden und stehen beim wiederholten Zugriff auf
dieselbe Ressource so schneller bereit. Internet Explorer bietet die Möglichkeit
zur Zwischenspeicherung von verschlüsselten und unverschlüsselten Inhalten.
Standardmäßig werden beide Inhaltstypen zwischengespeichert.
Das lokale Zwischenspeichern von verschlüsselten Daten verhindert
Leistungsprobleme beim wiederholten Zugriff auf dieselben Inhalte
(beispielsweise Bilder). Das Risiko für eine Entschlüsselung der lokal
gespeicherten Daten ist normalerweise relativ gering. Es ist schwierig, die
Daten zu entschlüsseln, und der Wert der entsprechenden Daten ist gering.
Auch wenn ein Angreifer in der Lage wäre, verschlüsselte Daten zu
entschlüsseln, wären Informationen wie Benutzernamen und Kennwörter
normalerweise nicht sichtbar. Der Angreifer könnte nur die Seiteninhalte
sehen. Es ist allerdings möglich, dass diese Seiteninhalte sensible Informationen
(beispielsweise Kontostände oder Transaktionsinformationen) umfassen.
Unternehmen, die die Sicherheit von Internet Explorer verbessern möchten,
können die GruppenEinstellung Verschlüsselte Seiten nicht auf der Festplatte
speichern aktivieren und so das Zwischenspeichern verhindern. Nach der
Aktivierung dieser Option kann es möglicherweise zu Leistungsproblemen
(Latenz, zusätzlicher Netzwerkverkehr) und zu mehr Anrufen beim Helpdesk
kommen. Es ist möglich, dass Websites die Deaktivierung der Einstellung
voraussetzen. Es sollten jedoch keine ernsthaften Anwendungsfehler auftreten.
Die Aktivierung der Einstellung kann Probleme beim Zugriff auf „On-DemandInhalte“ wie beispielsweise Transaktionsinformationen zu Bankkonten
verursachen. Solche Probleme können beispielsweise dann auftreten, wenn
ein Benutzer entsprechende Informationen anzeigt, dann zu einer anderen
Seite navigiert und danach den Zurück-Schalter nutzt, um zur ersten Seite
zurückzukehren. In korrekt konfigurierten Serverumgebungen zeigt eine
entsprechende Fehlermeldung dem Benutzer an, dass die Seite abgelaufen ist
und er auf den Aktualisieren-Schalter klicken muss.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Seite „Erweitert“
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.11: Einstellung „Verschlüsselte Seiten nicht auf der Festplatte
speichern”
Richtlinienobjekt
Solution Accelerators
Beschreibung
microsoft.com/technet/SolutionAccelerators
40
Internet Explorer 8 Security Guide
Richtlinienobjekt
Beschreibung
Verschlüsselte Seiten
nicht auf der
Festplatte speichern
Mit dieser Einstellung können Sie festlegen, ob
verschlüsselte Seiten mit sicheren (HTTPS-) Informationen
wie Kennwörtern und Kreditkartennummern im Cache
von Internet Explorer gespeichert werden sollen, da
dieser Cache unsicher sein kann.
Wenn Sie diese Einstellung aktivieren, speichert Internet
Explorer keine verschlüsselten Seiten mit sicheren (HTTPS-)
Informationen im Cache.
Wenn Sie diese Einstellung deaktivieren, speichert
Internet Explorer verschlüsselten Seiten mit sicheren
(HTTPS-) Informationen im Cache.
Wenn Sie diese Einstellung nicht konfigurieren, speichert
Internet Explorer verschlüsselten Seiten mit sicheren
(HTTPS-) Informationen im Cache.
Wir empfehlen, die Einstellung nur dann zu aktivieren,
wenn in Ihrer Umgebung sensible Daten in Webseiten
vorhanden sind.
Proxyeinstellung pro Computer vornehmen
Wenn ein Benutzer Proxyeinstellungen ändert, dann ist er möglicherweise nicht
mehr in der Lage, auf Websites zuzugreifen. Wenn der Benutzer jedoch
unterwegs ist, dann ist er möglicherweise gezwungen, die Einstellungen zu
ändern.
Bei Desktops, die nicht zwischen verschiedenen Standorten wechseln, sollten
Sie dafür sorgen, dass die Proxyeinstellungen pro Computer statt pro Benutzer
gespeichert werden. Bei mobilen Notebooks sollten die Benutzer die
Einstellungen ändern können, um unterwegs auf das Internet zugreifen zu
können.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.12: Einstellung „Proxyeinstellung pro Computer vornehmen (anstelle
von pro Benutzer)”
Richtlinienobjekt
Solution Accelerators
Beschreibung
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
41
Richtlinienobjekt
Beschreibung
Proxyeinstellung pro
Computer
vornehmen (anstelle
von pro Benutzer)
Wendet Proxyeinstellungen für alle Benutzer desselben
Computers an.
Wenn Sie diese Richtlinie aktivieren, können die Benutzer
benutzerspezifische Proxyeinstellungen festlegen. Dabei
müssen sie die Zonen verwenden, die für alle Benutzer
auf dem Computer erstellt wurden.
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, können alle Benutzer eines Computers ihre
eigenen Proxyeinstellungen einrichten.
Mit dieser Richtlinie können Sie sicherstellen, dass die
Proxyeinstellungen auf einem Computer einheitlich
gelten und sich nicht von Benutzer zu Benutzer
unterscheiden.
Wir empfehlen, die Einstellung für Desktops mit festem
Standort zu aktivieren und für mobile Notebooks zu
deaktivieren.
Systemabsturzermittlung deaktivieren
Internet Explorer 8 umfasst eine Funktion zur Fehler- und Absturzerkennung, die
Informationen zur Fehlerbehebung sammelt. In den entsprechenden
Fehlerberichten können jedoch sensible Informationen aus dem
Arbeitsspeicher des Computers enthalten sein. Für die meisten Organisationen
empfehlen wir die Aktivierung der Einstellung. Wenn die Einstellung deaktiviert
oder nicht konfiguriert ist, dann werden Informationen an Microsoft
weitergeleitet. Microsoft nutzt diese Informationen jedoch ausschließlich zur
Analyse der Fehlerdaten. Wenn Sie die Einstellung aktivieren, dann verhält sich
ein Ausfall genauso wie bei Internet Explorer unter Windows XP Professional
Service Pack 1 (SP1) oder früher: Die Windows-Fehlerberichterstattung wird
zusammen mit allen entsprechenden Richtlinien genutzt.
Wenn es regelmäßig zu Fehlern kommt und Sie zur Fehlerbehebung
entsprechende Informationen benötigen, dann können Sie die Einstellung
temporär für die betroffenen Computer deaktivieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
42
Internet Explorer 8 Security Guide
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.13: Einstellung „Systemabsturzermittlung deaktivieren”
Richtlinienobjekt
Beschreibung
Systemabsturzermittlung Mit dieser Einstellung können Sie die
deaktivieren
Absturzermittlungsfunktion der Add-On-Verwaltung
verwalten.
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, bleibt die Absturzermittlungsfunktion für
die Add-On-Verwaltung in Funktion.
Wir empfehlen die Aktivierung der Einstellung.
Dateidownload einschränken
Unter bestimmten Umständen können Websites ohne Interaktion durch den
Benutzer Fenster für den Download von Dateien öffnen. Wenn der Benutzer
den Download akzeptiert, dann können Websites mit dieser Technik nicht
autorisierte Dateien auf dem Computer des Benutzers speichern.
Wir empfehlen daher, die Einstellung Internet Explorer-Prozesse
(Dateidownload einschränken) mit Aktiviert zu konfigurieren. So ist
sichergestellt, dass nicht vom Benutzer initiierte Downloadfenster für Internet
Explorer-Prozesse blockiert werden.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Sicherheitsfunktionen\Dateidownload einschränken
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.14: Einstellung „Dateidownload einschränken“
Richtlinienobjekt Beschreibung
Internet
ExplorerProzesse
Diese Einstellung aktiviert die Blockierung von Aufforderungen
für Dateidownloads, die nicht vom Benutzer veranlasst
wurden.
Wenn Sie diese Einstellung aktivieren, wird für Internet ExplorerProzesse die Aufforderung für Dateidownloads blockiert, die
nicht vom Benutzer veranlasst wurden.
Wenn Sie diese Einstellung deaktivieren, wird für Internet
Explorer-Prozesse die Aufforderung für Dateidownloads, die
nicht vom Benutzer veranlasst wurden, nicht blockiert.
Wenn Sie diese Einstellung nicht konfigurieren, wird anhand
der Benutzereinstellungen bestimmt, ob für Internet ExplorerProzesse bei Dateidownloads, die nicht vom Benutzer
veranlasst wurden, eine Aufforderung angezeigt wird.
Wir empfehlen, die Einstellung mit Aktiviert zu konfigurieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
43
Dateidownload für die Zone „Eingeschränkte Sites“
einschränken
Für die Zone Eingeschränkte Sites sind Dateidownloads standardmäßig
deaktiviert. Um sicherzustellen, dass dies auch so bleibt, empfehlen wir die
Option Dateidownloads zulassen für die Zone Eingeschränkte Sites zu
deaktivieren.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Zone
Eingeschränkte Sites
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 2.15: Einstellung „Dateidownloads zulassen”
Richtlinienobjekt
Beschreibung
Dateidownloads
zulassen
Diese Einstellung ermöglicht Ihnen festzulegen, ob
Dateidownloads aus der Zone Eingeschränkte Sites
zugelassen sind. Für diese Option ist die Zone der Seite
entscheidend, auf der sich der Link für den Download
befindet, nicht die Zone, von der aus die Datei
bereitgestellt wird.
Wenn Sie diese Einstellung aktivieren, können die Benutzer
Dateien von dieser Zone herunterladen.
Wenn Sie diese Einstellung deaktivieren, können die
Benutzer keine Dateien von dieser Zone herunterladen.
Wenn Sie diese Einstellung nicht konfigurieren, können die
Benutzer keine Dateien von dieser Zone herunterladen.
Wir empfehlen, die Einstellung mit Deaktiviert zu
konfigurieren.
Objektzwischenspeicherungsschutz
Der Objektzwischenspeicherungsschutz sorgt dafür, dass
zwischengespeicherte Objekte nach dem Verlassen einer Website nicht
missbraucht werden können. Über einen neuen Sicherheitskontext für alle
Skriptobjekte wird der Zugriff auf alle gespeicherten Objekte blockiert. Der
Zugriff wird außerdem blockiert, wenn der Benutzer Seiten in derselben
Domäne aufruft. Hat sich durch die Navigation des Benutzers der Kontext
geändert, so steht keine Referenz mehr für die entsprechenden Objekte zur
Verfügung. Anwendungsentwickler sollten diese Sicherheitsmaßnahme
berücksichtigen und keine Anwendungen erstellen, die Objekte von anderen
Websites nutzen. Dieses Verfahren könnte zu einer fehlerhaften Darstellung
führen.
Die Einstellung ist standardmäßig für Internet Explorer-Prozesse aktiviert. Wir
empfehlen, die entsprechende Einstellung über eine Gruppenrichtlinie
durchzusetzen. Wenn die Einstellung aktiviert ist, so verringert dies die Risiken
für domänenübergreifende Sicherheitsprobleme.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
44
Internet Explorer 8 Security Guide
Internet
Explorer\Sicherheitsfunktionen\Objektzwischenspeicherungsschutz
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 2: Sicherheitsempfehlungen
45
Tabelle 2.16: Einstellung „Objektzwischenspeicherungsschutz”
Richtlinienobjekt Beschreibung
Internet
ExplorerProzesse
Diese Einstellung legt fest, ob bei der Navigation innerhalb
einer Domäne oder zu einer neuen Domäne auf einen
Objektverweis zugegriffen werden kann.
Wenn Sie diese Einstellung aktivieren, kann bei der Navigation
innerhalb der Domäne oder zu anderen Domänen für alle
Prozesse nicht mehr auf den Objektverweis zugegriffen
werden.
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, bleibt der Objektverweis bei der Navigation
innerhalb der Domäne zu anderen Domänen der Zone
Eingeschränkte Sites erhalten.
Wir empfehlen, die Einstellung mit Aktiviert zu konfigurieren.
Java-Berechtigungen
Zu den Java-Berechtigungen in Internet Explorer gab es in der Vergangenheit
ein paar Unklarheiten. Viele Benutzer gingen davon aus, dass die Einstellung
nur Auswirkungen auf die Microsoft Java Virtual Machine (MSJVM) hat.
Microsoft geht tatsächlich auch davon aus, dass die Einstellung durch JVMs
(Java Virtual Machines) anderer Hersteller ignoriert wird. Die Einstellung
blockiert jedoch die Nutzung des <APPLET>-Elements in HTML. Dies bedeutet,
dass die Einstellung unter bestimmten Umständen auch Inhalte blockiert, für
die eine JVM erforderlich ist – und zwar auch dann, wenn eine JVM eines
Drittanbieters installiert ist. Andere HTML-Elemente können die installierte JVM
allerdings ganz normal nutzen. Ob das beschriebene Verhalten auftritt, kommt
daher auf die Inhalte der jeweiligen Website an.
Standardmäßig ist die Einstellung für die Zonen Internet und Eingeschränkte
Sites mit Aktiviert konfiguriert.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
46
Internet Explorer 8 Security Guide
Tabelle 2.17: Einstellung „Java-Einstellungen”
Richtlinienobjekt Beschreibung
JavaEinstellungen
Mit dieser Einstellung können Sie Berechtigungen für JavaApplets verwalten. Wenn Sie diese Einstellung aktivieren,
können Sie Optionen aus dem Dropdownfeld auswählen.
 Mit der Auswahl Benutzerdefiniert können Sie
Berechtigungseinstellungen einzeln steuern.
 Bei der Auswahl Niedrige Sicherheit können Applets
alle Operationen ausführen.
 Bei der Auswahl Mittlere Sicherheit werden Applets in
einer eigenen geschützten Umgebung ausgeführt (der
so genannten „Sandbox", einem Speicherbereich,
außerhalb dessen das Programm keine Aufrufe
vornehmen kann).
 Bei der Auswahl Hohe Sicherheit werden Applets in
ihrer Sandbox ausgeführt. Bei der Auswahl Java
deaktivieren können keinerlei Applets ausgeführt
werden.
Wenn Sie diese Einstellung deaktivieren, können Java-Applets
nicht ausgeführt werden.
Wenn Sie diese Einstellung nicht konfigurieren, werden die
Berechtigungen auf Hohe Sicherheit festgelegt.
Zusätzliche Informationen
Unter den folgenden Quellen finden Sie zusätzliche Informationen zu
sicherheitsbezogenen Themen für Internet Explorer 8:
 ActiveX-Sicherheit: Verbesserungen und Best-Practices (engl.)
 Prinzip der geringstmöglichen Berechtigungen für Benutzerkonten unter
Windows XP (engl.)
 Sicheres Surfen im Internet und Lesen von E-Mails als Administrator (engl.)
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu
Datenschutzeinstellungen
Sicherheitsleitfaden beschränken sich oft auf Einstellungen, die eine
Manipulation des Systems verhindern. Eine umfassende
Sicherheitsbetrachtung muss sich jedoch auch mit einer Analyse der
„weichen“ Sicherheitseinstellungen, die sich auf den Datenschutz und die
persönlichen Daten auswirken, befassen. Windows® Internet Explorer® 8 stellt
verschiedenste Erweiterungen zur Absicherung der persönlichen Daten bereit.
Zu diesen Erweiterungen gehört unter anderem der SmartScreen-Filter, der die
Benutzer vor Phishing-Websites und Websites mit schädlicher Software warnt.
Wenn Sie die Standardeinstellungen für die Datenschutzeinstellungen und für
den Umgang mit Daten beim Verlassen des Browsers ändern, können Sie die
Browsersicherheit verbessern. Das Löschen der temporären Internetdateien
sorgt dafür, dass persönliche Daten regelmäßig beseitigt werden. Eine
unbeabsichtigte Offenlegung solcher Daten wird so verhindert. Durch die so
verhinderte Autovervollständigung bei Formularen und die Speicherung von
Kennwörtern werden die Risiken für den Verlust von privaten
Anmeldeinformationen weiter gesenkt.
Die Empfehlungen zu den Internet Explorer 8-Datenschutzeinstellungen aus
diesem Kapitel sind in die folgenden neun Kategorien gruppiert:
 Nutzung von InPrivate-Browsen
 Nutzung der InPrivate-Filterung
 Löschen des Browserverlaufs
 Konfigurieren der Datenschutzeinstellung auf Mittel oder höher
 Automatisches Leeren des Ordners Temporäre Internetdateien
 Deaktivierung der AutoVervollständigen-Optionen
 Konfiguration von Anmeldeoptionen für jede Sicherheitszone
 Aktivieren von SmartScreen-Filter
 Nutzung des XSS-Filters
Einige Organisationen überprüfen die Aktivitäten der Benutzer in Internet
Explorer. Diese Organisationen müssen zwischen der Speicherung der
Browseraktivitäten und den Datenschutzanforderungen der Benutzer
abwägen. Möglicherweise sollten sie einige der in diesem Kapitel
empfohlenen Einstellungen anders konfigurieren.
Nutzung von InPrivate-Browsen
Manchmal sollen auf einem Computer keine Spuren der Aktivitäten im
Internet zurückbleiben (beispielsweise, wenn man auf dem gemeinsamen
Familien-PC Weihnachtsgeschenke einkauft). Mit InPrivate-Browsen in Internet
Explorer 8 können Sie den Browser darin hindern, Browserverlauf, temporäre
Internetdateien, Formulardaten, Cookies und Benutzernamen und Kennwörter
zu speichern. Auf diese Art bleiben keine Belege für Ihre Aktivitäten zurück.
Um das InPrivate-Browsen zu starten, klicken Sie in der Befehlsleiste auf
Sicherheit und dann auf InPrivate-Browsen. Internet Explorer 8 startet dann
eine neue Browsersitzung, in der keine Informationen gespeichert werden.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
48
Internet Explorer 8 Security Guide
Wenn Sie die InPrivate-Sitzung beenden möchten, schließen Sie einfach das
Browserfenster.
Beim InPrivate-Browsen passiert Folgendes:
 BHOs (Browser Helper Objects) und Browserleisten sind deaktiviert.
 Neue Cookies werden zu „Sitzungscookies“ und werden beim Schließen
des Browsers gelöscht.
 Die bestehenden Cookies können nicht gelesen werden.
 Die bestehende Funktionalität des neuen DOM-Storage-Funktionen kann
nicht geändert werden.
 Es werden keine neuen Einträge in den Verlauf eingefügt.
 Neue temporäre Internetdateien werden nach dem Schließen des
InPrivate-Browserfensters gelöscht.
 Es werden keine Formulardaten gespeichert.
 Es werden keine Kennwörter gespeichert.
 Die in die Adressleiste eingegebenen Adressen werden nicht gespeichert.
 Die in das Suchfeld eingegebenen Abfragen werden nicht gespeichert.
 Die besuchten Links werden nicht gespeichert.
Abhängig von den geschäftlichen Anforderungen, Vorgaben und Gesetzen
können einige oder alle dieser Eigenschaften genutzt werden. Mit der
Kommandozeilenoption private können Sie InPrivate-Browsen zum
Standardmodus des Browsers machen (Beispiel: "C:\Program Files\Internet
Explorer\iexplore.exe" –private)
Nutzung der InPrivate-Filterung
Die InPrivate-Filterung wurde dazu entwickelt, nur die Inhalte anderer
Organisationen zu blockieren, die auf den besuchten Websites sehr häufig
auftauchen. Inhalte werden erst dann geblockt, wenn ein bestimmter
Häufigkeitslevel erreicht ist. Inhalte, die direkt von der besuchten Website
bereitgestellt werden, werden niemals geblockt. Wann die automatische
Blockierung stattfindet, hängt von Ihren Aktivitäten im Browser und den von
Ihnen besuchten Websites ab. Sowohl Administratoren als auch Benutzer
können die Häufigkeitslevels für die Filterliste konfigurieren. Sie können auf
Werte zwischen drei und 30 konfiguriert werden. Sie können außerdem eine
Liste von blockierten (oder zugelassenen) Websites manuell importieren. Wir
empfehlen die Aktivierung von InPrivate-Filterung – es sei denn, die Filterung
sorgt bei für den Geschäftsbetrieb erforderlichen Websites für Probleme.
Löschen des Browserverlaufs
Die Möglichkeit, den Browserverlauf in Internet Explorer zu löschen, ist nicht
neu. Sie wurde jedoch mit Internet Explorer 8 erweitert. Wenn Sie den
Browserverlauf löschen, können Sie jetzt die Cookies und die temporären
Internetdateien für die Websites in Ihren Favoriten erhalten. Mit dieser neuen
Möglichkeit können Sie Ihre persönlichen Daten und Ihre Daten für
vertrauenswürdige Websites schützen. Ihre Voreinstellungen und Cookies für
die entsprechenden Websites bleiben erhalten. Mit den neuen Optionen
können die Benutzer außerdem InPrivate-Filterdaten löschen.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
49
Abbildung 3.1: Browserverlauf löschen
Das neue Dialogfenster Browserverlauf löschen umfasst verschiedene
Optionen, mit denen genauer gesteuert werden kann, was gelöscht werden
soll und was nicht.
Konfigurieren der Datenschutzeinstellung auf Mittel oder höher
Einige Websites speichern Informationen in kleinen Textdateien auf ihrem
Computer und versuchen so, das Internet für Sie zu personalisieren. Diese
Textdateien werden Cookies genannt. Diese Cookies können dazu genutzt
werden, die Onlineaktivitäten eines Benutzers übergreifend nachzuverfolgen.
Microsoft empfiehlt dringend, Cookies zu nutzen. Unserer Meinung nach
stellen Cookies kein Sicherheitsproblem dar. Internet Explorer 8 bietet jedoch
einige Mechanismen für den Umgang mit Cookies, die den Benutzern mehr
Kontrolle über ihre Daten ermöglichen.
Es gibt zwei unterschiedliche Cookie-Typen. Das First-Party-Cookie stammt
entweder von der aktuell angezeigten Website oder wird an diese gesendet.
Ein solches Cookie wird normalerweise dazu genutzt, Informationen zur
Website zu speichern (beispielsweise Einstellungen). Das Third-Party-Cookie
stammt von einer anderen Website als der aktuell angezeigten oder wird an
diese gesendet. Websites von Drittanbietern stellen oft einige Inhalte der
aktuell angezeigten Website bereit (beispielsweise Werbung) und nutzen in
diesem Rahmen entsprechende Third-Party-Cookie. Häufig werden diese
Cookies dazu genutzt, Ihr Surfverhalten für Werbezwecke nachzuverfolgen.
Sicherheitseinstellungen, die sich auf den Datenschutz auswirken, finden Sie
unter der Registerkarte Datenschutz im Dialogfenster Internetoptionen. Auf der
Registerkarte befindet sich ein Schieberegler, mit dem Sie eine von sechs
vordefinierten Optionen auswählen können. Dieser Schieberegler gilt nur für
die Zone Internet. Cookies aus den Zonen Lokales Intranet und
Vertrauenswürdige Sites werden automatisch akzeptiert. Cookies aus der Zone
Eingeschränkte Sites werden automatisch blockiert.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
50
Internet Explorer 8 Security Guide
Jede Organisation muss ihre eigenen Richtlinien für Cookies definieren. Wir
empfehlen, die Einstellung zumindest auf Mittel festzulegen. So erreichen Sie
Folgendes:
 Cookies von Drittanbietern ohne Datenschutzrichtlinie werden blockiert.
 Cookies von Drittanbietern, die ohne ausdrückliche Einwilligung
Informationen nutzen, die den Benutzer persönlich identifizierbar machen,
werden blockiert.
 Cookies von Erstanbietern, die ohne ausdrückliche Einwilligung
Informationen nutzen, die den Benutzer persönlich identifizierbar machen,
werden eingeschränkt.
Die Einstellung Hoch schränkt alle Cookies ein. Die anderen Einstellungen
lassen Cookies jeweils unter bestimmten Bedingungen zu. Mit der Einstellung
Alle Cookies annehmen sind alle Cookies erlaubt.
Anmerkung: Standardmäßig hat der Benutzer die Möglichkeit, die Einstellung zu verändern. Sie
können die Registerkarte Datenschutz jedoch über eine Gruppenrichtlinie deaktivieren.
Sie können die Einstellungen für bestimmte Websites mit den Optionen
Blockieren und Zulassen umgehen oder erzwingen. Mit einer Gruppenrichtlinie
können Sie nicht nur die Cookieeinstellungen durchsetzen, sondern auch
Websites zur Liste hinzufügen. Um einen maximalen Datenschutz zu erreichen
und gleichzeitig die Vorteile von Cookies zu erhalten (beispielsweise die
Speicherung von Anmeldeinformationen und Einstellungen), empfehlen wir,
alle Cookies von Drittanbietern zu blockieren und alle Cookies von
Erstanbietern zuzulassen.
Automatisches Leeren des Ordners Temporäre Internetdateien
Um das Laden der Seiten zu beschleunigen und die benötigte Bandbreite zu
verringern, speichert Internet Explorer viele Objekte aus Webdokumenten
(HTML, Videos, Bilder usw.) im Ordner Temporäre Internetdateien. Die hier
gespeicherten Elemente stellen zwar kein Sicherheitsproblem dar, können
aber für den Missbrauch von persönlichen Daten genutzt werden –
beispielsweise dann, wenn andere Benutzer auf den Computer zugreifen. Die
Dateien werden standardmäßig im Ordner
%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files
gespeichert. Mit dem Internet Explorer Administration Kit (IEAK) 8 oder einem
GPO können Sie den Speicherort jedoch ändern. Wir empfehlen Ihnen, die
Option Leeren des Ordners „Temporäre Internetdateien” beim Schließen des
Browsers mit Aktiviert zu konfigurieren. So werden beim Schließen des Browser
alle lokal gespeicherten Inhalte gelöscht. Die Einstellung hat keine
Auswirkungen auf die Funktionalität. Sie kann sich jedoch auf die
Anwendungsleistung auswirken und für mehr Anrufe beim Helpdesk sorgen.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Seite “Erweitert”
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
51
Tabelle3.1: Einstellung „Leeren des Ordners ‚Temporäre Internetdateien‘” beim
Schließen des Browsers”
Richtlinienobjekt
Beschreibung
Leeren des Ordners
„Temporäre
Internetdateien”
beim Schließen des
Browsers
Mit dieser Einstellung können Sie festlegen, ob Internet
Explorer den Inhalt des Ordners „Temporäre
Internetdateien" löscht, nachdem alle Browserfenster
geschlossen wurden. Dadurch werden Sie davor
geschützt, gefährliche Dateien oder sensible Dateien auf
dem Computer zu speichern, die von anderen Benutzern
eingesehen werden könnten. Außerdem wird dadurch
die Nutzung des Festplattenplatzes verwaltet.
Standardmäßig werden die Inhalte des Ordners nicht
gelöscht.
Wir empfehlen, die Einstellung zu aktivieren.
Anmerkung: Organisationen, die gesetzliche Anforderungen in Bezug auf den Datenschutz
erfüllen müssen, können mit dieser Einstellung dafür sorgen, dass die entsprechenden
Informationen regelmäßig gelöscht werden. Die Einstellung verhindert jedoch nicht, dass die
Daten mithilfe geeigneter Tools wiederhergestellt werden. Aus diesem sollten die entsprechenden
Organisationen unbedingt prüfen, ob die Einstellung für ihre Compliance-Anforderungen
ausreichend ist.
Deaktivierung der AutoVervollständigen-Optionen
Internet Explorer speichert Formulardaten, um diese später wiederverwenden
und erneut übertragen zu können. Ein häufig in Formularen genutztes Feld ist
beispielsweise das Feld „Straße“ (als Teil der Adresse). Mit
AutoVervollständigen liest Internet Explorer Werte Formularfelder und trägt die
entsprechenden Informationen automatisch ein. Der Benutzer muss sie so
nicht immer wieder eingeben. Zwar stellt dieses Verfahren keine direkte
Sicherheitsbedrohung dar, doch können die genutzten Informationen von
Websites missbraucht werden.
Noch wichtiger ist, dass die Funktion nicht zwischen sehr sensiblen Daten
(beispielsweise Kreditkartennummern) und bereits öffentlich verfügbaren
Daten (beispielsweise Telefonnummern) unterscheiden kann. Aus diesem
Grund ist es daher möglich, dass persönliche Daten des Benutzers
versehentlich in die Hände von Dritten gelangen. Wenn Sie auf Einstellungen
auf der Registerkarte AutoVervollständigen im Dialogfenster Internetoptionen
klicken, finden Sie die Einstellungen für die AutoVervollständigen-Funktion.
Internet Explorer 8 kann zusätzlich zu anderen Daten auch Benutzernamen
und Kennwörter aus Formularen speichern. Der Benutzer muss sich so nicht
mehr selbst an die immer größer werdende Zahl von Kennwörtern und
Benutzernamen erinnern. Ein paar grundlegende Sicherheitsmechanismen
legen fest, welche Daten in einem Formular eingegeben werden müssen.
Diese sorgen dafür, dass die falschen Anmeldeinformationen in ein Formular
eingetragen werden. Trotz dieser Sicherheitsmaßnahmen ist es besonders
trickreich entworfenen Websites eventuell möglich, die Benutzer zur
Weitergabe von Anmeldeinformationen an Angreifer zu bewegen. Der
Speicher für die Anmeldedaten ist gesichert. Sie werden lokal auf dem
jeweiligen System gespeichert, und es ist nicht möglich, von außerhalb des
Systems auf die Daten zuzugreifen. Wir empfehlen Ihnen, die
AutoVervollständigen-Funktion zu deaktivieren.
Die Deaktivierung hat keine Auswirkungen auf die Leistung. Es kann jedoch
sein, dass sich die Benutzer über die fehlende Funktion beschweren und auf
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
52
Internet Explorer 8 Security Guide
kürzere/einfachere und somit leichter zu merkende, aber unsichere
Kennwörter ausweichen. Sie sollten daher die entsprechenden Prozesse für die
Kennwortanforderungen und -validierung überprüfen und so sicherstellen,
dass die Benutzer keine unsicheren Kennwörter nutzen.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 3.2: Einstellungen für AutoVervollständigen
Richtlinienobjekt
Beschreibung
AutoVervollständigen
für Formulare
deaktivieren
AutoVervollständigen macht dem Benutzer beim
Ausfüllen von Formularfeldern Eingabevorschläge. Wenn
Sie die Einstellung aktivieren, dann werden keine
Vorschläge gemacht. Die Benutzer können diese
Einstellung nicht verändern.
Wenn Sie die Einstellung deaktivieren, macht Internet
Explorer Vorschlage. Die Benutzer können auch diese
Einstellung nicht verändern.
Standardmäßig können die Benutzer die
AutoVervollständigen-Einstellungen verändern.
Wir empfehlen, die Einstellung zu aktivieren.
AutoVervollständigen
für Benutzernamen
und Kennwörter in
Formularen aktivieren
Diese Einstellung schlägt Kennwörter und
Benutzernamen in Formularen vor. Wenn Sie die
Einstellung aktivieren, dann werden Vorschläge
gemacht. Die Benutzer können diese Einstellung nicht
verändern. Daher müssen Sie festlegen, ob die Option
Vor dem Speichern von Kennwörtern nachfragen
aktiviert werden soll.
Wenn Sie die Einstellung deaktivieren, trägt Internet
Explorer keine Benutzernamen und Kennwörter ein. Die
Benutzer können die entsprechenden Einstellungen nicht
verändern.
Wenn Sie die Einstellung nicht konfigurieren, dann
können die Benutzer die Funktion aktivieren und die
Einstellung selbst festlegen.
Wir empfehlen, die Option zu deaktivieren.
Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen,
können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände
von nicht autorisierten Benutzern gelangen.
Konfiguration von Anmeldeoptionen für jede Sicherheitszone
Mithilfe von Windows-Domänen können Unternehmen Informationen aus dem
Intranet absichern und gleichzeitigt ohne die ständige Neueingabe von
Anmeldeinformationen auf Netzwerkdokumente zugreifen. Internet Explorer
kann die Authentifizierungsinformationen auf dem System dazu nutzen, den
Benutzern NTML-Authentifizierungsinformationen für den Zugriff auf die Zone
Intranet zur Verfügung stellen. Mit den Einstellungen für die
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
53
Anmeldungsoptionen stehen Ihnen mehr Möglichkeiten als nur eine einfache
Aktivierung oder Deaktivierung zur Verfügung. Standardmäßig ist für die Zonen
Internet, Lokales Intranet und Vertrauenswürdige Sites die Option
Automatisches Anmelden nur in der Intranetzone aktiv. Für die Zone
Eingeschränkte Sites ist hingegen die Option Nach Benutzername und
Kennwort fragen die Standardeinstellung. Dies führt dazu, dass die Anmeldung
an Sites in der Zone Intranet, wann immer möglich, automatisch durchgeführt
wird. In allen anderen Zonen wird der Benutzer nach Anmeldeinformationen
gefragt.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 3.3: Einstellung „Anmeldungsoptionen”
Richtlinienobjekt
Beschreibung
Anmeldungsoptionen
Mit dieser Einstellung können Sie Berechtigungen für
Anmeldeoptionen verwalten. Wenn Sie diese Einstellung
aktivieren, können Sie die folgenden Anmeldeoptionen
auswählen.
 Mit Anonyme Anmeldung wird die HTTPAuthentifizierung deaktiviert und das Gastkonto nur
für das CIFS-Protokoll (Common Internet File System)
verwendet.
 Mit Nach Benutzername und Kennwort fragen
werden die Benutzer nach ihren Benutzer-IDs und
Kennwörtern gefragt. Nach der Abfrage beim
Benutzer können diese Werte im weiteren Verlauf der
Sitzung ohne weitere Nachfrage verwendet werden.
 Mit Automatisches Anmelden nur in der Intranetzone
werden die Benutzer in anderen Zonen nach ihren
Benutzer-IDs und Kennwörtern gefragt. Nach der
Abfrage beim Benutzer können diese Werte im
weiteren Verlauf der Sitzung ohne weitere Nachfrage
verwendet werden.
 Mit Automatische Anmeldung mit aktuellem
Benutzernamen und Kennwort wird eine Anmeldung
mithilfe der NTLM-Authentifizierung (Windows NT
Challenge Response) versucht. Wenn der Server
Windows NT Challenge Response unterstützt, werden
der Netzwerkbenutzername des Benutzers und das
dazugehörige Kennwort für die Anmeldung
verwendet. Falls der Server Windows NT Challenge
Response nicht unterstützt, wird der Benutzer
aufgefordert, Benutzernamen und Kennwort
anzugeben.
(Internetzone)
Wenn Sie diese Einstellung deaktivieren, wird die
Anmeldeoption Automatisches Anmelden nur in der
Intranetzone festgelegt. Wenn Sie die Einstellung nicht
konfigurieren, wird die Anmeldeoption Automatisches
Anmelden nur in der Intranetzone festgelegt.
Wir empfehlen, die Option Nach Benutzername und
Kennwort fragen zu konfigurieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
54
Internet Explorer 8 Security Guide
Richtlinienobjekt
Beschreibung
Anmeldungsoptionen
Wir empfehlen, die Option Automatische Anmeldung mit
aktuellem Benutzernamen und Kennwort zu
konfigurieren.
(Intranetzone)
Anmeldungsoptionen
(Zone
eingeschränkter Sites)
Anmeldungsoptionen
(Zone
vertrauenswürdiger
Sites)
Wir empfehlen, die Option Anonyme Anmeldung zu
konfigurieren.
Wir empfehlen, die Option Automatisches Anmelden nur
in der Intranetzone zu konfigurieren.
Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen,
können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände
von nicht autorisierten Benutzern gelangen.
Aktivieren des SmartScreen-Filters
Die Benutzer sehen sich im Internet immer mehr Bedrohungen ausgesetzt.
Schädliche Websites versuchen immer öfter, ihre Anmeldeinformationen zu
stehlen. Eine der neuen Sicherheitsfunktionen aus Internet Explorer 8 ist der
SmartScreen-Filter. Diese Funktion sorgt mit einer Kombination aus
heuristischen Technologien und Onlinedienst dafür, dass die Benutzer besser
vor Bedrohungen und schädlichen Websites geschützt sind. Beim ersten Start
von Internet Explorer 8 wird der Benutzer gefragt, welche Einstellung für den
SmartScreen-Filter eingerichtet werden soll – es gibt also keine
standardmäßige Einstellung. Die Funktion kann nur aktiviert oder deaktiviert
werden. Das heißt, entweder ist die automatische Prüfung aktiv oder inaktiv.
Ist der SmartScreen-Filter deaktiviert, können die Benutzer ihn in Einzelfällen
immer noch nutzen und eine manuelle Prüfung aktivieren.
Administratoren sollte klar sein, wie Anwendungen in ihrer Umgebung
ausgeführt werden. Internet Explorer und der SmartScreen-Filter bilden hier
keine Ausnahme. Wenn Sie wissen, wie die Funktion arbeitet, dann können Sie
diese besser nutzen und sich und Ihre Benutzer besser schützen.
Der Schutz vor Malware und Phishing durch den SmartScreen-Filter basiert auf
dem Microsoft-URL Reputation Service (URS). Dieser Dienst wird rund um die
Uhr von Mitarbeitern betreut. Der SmartScreen-Filter prüft Websites anhand
einer lokal gespeicherten Liste und führt über den URS eine Onlineprüfung der
URL durch. Um Latenzprobleme zu verhindern, wird die URS-Prüfung asynchron
durchgeführt. Die Navigation des Benutzers wird daher nicht beeinflusst. Um
eine hohe Netzwerkauslastung zu vermeiden, werden auf dem Client in einer
verschlüsselten Datei tausende der am häufigsten besuchten Websites
gespeichert. Alle Websites in dieser Datei sind durch die Prüfung durch den
SmartScreen-Filter ausgenommen. Der SmartScreen-Filter nutzt außerdem eine
lokale Zwischenspeicherung für URLs, über die er prüft, ob die URL bereits
vorher schon einmal genutzt wurde. Der URS erkennt mögliche Phishing-Sites
unter anderem durch das Feedback der Benutzer.
Um die immer komplexer werdenden Phishing-Versuche und Malware-Exploits
besser zu erkennen und die Benutzer besser vor ihnen zu schützen, prüft der
SmartScreen-Filter die gesamte URL. Da die URL entsprechende Informationen
enthalten kann, ist es möglich, dass in diesem Zusammenhang auch
Informationen an den URS übertragen werden, die eine eindeutige
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
55
Identifikation des Benutzers ermöglichen. Microsoft hat umfassende
Maßnahmen ergriffen, um diese Daten zu sichern und zu schützen. Sie werden
nicht an Dritte weitergegeben. Nachdem sie auf Sicherheitsbedrohungen
überprüft wurden, werden sie aus den Daten entfernt. Weitere Informationen
zu diesem Thema finden Sie in den Datenschutzbestimmungen zu Windows
Internet Explorer 8.
Wie bereits erwähnt muss der SmartScreen-Filter explizit aktiviert oder
deaktiviert werden – es gibt keine Standardeinstellung. Wenn er aktiviert
wurde, dann werden alle Websites, die nicht in der lokalen Liste gespeichert
sind, über den URS geprüft. Ist er deaktiviert, dann wird keine Prüfung
durchgeführt. Zwar empfiehlt Microsoft dringend, die Funktion grundsätzlich
immer zu nutzen, es kann jedoch Situationen geben, in denen die
Administratoren die Einstellungen der Funktion ändern möchten.
Anmerkung: Der Schutz vor ClickJacking XSS ist standardmäßig aktiviert. Der ClickJacking-Schutz
ist Teil des Produktdesigns und kann nicht deaktiviert werden. Der Benutzer ist jedoch in der Lage,
den XSS-Filter zu deaktivieren.
Sie können den SmartScreen-Filter über Gruppenrichtlinien für jede
Sicherheitszone aktivieren und deaktivieren. Damit dies möglich ist, muss die
Funktion jedoch erst global aktiviert sein. Standardmäßig ist der SmartScreenFilter in GPOs für alle Zonen außer der Zone Intranet aktiviert. Wir empfehlen,
den Filter aktiviert zu lassen.
Wenn Sie eine Liste von Websites von der SmartScreen-Filterung ausnehmen
möchten (beispielsweise eine Extranet-Website, mit der Ihr Unternehmen
zusammenarbeitet), dann sollten Sie den Filter nicht global, sondern nur für die
Zone Vertrauenswürdige Sites deaktivieren. Die entsprechende Website fügen
Sie dann dieser Zone hinzu.
Wir empfehlen, die Benutzer mithilfe einer Gruppenrichtlinie daran zu hindern,
den SmartScreen-Filter zu deaktivieren. Konfigurieren Sie den Modus mit der
Einstellung Automatisch. Sie sollten sich jedoch im Klaren darüber sein, dass
mit dieser Einstellung automatisch Informationen an Microsoft gesendet
werden – ohne dass der Benutzer darüber benachrichtigt wird.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitszone\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 3.4: Einstellung “SmartScreen-Filter verwenden”
Richtlinienobjekt
Beschreibung
SmartScreen-Filter
verwenden
Mit dieser Einstellung können Sie steuern, ob der
SmartScreen-Filter die Seiten in dieser Zone auf bösartige
Inhalte überprüft.
Wenn Sie diese Einstellung aktivieren, überprüft der
SmartScreen-Filter die Seiten in dieser Zone auf bösartige
Inhalte. Wenn Sie diese Einstellung deaktivieren,
überprüft der SmartScreen-Filter die Seiten in dieser Zone
nicht auf bösartige Inhalte.
Standardmäßig kann der Benutzer die Einstellung für den
SmartScreen-Filter selbst konfigurieren.
Wir empfehlen, die Einstellung zu aktivieren.
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
56
Internet Explorer 8 Security Guide
Zusätzlich zu den Einstellungen für die einzelnen Zonen können Sie zwei
globale Einstellungen durchführen. Sie finden die Einstellungen unter dem
folgenden Pfad:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle 3.5: Einstellungen für den SmartScreen-Filter
Richtlinienobjekt
Beschreibung
Verwalten von
SmartScreen-Filter
deaktivieren
Mit dieser Einstellung können Benutzer einen
SmartScreen-Filter aktivieren. Dieser Filter gibt eine
Warnung beim Besuch von Websites aus, die
bekanntermaßen versuchen, durch arglistige Täuschung
persönliche Informationen zu erschleichen oder Malware
enthalten.
Wenn Sie die Funktion aktivieren, werden alle
Websiteadressen, die nicht in der Liste der zugelassenen
Sites des Filters enthalten sind, automatisch an Microsoft
gesendet, ohne dass die Benutzer dazu aufgefordert
werden.
Wenn Sie die Funktion deaktivieren oder die Einstellung
nicht konfigurieren, werden die Benutzer bei der ersten
Ausführung aufgefordert, den Betriebsmodus für den
SmartScreen-Filter auszuwählen.
Wir empfehlen, diese Einstellung zu aktivieren.
Umgehung der
SmartScreenFilterwarnungen
verhindern
Der SmartScreen-Filter hindert Benutzer am Navigieren zu
Websites sowie am Herunterladen von Inhalten, die für
die Bereitstellung bösartiger Inhalte bekannt sind.
Wenn Sie diese Einstellung aktivieren, darf der Benutzer
nicht zu Sites navigieren, die vom SmartScreen-Filter als
unsicher eingestuft werden.
Wenn Sie diese Einstellung deaktivieren oder nicht
konfigurieren, kann der Benutzer SmartScreenFilterwarnungen ignorieren und zu unsicheren Sites
navigieren.
Wir empfehlen, diese Einstellung zu aktivieren.
Nutzung des XSS-Filters
Der XSS-Filter schützt die Benutzer davor, ungewollte Informationen an Dritte
weiterzugeben. Dies ist besonders in Organisationen, die gesetzliche oder
regulative Vorschriften einhalten müssen, sehr wichtig.
Wir empfehlen, die Funktion aktiviert zu lassen (was auch ihre
Standardeinstellung ist). Wenn eine geschäftskritische Website vom XSS-Filter
gestört wird, dann versuchen Sie als Erstes, das Problem über die Websites zu
lösen. Als letzte Maßnahme können Sie den XSS-Filter deaktivieren. Er sollte
jedoch so schnell wie möglich wieder aktiviert werden.
Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden
Pfad:
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Kapitel 3: Empfehlungen zu Datenschutzeinstellungen
57
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitszone\<Zone>
In der folgenden Tabelle finden Sie Informationen zu der entsprechenden
Sicherheitseinstellung in Internet Explorer 8.
Tabelle3.6: Einstellung „XSS-Filter aktivieren”
Richtlinienobjekt
Beschreibung
XSS-Filter aktivieren
Mithilfe dieser Richtlinie können Sie steuern, ob mit dem
XSS-Filter (Cross-Site Scripting, siteübergreifendes
Skripting) die siteübergreifende Skripteinschleusung in
Websites in dieser Zone erkannt und verhindert wird.
Wenn Sie diese Einstellung aktivieren, wird der XSS-Filter
für Sites in dieser Zone aktiviert, um die siteübergreifende
Skripteinschleusung zu blockieren.
Wenn Sie diese Einstellung deaktivieren, wird der XSSFilter für Sites in dieser Zone deaktiviert und Internet
Explorer lässt die siteübergreifende Skripteinschleusung
zu.
Wir empfehlen, diese Einstellung zu aktivieren.
Zusätzliche Informationen
Unter den folgenden Quellen finden Sie weitere Informationen zu
sicherheitsbezogenen Themen für Internet Explorer 8:
 Internet Explorer Administration Kit (IEAK) 8.
 Datenschutzbestimmungen zu Windows Internet Explorer 8
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Anhang A: Sicherheitscheckliste
59
Anhang A: Sicherheitscheckliste
In der folgenden Checkliste finden Sie alle relevanten, im Rahmen dieses
Leitfadens zur Absicherung von Clientcomputern mit Windows ® Internet
Explorer® 8 besprochenen Funktionen und Einstellungen.
Tabelle A.1: Internet Explorer 8-Sicherheitscheckliste

Sicherheit von aktiven Inhalten
Einschränken der Installation von ActiveX-Steuerelementen
Websitebasierte ActiveX-Einstellungen
Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab
definierten Freigabelisten
Deaktivieren von Active Scripting als Reaktion auf bestimmte
Bedrohungssituationen
Aktivierung von Sicherheitseinschränkungen für Skriptfenster

Zonensicherheit
Schutz vor Zonenanhebung aktivieren
Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen
verbieten
Änderung der Zoneneinstellungen durch die Benutzer verhindern

Zertifikatsicherheit
Zugriff der Benutzer auf Websites mit Zertifikatfehlern verhindern

Reduzierte Anwendungsprivilegien
Aktivierung des geschützten Modus
DropMyRights unter Windows XP

Datenschutzeinstellungen
Nutzung von InPrivate-Browsen
Nutzung der InPrivate Filterung
Löschen des Browserverlaufs
Konfigurieren der Datenschutzeinstellung auf Mittel oder höher
Automatisches Leeren des Ordners Temporäre Internetdateien
Deaktivierung der AutoVervollständigen-Optionen
Deaktivierung der Kennwortzwischenspeicherung
Konfiguration von Anmeldeoptionen für jede Sicherheitszone
Aktivieren des SmartScreen-Filters
Nutzung des XSS-Filters
Solution Accelerators
microsoft.com/technet/SolutionAccelerators
Internet Explorer 8-Sicherheitsleitfaden
60

Andere Sicherheitseinstellungen
Proxyeinstellung pro Computer vornehmen
Systemabsturzermittlung deaktivieren
Dateidownload einschränken
Dateidownload für die Zone „Eingeschränkte Sites“ einschränken
Objektzwischenspeicherungsschutz
Solution Accelerators
microsoft.com/technet/SolutionAccelerators