Internet Explorer® 8Sicherheitsleitfaden Security Compliance Management Toolkit Version 1.1 Veröffentlichung: Oktober 2009 Aktualisierung: April 2010 Die aktuellsten Informationen finden Sie unter microsoft.com/securitycompliance (engl.) © 2009 Microsoft Corporation. Alle Rechte vorbehalten. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Durch die Nutzung dieses Dokumentes stimmen Sie den folgenden Lizenzvereinbarungen zu. Wenn Sie diese Dokumentation ausschließlich zu nichtkommerziellen Zwecken und intern in IHREM Unternehmen oder IHRER Organisation nutzen, dann gilt für diese Dokumentation die Creative Commons AttributionNonCommercial-Lizenz. Den Text der Lizenz finden Sie unter http://creativecommons.org/licenses/bync/3.0/de/. Alternativ können Sie ihn unter Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA anfordern. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN WIE VORLIEGEND BEREITGESTELLT, UND ZWAR OHNE GARANTIEN JEGLICHER ART, OB AUSDRÜCKLICH ODER KONKLUDENT, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF KONKLUDENTE GARANTIEN DER HANDELSÜBLICHKEIT, DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DIE NICHTVERLETZUNG DER RECHTE DRITTER. Alle Risiken bezüglich der Richtigkeit und der Verwendung dieses Dokuments trägt der Benutzer. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf die Fachgebiete dieses Dokuments beziehen. Die Nutzung dieses Dokuments verleiht Ihnen keinerlei Rechte an diesen Patenten, Marken, Urheberrechten oder sonstigem geistigen Eigentum. Ausnahmen hiervon bedürfen der schriftlichen Genehmigung der Microsoft Corporation. Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Microsoft, Access, Active Directory, ActiveX, Authenticode, Excel, InfoPath, Internet Explorer, Internet Explorer 8, JScript, MSDN, Outlook, PowerPoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista und Windows XP sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein. Sie haben keinerlei Verpflichtung, Microsoft Vorschläge, Kommentare oder sonstiges Feedback („Feedback“) in Bezug auf die Dokumentation zu übermitteln. Wenn Sie Microsoft jedoch Feedback senden, erteilen Sie damit Microsoft kostenfrei das Recht zur Nutzung, Verteilung und Kommerzialisierung Ihres Feedbacks auf beliebige Weise und zu beliebigen Zwecken. Ferner räumen Sie Dritten kostenfrei alle Patentrechte ein, die diese benötigen, damit ihre Produkte, Technologien und Dienstleistungen bestimmte Teile einer Software oder einer Dienstleistung von Microsoft, in die das Feedback eingebunden ist, nutzen können oder über eine Schnittstelle mit dieser Software oder Dienstleistung verwendet werden können. Ferner räumen Sie Dritten kostenfrei alle Patentrechte ein, die diese benötigen, damit ihre Produkte, Technologien und Dienstleistungen bestimmte Teile einer Software oder einer Dienstleistung von Microsoft, in die das Feedback eingebunden ist, nutzen können oder über eine Schnittstelle mit dieser Software oder Dienstleistung verwendet werden können. Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) Inhaltsverzeichnis Überblick ..........................................................................................................................................1 Für wen ist dieser Leitfaden gedacht?...........................................................................................2 Kenntnisse und Voraussetzungen ............................................................................................... 2 Ziele und Umfang des Leitfadens ............................................................................................... 2 Übersicht der Kapitel .......................................................................................................................3 Kapitel 1: Implementieren der Internet Explorer 8-Sicherheitsbasis ...................................... 3 Kapitel 2: Sicherheitsempfehlungen .......................................................................................... 3 Kapitel 3: Empfehlungen zu Datenschutzeinstellungen ......................................................... 4 Anhang A: Sicherheitscheckliste ................................................................................................ 4 Stilvereinbarungen ..........................................................................................................................4 Zusätzliche Informationen...............................................................................................................4 Support und Feedback ...................................................................................................................5 Danksagung .....................................................................................................................................5 Entwicklungsteam ...........................................................................................................................5 Weitere Mitwirkende und Lektoren ............................................................................................ 6 Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis ........................................7 Einschränkung der Benutzerrechte ................................................................................................8 Umgebung „Unternehmensclient“ (EC) ........................................................................................8 Umgebung „Spezielle Sicherheit – eingeschränkte Funktionalität“ (SSLF) ................................8 Verwalten von Internet Explorer 8 ..................................................................................................9 Das Zonenmodell...........................................................................................................................10 Bearbeitung der Zoneneinstellungen ...................................................................................... 12 Zonenbestimmung ...................................................................................................................... 13 Jenseits des Zonenmodells: Allgemeine Sicherheitseinstellungen ...................................... 14 Sicherheitsdesign...........................................................................................................................14 OU-Design für Sicherheitsrichtlinien .......................................................................................... 14 Domänenstamm .................................................................................................................. 15 OU Domänencontroller ...................................................................................................... 15 OU Mitgliedsserver ............................................................................................................... 15 OUs für die Serverrollen ....................................................................................................... 15 OU Abteilung ........................................................................................................................ 16 OU Windows 7-Benutzer...................................................................................................... 16 OU Windows 7-Computer .................................................................................................. 16 GPO-Design für Sicherheitsrichtlinien ....................................................................................... 16 Empfohlene GPOs ............................................................................................................... 18 Einsatz eines mit dem Security Compliance Manager-Tool erstellten GPOs ...................................................................................................................................... 19 Sicherheits- und Datenschutzfunktionen in Internet Explorer 8.................................................21 SmartScreen-Filter ........................................................................................................................ 21 Phishing- und Malware-Schutz........................................................................................... 21 ClickJacking ......................................................................................................................... 22 XSS-Filter (Cross-Site Scripting)............................................................................................ 23 Domänenhervorhebung ............................................................................................................ 23 Geschützter Modus ..................................................................................................................... 23 ActiveX-Opt-in ............................................................................................................................. 24 InPrivate-Browsing ....................................................................................................................... 24 Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) ii Internet Explorer 8-Sicherheitsleitfaden InPrivate-Filterung ........................................................................................................................ 25 Zusätzliche Informationen.............................................................................................................25 Kapitel 2: Sicherheitsempfehlungen ............................................................................................27 Add-On-Verwaltung .....................................................................................................................27 Einschränken von ActiveX-Steuerelementen ......................................................................... 27 Websitebasierte ActiveX-Einstellungen ................................................................................... 28 Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten Freigabelisten ............................................................................................................................... 28 Deaktivieren von Active Scripting ...............................................................................................29 Skripting-Unterstützung ........................................................................................................ 30 Aktivierung von Sicherheitseinschränkungen für Skriptfenster ............................................ 31 Zonensicherheit .............................................................................................................................31 Schutz vor Zonenanhebung aktivieren ................................................................................... 31 Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen verbieten ................... 32 Änderung der Zoneneinstellungen durch die Benutzer verhindern ................................... 33 Zertifikatsicherheit..........................................................................................................................34 Zugriff der Benutzer auf Websites mit Zertifikatfehler verhindern ........................................ 34 Reduzierte Anwendungsprivilegien .............................................................................................35 Aktivierung des geschützten Modus ........................................................................................ 35 DropMyRights unter Windows XP .............................................................................................. 37 Andere Sicherheitseinstellungen .................................................................................................37 Sicherheitsfunktion für MIME-Ermittlung ................................................................................... 37 Sicherheitseinschränkung für MK-Protokoll ............................................................................. 38 Verschlüsselte Seiten nicht auf der Festplatte speichern ..................................................... 39 Proxyeinstellung pro Computer vornehmen .......................................................................... 40 Systemabsturzermittlung deaktivieren ..................................................................................... 41 Dateidownload einschränken .................................................................................................. 42 Dateidownload für die Zone „Eingeschränkte Sites“ einschränken .................................. 43 Objektzwischenspeicherungsschutz ........................................................................................ 43 Java-Berechtigungen ......................................................................................................... 45 Zusätzliche Informationen.............................................................................................................46 Kapitel 3: Empfehlungen zu Datenschutzeinstellungen .............................................................47 Nutzung von InPrivate-Browsen ...................................................................................................47 Nutzung der InPrivate-Filterung ....................................................................................................48 Löschen des Browserverlaufs .......................................................................................................48 Konfigurieren der Datenschutzeinstellung auf Mittel oder höher .............................................49 Automatisches Leeren des Ordners Temporäre Internetdateien .............................................50 Deaktivierung der AutoVervollständigen-Optionen ..................................................................51 Konfiguration von Anmeldeoptionen für jede Sicherheitszone ................................................52 Aktivieren des SmartScreen-Filters ..............................................................................................54 Nutzung des XSS-Filters .................................................................................................................56 Zusätzliche Informationen.............................................................................................................57 Anhang A: Sicherheitscheckliste .................................................................................................59 Solution Accelerators microsoft.com/technet/SolutionAccelerators Überblick 1 Überblick Willkommen zum Internet Explorer 8-Sicherheitsleitfaden. Dieser Leitfaden enthält Anweisungen und Empfehlungen zur Verstärkung der Sicherheit von Desktop- und Notebookcomputern mit Windows® Internet Explorer® 8. Eine der größten Herausforderungen bei der Definition von StandardSicherheitseinstellungen für Webbrowser ist die richtige Balance aus benötigter Funktionalität und den durch diese Funktionalitäten entstehenden Risiken. Sind die Standardeinstellungen im Browser zu restriktiv, dann werden die Benutzer eingeschränkt, haben mit Kompatibilitätsproblemen zu kämpfen und ignorieren Warnungen und Alarme einfach. Wenn die Einstellungen jedoch nicht restriktiv genug sind, dann sind die Benutzer durch eine Vielzahl verschiedener Angriffe verwundbar. Eine ausgewogene Balance zwischen Funktionalität und Sicherheit ist daher für eine sichere und einfache Nutzung von entscheidender Bedeutung. Die Entwickler von Webbrowsern definieren normalerweise StandardSicherheitseinstellungen, die auf Basis eines kalkulierten Risikos die bestmögliche Nutzung gewährleisten. Sie wählen Werte für die Einstellungen, mit denen die Browser in einer Vielzahl von Umgebungen sauber arbeiten. Für die meisten privaten Benutzer sind die Standard-Sicherheitseinstellungen im Browser im Allgemeinen ausreichend – sie schützen die Benutzer vor den meisten Angriffen. Bei einigen Benutzern und Unternehmen ergeben sich jedoch speziellere Anforderungen – beispielsweise aufgrund von geschäftlichen oder gesetzlichen Vorgaben. Benutzer in großen Organisationen müssen beispielsweise im Zusammenhang mit der Speicherung von Personen- und Finanzdaten besondere rechtliche Vorgaben erfüllen. Die Sicherheits- und Datenschutzeinstellungen in Internet Explorer 8 wurden für eine große Bandbreite von Anforderungen entworfen. Wir respektieren die Privatsphäre der Benutzer und den Bedarf an einer Kontrolle über Daten in Organisationen und stellen Empfehlungen zur Ausbalancierung dieser gegensätzlichen Anforderungen bereit. Internet Explorer 8 sorgt im Vergleich mit den Vorgängerversionen für mehr Sicherheit und bietet neue Datenschutzfunktionen, mit denen die Benutzer ihre persönlichen Informationen verwalten und kontrollieren können. Weitere Informationen zu den entsprechenden Funktionen und Einstellungen finden Sie auf der Internet Explorer 8-Website. In diesem Leitfaden werden einige der Funktionen und Einstellungen besprochen, mit denen die Sicherheitskonfiguration an die Anforderungen einiger Benutzer und Organisationen angeglichen werden kann. Der Leitfaden befasst sich nicht mit allen Browsereinstellungen. Die Empfehlungen aus dem Leitfaden entsprechen nicht denen aus der verstärkten Sicherheitskonfiguration für Internet Explorer unter Windows Server® 2003 und Windows Server® 2008. Die besprochenen Einstellungen und Funktionen sorgen dafür, dass die Benutzer und Administratoren in Organisationen mit erweiterten Sicherheitsanforderungen möglichst umfassend geschützt sind. Der Leitfaden bespricht Einstellungsmöglichen für Internet Explorer® 8 unter Windows® 7, Windows Vista® und Windows® XP. IT-Experten können den Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) 2 Internet Explorer 8-Sicherheitsleitfaden Leitfaden dazu nutzen, die Sicherheitseinstellungen im Browser zu straffen und den Anforderungen der Organisation anzupassen. Anmerkung: In vielen Fällen können Administratoren das Internet Explorer Administration Kit (IEAK) zur Erstellung und Bereitstellung einer angepassten Version von Internet Explorer nutzen. Danach können die Einstellungen mithilfe von Gruppenrichtlinien durchgesetzt werden. Der Leitfaden befasst sich nicht detailliert mit dem IEAK. Sie können jedoch viele der in diesem Leitfaden besprochenen Einstellungen dazu nutzen, ein angepasstes Paket zu erstellen. Für wen ist dieser Leitfaden gedacht? Der Internet Explorer 8-Sicherheitsleitfaden ist primär für IT-Allrounder, Sicherheitsspezialisten, Netzwerkarchitekten und andere IT-Experten und Consultants gedacht, die mit der Planung der Anwendungs- oder Infrastrukturentwicklung und der Bereitstellung von Desktop- und Notebookcomputern unter Windows-Clientbetriebssystemen in unterschiedlichsten Organisationen beschäftigt sind. Kenntnisse und Voraussetzungen Dieser Leitfaden setzt die folgenden Kenntnisse und Fähigkeiten voraus: MCSE-Zertifizierung für Windows Server 2003 oder aktueller und zwei oder mehr Jahre Erfahrung im Sicherheitsbereich oder vergleichbare Kenntnisse. Tiefgreifende Kenntnisse der Domänen- und Active DirectoryUmgebungen der Organisation. Erfahrung in der Arbeit mit der Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console – GPMC). Erfahrung in der Administration von Gruppenrichtlinien mithilfe der GPMC. Erfahrung im Einsatz von Verwaltungstools wie beispielsweise MMC (Microsoft Management Console), Gpupdate und Gpresult. Erfahrung in der Bereitstellung von Anwendungen und Clientcomputern in Unternehmensumgebungen. Ziele und Umfang des Leitfadens Die primären Einsatzziele dieses Leitfadens sind: Hilfestellung bei der effizienten Erstellung und Anwendung einer getesteten Basissicherheitskonfiguration über Gruppenrichtlinien. Verständnis der Gründe und Auswirkungen für bestimmte Sicherheitsempfehlungen in der Basiskonfiguration. Ermittlung und Berücksichtigung häufiger Sicherheitsszenarien und die Nutzung bestimmter SicherheitsFunktionen in Internet Explorer 8 zu ihrer Verwaltung. Der Leitfaden wurde so entworfen, dass Sie in der Lage sind, nur die für Sie relevanten Teile zu nutzen. Den größtmöglichen Nutzen werden Sie jedoch dann aus dem Leitfaden ziehen, wenn Sie diesen vollständig lesen. Der Leitfaden konzentriert sich auf die Erstellung und Pflege einer sicheren Umgebung für Computer mit Internet Explorer 8. Er beschreibt die verschiedenen Stufen der Absicherung zweier unterschiedlicher Umgebungen. Des Weiteren stellt er Vorgaben und Sicherheitsempfehlungen bereit. Die Clientcomputer können unter Windows 7 oder Windows Vista SP1 oder einem aktuelleren Windows-Betriebssystem ausgeführt werden. Die zur Verwaltung der Clientcomputer eingesetzten Computer müssen jedoch Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) Überblick 3 Windows Server 2008, Windows Server 2003 R2 oder Windows Server 2003 SP2 ausführen. Die Einstellungen im Gruppenrichtlinieneditior und in den Internetoptionen von Internet Explorer unterscheiden sich voneinander. In den Gruppenrichtlinien gibt es beispielsweise viele Einstellungen, die in den Internetoptionen nicht zu finden sind (zum Beispiel alle Einstellungen unter Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\ Sicherheitsseite\Sperrung der Zone des Internets). Beachten Sie außerdem, dass sich viele Einstellungen aus dem Gruppenrichtlinienteil Administrative Vorlagen auf bestimmten Einstellungen aus den folgenden Registrierungspfaden auswirken: HKEY_LOCAL_MACHINE\Software\Policies HKey_CURRENT_USER\Software\Policies. Bei der Konfiguration dieser Einstellungen über die Internetoptionen werden diese Einstellungen in anderen Registrierungspfaden gespeichert (beispielsweise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Inter net Settings\Lockdown_Zones\1). Diese Vorgehensweise vermeidet Probleme durch dauerhafte Einstellungen. Sie kann jedoch beim Vergleich der Ergebnisse bestimmter Einstellungen über die Gruppenrichtlinie und die Internetoption für Verwirrung sorgen. Anmerkung: Mit dauerhaft sind in diesem Fall Gruppenrichtlinieneinstellungen gemeint, die auch dann effektiv bleiben, wenn sich das Computer- oder Benutzerkonto nicht mehr im Einflussbereich der entsprechenden Gruppenrichtlinien befindet. Zu den entsprechenden Einstellungen gehören beispielsweise alle in domänenbasierten Gruppenrichtlinien unter dem Pfad Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen konfigurierten Einstellungen. Übersicht der Kapitel Der Internet Explorer 8-Sicherheitsleitfaden setzt sich aus den folgenden drei Kapiteln sowie einem Anhang zusammen: Kapitel 1: Implementieren der Internet Explorer 8Sicherheitsbasis Dieses Kapitel umfasst Verfahren zur Implementierung vorgegebener Sicherheitseinstellungen zur Verbesserung der Standardsicherheit von Internet Explorer 8 auf Clientcomputern. Das Kapitel befasst sich zudem mit der empfohlenen Bereitstellungskonfiguration für Gruppenrichtlinien und den Supportanforderungen für die zwei definierten Sicherheitsumgebungen. Kapitel 2: Sicherheitsempfehlungen Dieses Kapitel befasst sich näher mit den sicherheitsbezogenen Funktionen und Gruppenrichtlinieneinstellungen von Internet Explorer 8. Die Empfehlungen zu den Einstellungen und Funktionen sind in die folgenden sechs Kategorien eingeordnet: Add-on-Verwaltung Deaktivierung von Active Scripting Zonensicherheit Zertifikatsicherheit Reduzierung der Anwendungsrechte Solution Accelerators microsoft.com/technet/SolutionAccelerators 4 Internet Explorer 8-Sicherheitsleitfaden Andere Sicherheitseinstellungen Zu jeder Einstellung finden Sie eine Beschreibung zu ihrer Wirkungsweise, zum Standardverhalten im Browser und zur empfohlenen Einstellungskonfiguration für die einzelnen Sicherheitsumgebungen. Kapitel 3: Empfehlungen zu Datenschutzeinstellungen In diesem Kapitel finden Sie Informationen zu Funktionen und Gruppenrichtlinieneinstellungen für Internet Explorer 8 aus dem Bereich Datenschutz. Die Einstellungen und Empfehlungen in diesem Kapitel befassen sich hauptsächlich mit den Funktionen InPrivate-Browsing und SmartScreenFilter. Anhang A: Sicherheitscheckliste Im Anhang finden Sie eine Checkliste aller zur Sicherung der Clientcomputer mit Internet Explorer 8 empfohlenen Funktionen und Einstellungen. Stilvereinbarungen Dieser Leitfaden nutzt die folgenden Stilkonventionen: Element Bedeutung Fett Text, der exakt so wie gezeigt eingeben werden muss oder angezeigt wird. Beispielsweise Befehle, Schalter und Dateinamen. Auch die Elemente der Benutzeroberfläche werden fett angegeben. Kursiv Buchtitel und andere wichtige Publikationen. Neue Begriffe bei ihrer ersten Nennung. <Kursiv> Platzhalter für Variablen. Monospace Programmcode und Skripte. Anmerkung Warnhinweise mit ergänzenden Informationen. Wichtig Wichtiger Hinweis mit Informationen, die für die Durchführung einer Aufgabe von grundlegender Bedeutung sind. Warnung Warnungen mit grundlegenden ergänzenden Informationen, die wahrgenommen werden sollten. ‡ Änderungen oder Empfehlungen für spezielle Gruppenrichtlinieneinstellungen. § Gruppenrichtlinieneinstellungen, die unter Windows 7 neu eingeführt wurden. Zusätzliche Informationen In den folgenden Ressourcen finden Sie zusätzliche Informationen zur Sicherheit in Internet Explorer 8: Internet Explorer 8-Homepage. Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) Überblick 5 Support und Feedback Das SA-SC-Team (Solution Accelerators – Security and Compliance) freut sich auf Ihre Meinung zu diesem und anderen Solution-Accelerators. Bitte senden Sie Ihre Fragen und Anmerkungen zu diesem Leitfaden an die folgende Adresse: [email protected] (bitte in englischer Sprache). Wir freuen uns darauf, von Ihnen zu hören. Danksagung Das SA-SC-Team dankt dem Team, das den Internet Explorer 8Sicherheitsleitfaden erstellt hat. Die folgenden Personen waren entweder direkt an der Erstellung beteiligt oder haben einen wichtigen Beitrag geleistet. Entwicklungsteam Entwicklung der Inhalte Kurt Dillard – kurtdillard.com Richard Harrison – Content Master Ltd. Entwickler Barry Hartmann Gerald Herbaugh Haikun Zhang – Beijing ZZZGroup Co. Ltd Jeff Sigman Jim Riekse José Maldonado Michael Tan ZhiQiang Yuan – Beijing ZZZGroup Co. Ltd. Redakteure John Cobb – Wadeware LLC Steve Wacker – Wadeware LLC Produktmanager Michelle Arney Shruti Kala Stephanie Chacharon – Xtreme Consulting Group Inc. Programmmanager Tom Cloward Release-Manager Cheri Ahlbeck – Aquent LLC Karina Larson Solution Accelerators microsoft.com/technet/SolutionAccelerators 6 Internet Explorer 8-Sicherheitsleitfaden Testmanager Sumit Parikh Tester Jaideep Bahadur – Infosys Technologies Ltd. Mansi Sharma – Infosys Technologies Ltd. Raxit Gajjar – Infosys Technologies Ltd. Weitere Mitwirkende und Lektoren Aaron Margosis, Blake Frantz – Center for Internet Security, Dan Fox, Daniel Taylor, Defense Information System Agency (DISA), Derek Seaman – Lockheed Martin, Fidelis Ekezue, Greg Cottingham, Guy Hunt, Juan Antonio Díaz Muñoz, Kathy Lambert, Lori Kingery, Mandy Tidwell, Nate Morin, Pete LePage, Rick Munck, Roger Grimes, Roger Podwoski, Susan Bradley – www.sbsdiva.com, Susan Fosselman, Steven Rolnick, Tim Clark, TJ Onishile, Yung Chou Anmerkung: Auf Anfrage von Microsoft hat sich das National Security Agency Information Assurance Directorate am Review dieses Microsoft-Sicherheitsleitfadens beteiligt und Anmerkungen bereitgestellt, die in die endgültige Version des Leitfadens eingeflossen sind. Während der Entwicklung dieses Microsoft-Leitfadens und der entsprechenden SicherheitsBasiseinstellungen haben Mitglieder des Center for Internet Security gemeinsam mit Microsoft Anmerkungen bereitgestellt, die in die endgültige Version des Leitfadens eingeflossen sind. Solution Accelerators microsoft.com/technet/SolutionAccelerators (engl.) Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis Windows® Internet Explorer® 8 baut auf den Sicherheitsverbesserungen und -erweiterungen von Internet Explorer 7 auf. Es wurden verschiedene neue Sicherheitsfunktionen und -designs – beispielsweise der geschützte Modus und ActiveX® Opt-In – eingeführt. Sie sorgen für zusätzliche Sicherheitsebenen und so für einen tief greifenderen Sicherheitsansatz. Andere neue Funktionen wie beispielsweise der Phishing-Filter schützen die Benutzer vor Angriffen, die auf ihre persönlichen Informationen abzielen. Dieser Leitfaden bietet keine detaillierte Beschreibung der Sicherheitserweiterungen in älteren Versionen von Internet Explorer. Entsprechende Informationen erhalten Sie im Internet Explorer-TechCenter. Die Fortschritte in Internet Explorer 8 schützen die Benutzer vor vielen der aktuellsten Onlinebedrohungen. Sie schaffen außerdem eine klarere Benutzeroberfläche im Rahmen von Sicherheitsentscheidungen. Die Einstellungen in Internet Explorer 8 wurden so entworfen, dass sie für einen großen Teil der weltweiten Benutzer eine möglichst gute Balance zwischen Usability und Sicherheit bieten. Internet Explorer 8 führt des Weiteren ganz neue Möglichkeiten und Funktionen für den Datenschutz ein. Diese unterstützen die Benutzer darin, die Kontrolle über ihre Aktivitäten und Informationen im Internet zu behalten. Dieser Leitfaden konzentriert sich auf die Sicherheitseinstellungen in Internet Explorer 8. Zu einem Review der optimalen Sicherung einer Anwendung gehören jedoch auch Informationen zur Sicherheit auf Host-Level. Diese Informationen werden in den Sicherheitsleitfäden zu Windows® 7 und Windows Vista® besprochen. Um Sicherheitslücken im Browser, in den BrowserAdd-ins und im Betriebssystem zu vermeiden, müssen Sie diese Elemente zudem regelmäßig aktualisierten. Wir empfehlen die Installation aller Betriebssystemupdates mithilfe von Tools wie Windows Server® Update Services (WSUS), Systems Management Server (SMS) 2003, Microsoft ® System Center Configuration Manager 2007 R2 oder automatische Updates. Sie sollten sich außerdem beim Microsoft Security Notification Service für die technischen Sicherheitsbenachrichtigungen anmelden. Weitere Informationen finden Sie in Anhang A, „Sicherheitscheckliste". Sie können die standardmäßige Browserkonfiguration mithilfe von Gruppenrichtlinienobjekten (Group Policy objects – GPOs) absichern. Alle empfohlenen Gruppenrichtlinieneinstellungen sind in der zu diesem Leitfaden gehörenden Excel®-Arbeitsmappe Internet Explorer 8 Security Baseline Settings beschrieben. Zur Bereitstellung der in diesem Kapitel besprochenen Einstellungen benötigen sie die folgenden Elemente: Eine OU-Struktur (Organizational Unit – Organisationseinheit) für Ihre Umgebung. Den Security Compliance Manager aus diesem Leitfaden zur Erstellung der GPOs für Ihre Umgebung. Die Gruppenrichtlinienverwaltungskonsole (GPMC) zur Verknüpfung und Verwaltung der GPOs. Solution Accelerators microsoft.com/technet/SolutionAccelerators 8 Internet Explorer 8 Security Guide Warnung: Es ist von grundlegender Bedeutung, Ihr OU- und GPO-Design vor der Bereitstellung in der Produktivumgebung gründlich zu testen. Die Basis-GPOs aus diesem Leitfaden enthalten eine Kombination aus getesteten Einstellungen zur Verbesserung der Sicherheit der Clientcomputer unter Windows 7 in den folgenden zwei Sicherheitsumgebungen: Unternehmensclient (Enterprise Client; EC) Spezielle Sicherheit – eingeschränkte Funktionalität (Specialized Security – Limited Functionality; SSLF) Einschränkung der Benutzerrechte Eine der effektivsten Maßnahmen bei der Verbesserung der Sicherheit von Computern unter Windows® XP, Windows Vista und Windows 7 ist es, das Anmelden der Benutzer über Standardkonten sicherzustellen. Die Benutzer sollten Konten mit erweiterten Berechtigungen nur dann nutzen, wenn sie administrative Aufgaben durchführen müssen. Gleiches gilt auch für Webbrowser. Unter normalen Umständen sollten die Benutzer Internet Explorer mit Standardberechtigungen starten und so sicherstellen, dass der geschützte Modus das Risiko durch schädlichen Programmcode reduziert. So ist bei einer Kompromittierung durch Malware gewährleistet, dass sich der schädliche Code nur auf das Profil des Benutzers auswirkt – denn er ist auf die Berechtigungen des Benutzers beschränkt. Benutzer mit administrativen Berechtigungen können außerdem die in diesem Leitfaden besprochenen Einstellungen umkonfigurieren und so für ein höheres Kompromittierungsrisiko sorgen. Umgebung „Unternehmensclient“ (EC) Die EC-Umgebung setzt sich aus einer Domäne mit Active Directory® Domain Services (AD DS) mit Computern unter Windows Server® 2008, Windows Server® 2003 R2 oder Windows Server 2003 SP2 und durch Active Directory verwaltete Clientcomputer unter Windows 7, Windows Vista oder Windows XP Professional SP3 zusammen. Die Clientcomputer werden in dieser Umgebung über Gruppenrichtlinien verwaltet. Die Gruppenrichtlinien werden auf Standorte, Domänen und OUs angewandt. Gruppenrichtlinien sind eine zentralisierte Infrastruktur in Active Directory, mit der verzeichnisbasierte Änderungen und Konfigurationen für Benutzer- und Computereinstellungen implementiert werden können. Die EC-Sicherheitsbasis sorgt für eine erweiterte Sicherheit mit einer für den größten Teil aller Organisation ausreichenden Funktionalität für das Betriebssystem und die Anwendungen. Umgebung „Spezielle Sicherheit – eingeschränkte Funktionalität“ (SSLF) Die SSLF-Sicherheitsbasis in diesem Leitfaden ist für hochsichere Umgebungen mit Computern mit Internet Explorer 8 gedacht. In dieser Umgebung sind die Anforderungen an die Sicherheit so hoch, dass ein erheblicher Verlust an Funktionalität und Verwaltbarkeit akzeptabel ist. Warnung: Die SSLF-Sicherheitseinstellungen sind für die meisten Organisationen nicht geeignet. Sie wurden für Organisationen entwickelt, in denen Sicherheit wichtiger als die Funktionalität ist. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 9 Wenn Sie sich dazu entscheiden, die SSLF-Konfigurationseinstellungen für die Clientcomputer Ihrer Umgebung bereitzustellen, dann wird durch die eingeschränkte Funktionalität wahrscheinlich die Anzahl der Anrufe beim Helpdesk steigen. Die Konfiguration sorgt zwar für mehr Sicherheit für die Daten und das Netzwerk, sie sorgt jedoch auch dafür, dass einige möglicherweise erforderliche Komponenten nicht mehr ausgeführt werden (beispielsweise ist der Zugriff auf ActiveX®-Steuerelemente gesperrt – was den Zugriff auf spezielle Funktionen einiger Websites behindern kann). Die SSLF-Sicherheitsbasis ist nicht als Zusatz zur EC-Sicherheitsbasis gedacht. Die SSLF-Sicherheitsbasis sorgt für eine ganz andere Sicherheit. Versuchen Sie daher nicht, die SSL- und EC-Sicherheitsbasis auf denselben Computern anzuwenden. Im Rahmen dieses Leitfadens ist es daher notwendig, zuerst die für Ihre Umgebung erforderliche Sicherheitsstufe zu ermitteln und sich dann für die EC- oder die SSLF-Sicherheitsbasis zu entscheiden. Zum Vergleich der Einstellungen der EC- und SSLF-Sicherheitsbasis können Sie die ExcelArbeitsmappe Internet Explorer 8 Security Baseline Settings aus diesem Leitfaden nutzen. Wichtig: Wenn Sie die SSLF-Sicherheitsbasis einsetzen möchten, dann sind umfassende Tests der Computer Ihrer Umgebung nach der Anwendung der Sicherheitsbasis erforderlich. Nur so können Sie sicherstellen, dass keine erforderlichen Funktionalitäten von den neuen Einstellungen verhindert werden. Verwalten von Internet Explorer 8 Abhängig von der Größe und Komplexität Ihrer Organisationen gibt es zwei Optionen zur zentralisierten Administration der Einstellungen von Internet Explorer 8: das Internet Explorer Administration Kit (IEAK) 8 und Active Directory-GPOs. Es gibt einige Einstellungen, die Sie nur über das IEAK oder nur über GPOs konfigurieren können. Wo immer möglich stellt dieser Leitfaden Informationen zu beiden Varianten zur Verfügung. Um die optimale Lösung für Ihre Umgebung auswählen zu können, benötigen Sie ein Verständnis der beiden Lösungen. Grundsätzlich kann man sagen, dass das IEAK für Organisationen ohne Active Directory-Infrastruktur gedacht ist. Es ermöglicht außerdem eine Anpassung des Browsers (inklusive Einstellungen und Optionen). Das IEAK ermöglicht Administratoren die einfache Erstellung von Dateien für angepasste Konfigurationseinstellungen. Diese Dateien werden dann während der Installation angewandt. Mit dem IEAK können viele, aber nicht alle Internet Explorer 8-Einstellungen angepasst werden. Die IEAK-Anpassungen bleiben außerdem nur so lange erhalten, bis der Benutzer sie ändert. Bei der internen Bereitstellung können Sie die IEAK-Einstellungen in bestimmten Intervallen anwenden. So können Sie sicherstellen, dass die Einstellungen auch nach der Installation den Unternehmensstandards entsprechen. Die neue Option Internet Explorer-Einstellungen zurücksetzen sorgt dafür, dass die Installation auf die angepassten Einstellungen zurückgesetzt wird und setzt ActiveX Opt-In-Einstellungen auf ihre Standardwerte zurück und deaktiviert zudem alle auf dem Computer installierten Symbolleisten und Erweiterungen (sie werden jedoch nicht entfernt). Mit GPOs können Sie sauber definierte Installationskonfigurationen erstellen, die regelmäßig über die Gruppenrichtlinienmechanismen aktualisiert werden, und so Änderungen durch die Benutzer verhindern. Mit GPO-Einstellungen können Sie hunderte von Einstellungen und Optionen von Internet Explorer 8 steuern. Die Arbeit mit GPOs ist jedoch komplexer als die mit dem IEAK. Nach der Definition und Anwendung einer GPO-Vorlage folgen alle betroffenen Systeme der Konfiguration so lange, bis diese von einem Administrator Solution Accelerators microsoft.com/technet/SolutionAccelerators 10 Internet Explorer 8 Security Guide geändert wird. Die Veränderung der Einstellungen durch den Benutzer ist in vielen Fällen einfach nicht möglich oder wird ignoriert. In einigen Fällen ist es eventuell noch möglich, Änderungen vorzunehmen. Diese Änderungen werden jedoch bei der nächsten Richtlinienanwendung überschrieben und auf die Einstellungen zurückgesetzt. Wir empfehlen Unternehmenskunden den Einsatz von GPOs in einer Active Directory-Infrastruktur. Nur so können Sie sicherstellen, dass die Sicherheitseinstellungen durchgesetzt und nicht verändert werden. Das Zonenmodell Mit Internet Explorer steht Administratoren ein Sicherheitsfunktion zur Verfügung, das andere Browser nicht anbieten: Die Möglichkeit, Sicherheitseinstellungen für verschiedene Klassen von Websites festlegen zu können. Im Gegensatz zu den meisten anderen Browsern legt Internet Explorer die Sicherheitsstufe fest, indem die Webseite auf Basis ihrer Herkunft in eine URL-Sicherheitszone kategorisiert wird. Die fünf Sicherheitszonen sind Lokaler Computer (in der Benutzeroberfläche von Internet Explorer nicht sichtbar), Internet, Lokales Internet, Vertrauenswürdige Sites und Eingeschränkte Sites. Websites auf dem lokalen Computer werden in die Zone Lokaler Computer eingeordnet, Remoteserver befinden sich in der Zone Internet, und Websites im lokalen Netzwerk sind in der Zone Lokales Internet. Websites auf Servern, die vom Benutzer oder Administrator als möglicherweise schadhaft definiert wurden, werden in die Zone Eingeschränkte Sites kategorisiert. Websites auf Servern, die vom Benutzer oder Administrator als vertrauenswürdig eingestuft wurden, werden in die Zone Vertrauenswürdige Sites eingeordnet. Anmerkung: Auf Computern, die nicht Domänen angehören, ist die Zone Lokales Intranet deaktiviert, und die Sites, die normalerweise in dieser Zone eingeordnet werden, werden stattdessen in der Zone Internet eingeordnet. Die Zone Lokaler Computer ist über die Internet Explorer-Benutzeroberfläche nicht sichtbar. Jede der Zonen hat unterschiedliche Sicherheitseinstellungen. Internet Explorer nutzt hierzu URL-Sicherheitszonenvorlagen. Standardmäßig gibt es fünf Vorlagen: hoch, mittel, niedrig und sehr niedrig. Die Sicherheitszonen sind den jeweiligen URL-Vorlagen zugeordnet. Tabelle 1.1: Zuordnung der Sicherheitszonen Sicherheitszone Sicherheitsebene Beschreibung (standardmäßige URL-Sicherheitszone) Lokaler Computer Angepasst Alle Inhalte auf dem Computer des Benutzers (mit Ausnahme der Inhalte, die Internet Explorer auf dem lokalen System zwischenspeichert) sind sehr vertrauenswürdig. Diese Zone kann nicht in Internet Explorer konfiguriert werden. Internet Mittelhoch Die Zone Internet setzt sich aus allen Websites zusammen, die nicht in einer anderen Zone angeordnet werden. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 11 Sicherheitszone Sicherheitsebene Beschreibung (standardmäßige URL-Sicherheitszone) Lokales Internet Niedrig (nur auf Computern, die Domänenmitglieder sind) Alle Websites dieser Zone sollten sich hinter der Firewall befinden. Die Proxyserver sollten so konfiguriert werden, dass ein externer DNS-Name für diese Zone nicht ausgelöst werden kann. Vertrauenswürdige Sites Mittel Seiten in dieser Zone dürfen mehr Aktionen durchführen als andere Websites. Die Benutzer werden weniger oft dazu aufgefordert, Sicherheitsentscheidungen zu treffen. Externe Seiten sollten nur dann zu dieser Zone hinzugefügt werden, wenn Sie allen Inhalten der Site vertrauen und die Site niemals schädliche Aktionen durchführen wird. Eingeschränkte Sites Hoch Diese Zone enthält Sites, die als nicht vertrauenswürdig eingestuft wurden. Die Standardeinstellungen für diese Zone schränken Webfunktionen ein, blockieren den Zugriff auf die Sites jedoch nicht. Websites können vom Benutzer oder über Gruppenrichtlinien zu dieser Zone hinzugefügt werden. Zusätzlich zu diesen Zonen gibt es entsprechende gesperrte Zonen, die über die Benutzeroberfläche von Internet Explorer nicht angezeigt werden. Die Einstellungen für gesperrte Zonen für Lokaler Computer werden durch eine Funktion mit dem Namen „Sperrung der Zone des lokalen Computers“ (“Local Machine Zone Lockdown" – LMZL) aus Windows XP SP2 genutzt. Wenn eine Webseite in der Zone Lokaler Computer geöffnet wird, dann wird diese standardmäßig mit restriktiveren Berechtigungen in der gesperrten Zone ausgeführt. Versucht der Inhalt der Website, ein ActiveX-Element oder ein Skript auszuführen, dann wird dem Benutzer eine Informationsleiste angezeigt, über die er dies zulassen kann. Lässt der Benutzer den blockierten Inhalt zu, so nutzt Internet Explorer die weniger restriktiven normalen Einstellungen für die Zone Lokaler Computer – und zwar für die gesamte Lebensdauer der Browserregisterkarte in Internet Explorer 7 und Internet Explorer 8 oder des Browserfensters in Internet Explorer 6. Die anderen gesperrten Zonen werden für die in der Gruppenrichtlinie definierten Protokolle eingesetzt. Die Einstellungen werden in verschiedenen Pfaden in der Registrierung gespeichert (abhängig von der Konfiguration der Einstellung und davon, ob sie für Benutzer oder Computer gilt). In der folgenden Tabelle sind diese Pfade zusammengefasst. Solution Accelerators microsoft.com/technet/SolutionAccelerators 12 Internet Explorer 8 Security Guide Tabelle 1.2: Registrierungspfade für Zoneneinstellungen Benutzereinstellungen Computer- Über einstellun- Gruppengen richtlinien konfiguriert Lokal über Internetoptionen konfiguriert Pfad HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\ CurrentVersion\Internet Settings\Zones HKEY_CURRENT_USER\Softwar e\Policies\Microsoft\Internet Explorer\Zones\ HKEY_CURRENT_USER\Softwar e\Policies\Microsoft\Internet Explorer\Lockdown_Zones\ HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows \ CurrentVersion\Internet Settings\Zones\ HKEY_LOCAL_MACHINE\ Software\Policies\Microsoft\ Windows\CurrentVersion\ Internet Settings\Zones\ HKEY_LOCAL_MACHINE\ Software\Policies\Microsoft\ Windows\CurrentVersion\ Internet Settings\ LockdownZones\ Unter den genannten Pfaden gibt es Unterschlüssel für die einzelnen Sicherheitszonen. Diese Unterschlüssel sind: 0 = Zone Lokaler Computer 1 = Zone Lokales Intranet 2 = Zone Vertrauenswürdige Sites 3 = Zone Internet 4 = Zone Eingeschränkte Sites Die URL-Sicherheitszonenvorlagen legen fest, welche Aktionen Webseiten durchführen können. Die URL-Sicherheitszonenvorlage „Hoch“ definiert beispielsweise, dass ActiveX-Steuerelemente oder Skripte für die Webseite nicht erlaubt sind. Standardmäßig können Seiten aus der Zone Eingeschränkte Sites die entsprechenden Funktionalitäten daher nicht nutzen. Weitere Informationen zu URL-Sicherheitszonen und Vorlagen finden Sie im MSDN®Artikel Über URL-Sicherheitszonen (engl.). Bearbeitung der Zoneneinstellungen Es gibt für die Benutzer mehrere Möglichkeiten zur Änderung der Zoneneinstellungen im Dialogfenster Internetoptionen: Sie können den Regler für die Sicherheitszone unter der Registerkarte Sicherheit auf die gewünschte URL-Sicherheitszonenvorlage Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 13 (Sicherheitsstufe) festlegen. Ein Benutzer könnte beispielsweise für die Zone Internet die Sicherheitsstufe von Niedrig auf Mittel ändern. Sie können über den Schalter Stufe anpassen auf der Registerkarte Sicherheit spezielle Einstellungen für die jeweilige Zone eingeben. Sie können mit einem Klick auf den Schalter Sites auf der Registerkarte Sicherheit Websites zu einer Zone hinzufügen (für die Zone Internet steht diese Option nicht zur Verfügung – sie enthält per Definition alle Websites, die nicht in andere Zonen kategorisiert sind). Bei der Zone Lokales Intranet funktioniert der Sites-Schalter anders. Bei dieser Zone können Sie mit dem Schalter festlegen, ob das Internet-Netzwerk automatisch erkannt wird (Standardeinstellung), oder die für die Erkennung zu verwendenden Kriterien definieren. Sie können alle lokalen (Intranet) Websites, die sich nicht in anderen Zonen befinden, alle Sites, die nicht über den Proxy-Server abgerufen werden, und alle UNC-Netzwerkpfade (Universal Naming Convention) einschließen. Es ist über den Schalter Erweitert im Dialogfenster mit den Einstellungen weiterhin möglich, lokale Sites einzutragen. Wenn Sie einen vollqualifizierten Domänennamen (Fully Qualified Domain Names – FQDN) zur Erkennung von Intranet-Sites nutzen möchten, dann müssen Sie diese Sites manuell zur Zone Lokales Intranet hinzufügen. Dies liegt daran, dass Internet Explorer Hosts mit Punkten im FQDN zur Zone Internet zuweist. Administratoren möchten die Benutzer in der Bearbeitung der Zoneneinstellungen oft einschränken. Weitere Informationen dazu, wie Sie dies realisieren, finden Sie in Kapitel 2, „Sicherheitsempfehlungen“. Zonenbestimmung Das grundlegende Konzept der Zonen-Sicherheitsberechtigungen ist leicht zu verstehen. Um Computer effektiver verwalten zu können, ist es jedoch hilfreich, auch die eigentliche Logik hinter der Zonenbestimmung zu kennen. Kern des Bestimmungsprozesses ist die Eingabe in die Adressleiste – nicht der DNS-IP-Wert oder die Netzwerkmaske. Die erste grundlegende Regel lautet also: Die Zonenbestimmung basiert auf der Benutzereingabe in die Adressleiste. Standardmäßig werden die folgenden weiteren Regeln zur Zonenbestimmung genutzt: Alle Sites, die in der Zone Eingeschränkte Sites aufgeführt sind, werden in dieser Zone geöffnet. Alle Sites, die in der Zone Vertrauenswürdige Sites aufgeführt sind, werden in dieser Zone geöffnet. Alle Sites, die in der Zone Lokales Intranet aufgeführt sind, werden in dieser Zone geöffnet. Alle Sites auf der Proxy-Bypass-Liste werden in der Zone Lokale Intranet geöffnet. Eingaben ohne Punkt in der Adressleiste, die aufgelöst werden können, werden in der Zone Lokales Intranet geöffnet (zum Beispiel http://local). Andere Sites werden in der Zone Internet geöffnet. Anmerkung: Sites können nicht zu mehr als einer Zone hinzugefügt werden. Sie sollten sich bewusst machen, dass durch diese Regeln manchmal IntranetSites in der Zone Internet geöffnet werden. Dies passiert beispielsweise dann, wenn die Intranet-Site über eine IP-Adresse oder einen FQDN geöffnet wird (der Name enthält in diesem Fall Punkte). Solution Accelerators microsoft.com/technet/SolutionAccelerators 14 Internet Explorer 8 Security Guide Jenseits des Zonenmodells: Allgemeine Sicherheitseinstellungen Internet Explorer 8 umfasst des Weiteren Sicherheitseinstellungen, die nicht zonenspezifisch sind. Diese Einstellungen finden Sie unter den Registerkarten Datenschutz, Inhalte und Erweitert der Internetoptionen. Sie werden weiter unten in diesem Leitfaden genauer besprochen. Sicherheitsdesign Das in diesem Kapitel empfohlene Sicherheitsdesign bildet den Startpunkt für die in diesem Leitfaden genutzten Szenarien und die Abschwächungsvorschläge für die Szenarien. In den weiteren Abschnitten dieses Kapitels erfahren Sie mehr zur Sicherheits-Kernstruktur: OU-Design für Sicherheitsrichtlinien GPO-Design für Sicherheitsrichtlinien Microsoft empfiehlt dringend, dass Sie Ihre eigenen Tests in einer Laborumgebung durchführen, bevor Sie neue Sicherheitsrichtlinien für Computer in Produktivumgebungen nutzen. Die in diesem Leitfaden empfohlenen und in den Sicherheitsbasiskonfigurationen im SCM-Tool angegebenen Einstellungen wurden sorgfältig getestet. Wie in fast jedem Netzwerk gibt es jedoch wahrscheinlich auch in Ihrem Netzwerk Anwendungen, auf die einige dieser Einstellungen Auswirkungen haben. Es ist daher extrem wichtig, die Einstellungen vor der Implementierung in einer Produktivumgebung gründlich zu testen. OU-Design für Sicherheitsrichtlinien Die Microsoft-Sicherheitsleitfäden für Windows, Office und Internet Explorer nutzen OUs. Eine OU ist ein Container in einer Domäne mit AD DS. Eine OU kann Benutzer, Gruppen, Computer und andere OUs enthalten. Enthält eine OU andere OUs, dann wird sie als übergeordnete OU bezeichnet. Eine OU in einer übergeordneten OU ist hingegen eine untergeordnete OU. Sie können ein GPO mit einer OU verknüpfen. Die GPO-Einstellungen werden dann auf die Benutzer und Computer in der OU und in allen untergeordneten OUs angewandt. Zur einfacheren Administration können Sie die administrative Gewalt über jede einzelne OU delegieren. OUs sind eine effektive Möglichkeit, die administrativen Grenzen für Benutzer und Computer aufzuteilen. Da einige Einstellungen nur für Benutzer und einige nur für Computer gelten, empfiehlt Microsoft, die Benutzer und Computer unterschiedlichen OUs zuzuweisen. Mit dem Delegierungsassistenten können Sie im MMC-Snap-In Active Directory-Benutzer und -Computer die Kontrolle über eine Gruppe von OUs oder über einzelne OUs delegieren. Links zu weiteren Dokumenten zu diesem Thema finden Sie im Abschnitt „Zusätzliche Informationen“ am Ende dieses Kapitels. Eines der Hauptziele eines OU-Designs ist es, eine Basis für die nahtlose Implementierung von Gruppenrichtlinien für alle Computer im AD DS zu schaffen. Nur so kann sichergestellt werden, dass alle Computer den Sicherheitsstandards Ihrer Organisation entsprechen. Das OU-Design muss eine Struktur aufweisen, die zu den Anforderungen der unterschiedlichen Benutzer einer Organisation an die Sicherheitseinstellungen passt. Entwickler benötigen beispielsweise oft Zugriffsmöglichkeiten auf ihre Computer, die normale Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 15 Benutzer nicht brauchen. Auch Notebookbenutzer haben andere Anforderungen als der normale Durchschnittsbenutzer. In der folgenden Abbildung sehen Sie eine einfache OU-Struktur, die für die Diskussion rund um die Gruppenrichtlinien aus diesem Kapitel ausreicht. Diese OU-Struktur muss aber natürlich nicht zwingend den Anforderungen Ihrer Organisation entsprechen. Abbildung 1.1: Beispiel für eine OU-Struktur für Computer unter Windows 7 und Windows Server 2008 Domänenstamm Einige Sicherheitseinstellungen sollten für die gesamte Domäne angewandt werden. Sie legen fest, wie die Domäne insgesamt konfiguriert ist. Die entsprechenden Einstellungen können in ein GPO aufgenommen werden, das der Domäne selbst zugewiesen wird. In diesem Container befinden sich keine Benutzer und Computer. OU Domänencontroller Auf den Domänencontrollern sind einige der sensibelsten Daten in Ihrer Organisation gespeichert – beispielsweise Daten, die der Sicherheitskonfiguration selbst dienen. Hier angewandte GPOs konfigurieren und schützen die Domänencontroller. OU Mitgliedsserver Diese OU enthält die unten aufgeführten untergeordneten OUs. GPOs, die dieser OU zugewiesen werden, sollten Einstellungen enthalten, die auf alle Server, aber nicht auf die Arbeitsstationen angewandt werden sollen. OUs für die Serverrollen Microsoft empfiehlt, für jede in der Organisation eingesetzte Serverrolle eine OU anzulegen. Jede OU sollte nur die entsprechende Art Servercomputer enthalten. So haben Sie die Möglichkeit, GPO-Einstellungen speziell für die einzelnen Serverrollen zu definieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators 16 Internet Explorer 8 Security Guide Natürlich können Sie bestimmte Rollen auch auf einem Server kombinieren. Sie können beispielsweise Datei- und Druckdienste auf einem Server zusammenfassen. In diesem Fall erstellen Sie einfach eine OU für die kombinierten Serverrollen (zum Beispiel mit dem Namen „Datei- und Druckserver“) und verknüpfen dann alle entsprechenden rollenspezifischen GPOs mit der OU. Wichtig: Zur Kombination von Serverrollen auf einem Computer sind eine sorgfältige Planung und saubere Tests erforderlich. Nur so können Sie sicherstellen, dass sich keine negativen Effekte auf die Gesamtsicherheit der kombinierten Serverrollen ergeben. OU Abteilung Sicherheitsanforderungen sind innerhalb einer Organisation oft sehr unterschiedlich. Aus diesem Grund macht es Sinn, eine oder mehrere Abteilungs-OUs zu erstellen. So haben Sie die Möglichkeit, Sicherheitseinstellungen aus GPOs für Computer und Benutzer in bestimmten Abteilungen festzulegen. OU Windows 7-Benutzer Diese enthält die Benutzerkonten für das EC-Szenario. Die Einstellungen für diese OU werden in der zu diesem Leitfaden gehörenden Excel-Arbeitsmappe Windows 7 Security Baseline Settings beschrieben. OU Windows 7-Computer Diese OU enthält untergeordnete OUs für die einzelnen Clientcomputertypen unter Windows 7 aus dem EC-Szenario. Dieser Leitfaden konzentriert sich auf die Sicherheit von Desktop- und Notebookcomputern. Aus diesem Grund wurden die folgenden untergeordneten OUs erstellt: OU Desktops: Diese OU enthält die Desktopcomputer, die permanent mit dem Netzwerk verbunden sind. Die Einstellungen für diese OU werden in der zu diesem Leitfaden gehörenden Excel-Arbeitsmappe Windows 7 Security Baseline Settings beschrieben. OU Notebooks: Diese OU enthält die Notebookcomputer der mobilen Benutzer, die nicht permanent mit dem Netzwerk verbunden sind. Die Einstellungen für diese OU werden in der zu diesem Leitfaden gehörenden Excel-Arbeitsmappe Windows 7 Security Baseline Settings beschrieben. GPO-Design für Sicherheitsrichtlinien Ein GPO ist eine Sammlung von Gruppenrichtlinieneinstellungen, die grundsätzlich aus den mithilfe des Snap-Ins Gruppenrichtlinien erstellten Dateien besteht. Die Einstellungen werden auf Domänenebene gespeichert und wirken sich auf Benutzer und Computer in Standorten, Domänen und OUs aus. Sie können GPOs dazu nutzen, bestimmte Einstellungen, Benutzerrechte und Computereinstellungen auf alle Clientcomputer oder Benutzer einer OU anzuwenden. Durch die Nutzung von Gruppenrichtlinien statt einer manuellen Konfiguration wird es einfacher, Änderungen für viele Computer und Benutzer zu verwalten und durchzuführen. Da viele Mitarbeiter viele Computer vor Ort besuchen müssten, ist eine manuelle Konfiguration nicht nur ineffizient, sondern auch ineffektiv. Dies liegt primär daran, dass die Einstellungen in domänenbasierten GPOs die lokal definierten Einstellungen überschreiben. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 17 Abbildung 1.2: GPO-Prioritätsreihenfolge In der Abbildung oben sehen Sie die Reihenfolge, in der GPOs auf einem Computer in einer untergeordneten OU angewandt werden – von der geringsten Priorität (1) bis hin zur höchsten Priorität (5). Als Erstes werden die lokalen Sicherheitsrichtlinien jeder Arbeitsstation angewandt. Danach werden die GPOs auf Standortebene und dann die auf Domänenebene angewandt. Befinden sich Computer mit Windows Server 2008, Windows Server 2003 SP2 oder höher oder Windows Vista SP1 oder Windows XP Professional SP3 oder höher in untergeordneten OUs, so werden die GPOs von der übergeordneten OU bis hin zur untersten untergeordneten OU angewandt. Diese Reihenfolge der GPO-Verarbeitung ist von großer Bedeutung – denn Änderungen, die später im Prozess angewandt werden, überschreiben die vorher im Prozess angewandten Änderungen. Unterschiedliche Werte für eine Einstellung in unterschiedlichen GPOs werden nicht kombiniert. Dies gilt nicht nur für Computer-GPOs, sondern auch für Benutzer-GPOs. Beim Design von Gruppenrichtlinien müssen die folgenden Überlegungen berücksichtigt werden: Ein Administrator muss eine Reihenfolge für die Anwendungen mehrerer mit einer OU verknüpfter GPOs festlegen. Andernfalls werden die Gruppenrichtlinien in der Reihenfolge angewandt, in der sie mit der OU verknüpft wurden. Die Reihenfolge sehen Sie in der Liste Verknüpfungsreihenfolge der GPMC. Ist eine der Einstellungen in mehreren Richtlinien konfiguriert, so hat die aus der obersten Richtlinie in der Richtlinienliste Vorrang. Sie können ein GPO mit der Option Vorrang konfigurieren. Mit dieser Option können andere GPOs die Einstellungen aus diesem GPO jedoch nicht mehr überschreiben. Gruppenrichtlinieneinstellungen gelten für Benutzer und Computer (auf Basis des jeweiligen Speicherortes der Benutzer- und Computerobjekte in AD DS). In einigen Fällen sind möglicherweise Richtlinien für Benutzerobjekte auf Basis des Speicherortes des jeweiligen Computerobjekts statt des Benutzerobjekts erforderlich. Mit der LoopbackFunktion haben Sie die Möglichkeit, BenutzerGruppenrichtlinieneinstellungen auf Basis des Computers, an dem sich der Benutzer angemeldet hat, anzuwenden. Weitere Informationen zu diesem Thema finden Sie im Artikel Loopbackverarbeitung von Gruppenrichtlinien. Sie können Active Directory-Standorte, -Domänen und -OUs mit der Option Richtlinienvererbung blockieren konfigurieren. Diese Option blockiert GPO-Einstellungen aus GPOs, die sich weiter oben in der Active Solution Accelerators microsoft.com/technet/SolutionAccelerators 18 Internet Explorer 8 Security Guide Directory-Hierarchie befinden (es sei denn, bei diesen ist die Option Vorrang aktiviert). Die Option Vorrang hat also auch Vorrang vor der Option Richtlinienvererbung blockieren. Anmerkung: Die Optionen Vorrang und Richtlinienvererbung blockieren sollten mit größtmöglicher Vorsicht genutzt werden. Sie können dafür sorgen, dass die Fehlersuche bei GPOs schwierig und mühsam wird. Empfohlene GPOs Um das oben beschriebene OU-Design zu implementieren, sind mindestens die folgenden GPOs erforderlich: Eine Richtlinie für die Domäne. Eine Richtlinie mit einer Sicherheitsbasis für alle Domänencontroller. Eine Richtlinie mit einer Sicherheitsbasis für alle Mitgliedsserver. Eine Richtlinie für jede Serverrolle in Ihrer Organisation. Eine Richtlinie für die OU Windows 7-Benutzer. Eine Richtlinie für die OU Desktops. Eine Richtlinie für die OU Notebooks. Die folgende Abbildung erweitert die vorläufige OU-Struktur und zeigt die Verknüpfungen zwischen den GPOs und dem OU-Design. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 19 Abbildung 1.3: Beispiel zur OU-Struktur und GPO-Verknüpfungen für Computer unter Windows 7 und Windows Server 2008 Dieser Leitfaden deckt nur ein einziges Produkt von Microsoft ab. In der oben dargestellten Abbildung sind jedoch Empfehlungen aus verschiedenen Sicherheitsleitfäden aus der Security Compliance Management Toolkit-Serie eingeflossen: Windows Server 2008-Sicherheitsleitfaden Windows 7-Sicherheitsleitfaden 2007 Microsoft Office-Sicherheitsleitfaden Internet Explorer 8.0-Sicherheitsleitfaden Vermutlich werden in Ihrem Netzwerk verschiedene Versionen von Windows, Office und Internet Explorer ausgeführt. Das Beispiel aus der Abbildung oben ist nur ein fiktives Design. Sie müssen eine eigene OU-Hierarchie entwerfen, die an die in Ihrer Umgebung eingesetzten Versionen angepasst ist. Im oben gezeigten Beispiel sind die Notebookcomputer Mitglieder der OU Notebooks. Die erste Richtlinie, die auf die Notebooks angewandt wird, ist die lokale Sicherheitsrichtlinie. Da es in diesem Beispiel nur einen Standort gibt, wird kein GPO auf Standortebene angewandt. Daher ist das Domänen-GPO die nächste angewandte Richtlinie. Als Letztes wird das GPO der OU Notebooks angewandt. Sie sehen in der Abbildung außerdem, dass ein Dateiserver Mitglied der OU Dateiserver ist. Auch auf dem Dateiserver wird als Erstes die lokale Sicherheitsrichtlinie angewandt. Auf Servern werden jedoch normalerweise, wenn überhaupt, nur wenige Konfigurationen über die lokale Sicherheitsrichtlinie definiert. Stattdessen sollten sie immer über Gruppenrichtlinien durchgesetzt werden. Da es in diesem Beispiel nur einen Standort gibt, wird kein GPO auf Standortebene angewandt. Daher ist das Domänen-GPO die nächste auf die Server angewandte Richtlinie. Danach wird die Windows Server 2008 ECBasisrichtlinie der OU Mitgliedsserver angewandt. Und als Letztes werden die Richtlinien der OU Dateiserver angewandt. Betrachten wir als Beispiel für die Reihenfolge ein Szenario, in dem die Einstellung Anmeldung über Terminaldienste zulassen auf die folgenden OUs und Benutzergruppen angewandt ist: OU Mitgliedsserver – Gruppe Administratoren OU Dateiserver – Gruppen Remotedesktopbenutzer und Administratoren In einem solchen Szenario wäre die Anmeldemöglichkeit an Terminaldiensten für die Server in der OU Mitgliedsserver auf die Gruppe Administratoren beschränkt. Benutzer, deren Konto sich in der Gruppe Remotedesktopbenutzer befindet, können sich jedoch über die Terminaldienste an Dateiservern anmelden – denn die OU Dateiserver ist eine untergeordnete OU der OU Mitgliedsserver, und die Richtlinie hat daher eine höhere Priorität. Wenn Sie die Option Vorrang im GPO für die OU Mitgliedsserver aktivieren, dann können nur noch die Benutzer aus der Gruppe Administratoren über die Terminaldienste auf die Dateiserver zugreifen. Die Option Vorrang verhindert, dass die Richtlinie überschrieben wird. Einsatz eines mit dem Security Compliance Manager-Tool erstellten GPOs Die Empfehlungen zu den Einstellungen aus diesem Leitfaden stehen im SCMTool als vordefinierte Basiskonfiguration bereit. Sie können diese von Microsoft erstellten Basiskonfigurationen zwar so wie sie sind nutzen, in den meisten Solution Accelerators microsoft.com/technet/SolutionAccelerators 20 Internet Explorer 8 Security Guide Organisationen werden jedoch wahrscheinlich ein paar Anpassungen erforderlich sein. Erstellen Sie mit dem SCM-Tool eine Sicherung des jeweiligen GPOs (weitere Informationen zum SCM-Tool finden Sie in der Hilfe des Tools). Mit der GPMC können Sie die Einstellungen dann aus dem gesicherten GPO in Ihre AD DS-Domäne importieren. So importieren Sie Einstellungen aus einem gesicherten GPO in ein GPO: 1. Erweitern Sie in der GPMC-Konsolenansicht die Gesamtstruktur und die Domäne mit dem GPO, in das Sie die Einstellungen importieren möchten, und klicken sie dann auf den Ordner Gruppenrichtlinienobjekte. 2. Klicken Sie mit rechts auf das GPO, in das Sie die Einstellungen importieren möchten, und dann auf Einstellungen Importieren. 3. Folgen Sie den Anweisungen des Importeinstellungs-Assistenten. 4. Nachdem der Import abgeschlossen ist, wird Ihnen eine Zusammenfassung angezeigt, in der Sie sehen, ob der Import erfolgreich war. Nutzung von Migrationstabellen Da einige Daten in einem GPO domänenspezifisch sind und bei einem direkten Kopieren in eine andere Domäne nicht gültig sein können, stellt die GPMC Migrationstabellen bereit. Eine Migrationstabelle ist eine einfache Tabelle mit einer Zuordnung der Quellwerte zu Zielwerten. Eine Migrationstabelle konvertiert während eines Kopier- oder Importvorganges die Referenzen in einem GPO zu neuen, für die Zieldomäne passenden Referenzen. Sie können Migrationstabellen dazu nutzen, Sicherheitsprinzipale und UNC-Pfade während des Import- oder Kopiervorganges auf neue Werte zu aktualisieren. Migrationstabellen werden unter der Dateierweiterung .migrable gespeichert und sind eigentlich XMLDateien. Sie müssen für die Erstellung und Bearbeitung von Migrationstabellen jedoch nicht über XML-Kenntnisse verfügen. Die GPMC stellt den MCE zur Bearbeitung von Migrationstabellen bereit. Eine Migrationstabelle besteht aus einem oder mehreren Zuordnungseinträgen. Jeder Zuordnungseintrag setzt sich aus einem Quelltyp, einer Quellreferenz und einer Zielreferenz zusammen. Wenn Sie eine Migrationstabelle beim Import oder beim Kopieren angeben, dann wird beim Schreiben der Einstellungen in das Ziel-GPO jedes Vorkommen der Quellreferenz durch die Zielreferenz ersetzt. Bevor Sie eine Migrationstabelle nutzen, müssen Sie sicherstellen, dass die in der Tabelle angegeben Zielreferenz bereits existiert. Die folgenden Elemente können Sicherheitsprinzipale enthalten und mithilfe einer Migrationstabelle geändert werden: SicherheitsEinstellungen der folgenden Typen: Zuweisung von Benutzerrechten Eingeschränkte Gruppen Systemdienste Dateisystem Registrierung Richtlinien für die erweiterte Ordnerumleitung Die DACL (Discretionary Access Control List) von GPOs, wenn diese während einer Kopieraktion erhalten bleiben. Die DACL (Discretionary Access Control List) von Softwareinstallationsobjekten (bleiben nur erhalten, wenn die Option zum Kopieren der GPO-DACL aktiviert ist). Die folgenden Elemente können UNC-Pfade enthalten, die während des Imports oder Kopierens aktualisiert werden müssen: Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 21 Gruppenrichtlinieneinstellungen für die Ordnerumleitung Gruppenrichtlinieneinstellungen für die Softwareinstallation Referenzen auf Skripte wie beispielsweise Anmelde- oder Abmeldeskripte. Das Skript selbst wird beim Kopieren oder Importieren von GPOs nicht kopiert (es sei denn, es ist in dem Quell-GPO gespeichert). Weitere Informationen zum Import von Einstellungen mit der GPMC finden Sie im Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien. Sicherheits- und Datenschutzfunktionen in Internet Explorer 8 Die Sicherheit der Benutzer, Wahlmöglichkeiten und mehr Kontrolle sind die Hauptelemente von Internet Explorer 8. Aus diesen Bereichen kommen viele Innovationen, die zu einer vertrauenswürdigeren Webumgebung beitragen. Dieser Abschnitt befasst sich mit einigen der Funktionen und Technologien aus den Bereichen Sicherheit und Datenschutz von Internet Explorer 8: SmartScreen-Filter Phishing- und Malware-Schutz ClickJacking Cross-Site Scripting-Filter (XSS) Domänenhervorhebung Geschützter Modus ActiveX-Opt-In InPrivate-Browsing InPrivate-Filterung SmartScreen-Filter Internet Explorer 8 stellt eine Funktion mit dem Namen SmartScreen-Filter bereit. Der SmartScreen-Filter besteht aus Technologien, mit denen Benutzer vor Internet-Angriffen und Social-Engineering-Angriffen geschützt werden. Er erweitert die Funktionalität der Phishing-Filter von Internet Explorer 7. Der SmartScreen-Filter schützt die Benutzer vor bekannten Phishing- und Malware-Websites, wenn diese die entsprechenden Seiten im Internet aufrufen. Des Weiteren schützt er vor ClickJacking. ClickJacking ist eine Technik, mit der Angreifer Tastendrücke abfangen, Anmeldeinformationen des Benutzers stehlen, Webseiten verändern oder andere Angriffe starten. Der SmartScreen-Filter umfasst außerdem den neuen XSS-Filter. Dieser schützt vor Type-1 Cross-Site-Scripting-Angriffen. Phishing- und Malware-Schutz Phishing ist eine Technik, mit der Angreifer Benutzer durch Manipulation dazu bringen, persönliche Informationen oder Finanzinformationen über eine E-Mail oder Website weiterzugeben. Phisher tarnen sich als Mitarbeiter eines seriösen Unternehmens oder direkt als Unternehmen und versuchen so, persönliche Informationen wie Kennwörter oder Kreditkartennummern von den Benutzern zu ergaunern. Der SmartScreen-Filter in Internet Explorer 8 informiert die Benutzer über verdächtige Websites und bekannte Phishing-Websites, so dass diese sicherer im Internet surfen können. Der Filter analysiert die Inhalte von Websites auf bekannte Phishing-Techniken und nutzt ein Netzwerk aus weltweiten Datenquellen zur Bewertung der Vertrauenswürdigkeit von Websites. Er sorgt zudem für einen dynamischen Schutz vor bösartiger Software und schützt den Benutzer so vor Websites, die bekanntermaßen Solution Accelerators microsoft.com/technet/SolutionAccelerators 22 Internet Explorer 8 Security Guide schädlichen Code oder schädliche Downloads enthalten oder diese verbreiten. Der SmartScreen-Filter nutzt verschiedenste Technologien und einen regelmäßig aktualisierten Onlinedienst dazu, die aktuellsten Informationen zu betrügerischen Websites zusammenzustellen. Mit diesen Informationen warnt und schützt er die Benutzer von Internet Explorer 8. Der SmartScreen-Filter kombiniert clientseitige Webseiten-Scans auf verdächtige Charakteristiken mit einem optionalen Onlinedienst. Der Filter wurde so entworfen, dass er die Benutzer auf drei verschiedene Arten vor Phishing-Angriffen und Malware-Sites schützen kann: Vergleich der vom Benutzer besuchten Websites mit den Adressen bekannter und vertrauenswürdiger Websites: Hierbei wird eine Liste von bekannten Websites mit hohen Zugriffszahlen auf dem Computer des Benutzers gespeichert. Wird die aufzurufende Website in dieser Liste gefunden, so werden keine weiteren Prüfungen durchgeführt. Analyse der Websites, die der Benutzer aufrufen möchte: Hierbei wird nach für Phishing-Sites charakteristischen Elementen gesucht. Senden der Website-Adresse, auf die der Benutzer zugreifen möchte, an einen von Microsoft betriebenen und gepflegten Onlinedienst: Der Onlinedienst prüft die Adresse direkt anhand einer regelmäßig aktualisierten Liste von Phishing- und Malware-Sites. Auf dieser Liste befinden sich Websites, die als betrügerisch oder schädlich ermittelt und an Microsoft gemeldet wurden. Anmerkung: Der Onlinedienst wird asynchron über eine SSL-Verbindung kontaktiert. So ist es möglich, dass Seiten geladen werden und die Arbeit des Benutzers nicht beeinträchtigt wird. Wenn der Dienst nicht kontaktiert werden kann, dann wird die Seite normal dargestellt. In diesem Fall zeigt eine Nachricht in der Statusleiste an, dass der Dienst nicht kontaktiert werden konnte. Anmerkung: Mit Internet Explorer können Sie jederzeit feststellen, ob eine Website möglicherweise eine Phishing-Site ist. Klicken Sie auf Extras, zeigen Sie auf SmartScreen-Filter, und klicken Sie dann auf Diese Website überprüfen. Der SmartScreen-Filter fragt beim Benutzer nach, ob die Funktion aktiviert oder deaktiviert werden soll – es gibt daher keine Standardeinstellung. Sie können diese Nachfrage unterbinden, indem Sie den Anpassungs-Assistenten für den ersten Start deaktivieren oder mit dem IEAK ein angepasstes Paket erstellen. Für einen korrekten Schutz durch den SmartScreen-Filter empfehlen wir, SmartScreen automatisch zu aktivieren und die Deaktivierung durch den Benutzer zu verhindern. Des Weiteren empfehlen wir, die Fortfahren-Option aus den SmartScreen-Warnhinweisen zu erkannten Phishing- und Malware-Sites zu deaktivieren. ClickJacking Beim ClickJacking versucht ein Angreifer, den Benutzer, ohne dass dieser es bemerkt, zu einem Klick auf eine präparierte Webseite zu verleiten, die Inhalte aus anderen Domänen (oder aus einem Sicherheitsfenster) enthält. ClickJacking sorgt dafür, dass die meisten CSRF-Maßnahmen (Cross-Site Request Forgery) wirkungslos bleiben. Der Angreifer kann mit ClickJacking bestimmte Browser-Add-Ons so konfigurieren, dass diese unsicher sind. Der SmartScreen-Filter umfasst ein neues Sicherheitsfunktion, das die Erkennung von ClickJacking verbessert und entsprechende Angriffe verhindert. Die entsprechende Funktion gehört zur Codebasis von Internet Explorer 8 – was bedeutet, dass es immer aktiv ist und nicht deaktiviert werden kann. Angreifer nutzen Verfahren, bei denen Schalter-Attrappen angezeigt werden. Dann wird eine transparente Ebene über diese Schalter gelegt. Der Benutzer denkt, dass er auf die Schalter klickt. Tatsächlich klickt er jedoch auf die Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 23 versteckte Seite. Diese versteckte Seite kann beispielsweise eine Authentifizierungsseite sein. Der Angreifer kann den Benutzer mit diesem Trick dazu bringen, Aktionen auszuführen, die er ansonsten niemals durchführen würde. Es gibt keine Möglichkeit, entsprechende Angriffe später nachzuvollziehen, denn der Benutzer authentifiziert sich ja korrekt auf der anderen Seite – er merkt es nur nicht. Um den zusätzlichen Schutz vor ClickJacking-Angriff nutzen zu können, müssen Websites ein X-FRAME-OPTIONS-Tag in den HTTP-Header oder den HTTP EQUIVMetatag aufnehmen. Weitere Informationen zu ClickJacking finden Sie im Blog IE8 Security Part VII: ClickJacking Defenses (engl.). XSS-Filter (Cross-Site Scripting) Der neue XSS-Filter aus dem SmartScreen-Filter schützt die Benutzer vor bestimmten Angriffen auf Sicherheitslücken in serverseitigen Anwendungen. Die entsprechenden Angriffe werden als Type 1 oder auch als Reflektionsangriffe (Reflected-Attacks) bezeichnet und gehören zu den am häufigsten vorkommenen XSS-Angriffen. Sie kommen zustande, wenn Code, normalerweise in Form eines Skriptes, an einen Webserver gesendet wird und dieser den Code an den Benutzer zurückgibt (reflektiert). Dies kann zum Beispiel dann geschehen, wenn Informationen, die durch den Webbrowser an den Server gesendet werden, von serverseitigen Skripten direkt dazu genutzt werden, eine neue Webseite für den Benutzer zu generieren. Der XSS-Filter schützt die Benutzer vor entsprechenden Angriffen. Er analysiert die an den Benutzer zurückgegebenen Daten. Durch die Analyse des Datenstroms kann Internet Explorer 8 verschiedene ungültige Aktionen erkennen und das Skript dann entsprechend anhalten und so den Benutzer schützen. Weitere Informationen zur Verwaltung der Einstellungen für den XSSFilter finden Sie in Kapitel 2, “Sicherheitsempfehlungen". Anmerkung: Der Schutz vor Clickjacking und XSS ist standardmäßig aktiviert. Der ClickJackingSchutz ist Teil des Defense-in-Depth-Designs des Browsers und kann daher nicht deaktiviert werden. Die Benutzer können jedoch den XSS-Filter deaktivieren. Domänenhervorhebung Die wohl auffälligste Änderung in der Adressleiste von Internet Explorer 8 ist die Domänenhervorhebung. Internet Explorer 8 hebt die Domäne der vom Benutzer angezeigten Seite automatisch hervor. Der Benutzer kann so erkennen, wo eine Seite herkommt, und bemerkt, wenn eine Website versucht, ihn zu täuschen. Die Domänenhervorhebung kann nicht deaktiviert werden und wird zusätzlich zu den Warnungen und -benachrichtigungen zu Phishing-Sites angezeigt. Geschützter Modus Der geschützte Modus steht mit Internet Explorer 7 oder Internet Explorer 8 auf Computern unter Windows 7 oder Windows Vista zur Verfügung. Er sorgt für zusätzlichen Schutz, indem er den Zugriff von Anwendungen auf einen bestimmten Teil des Dateisystems und der Registrierung beschränkt. Er schützt zudem davor, dass der Browser durch schädlichen Code übernommen wird und so Code mit den Rechten des Benutzers ausführt. Der geschützte Modus verhindert die stillschweigende Installation von schädlichem Code und schützt so vor Sicherheitslücken in Browsererweiterungen. Die entsprechende API (Application Programming Interface) ermöglicht es Softwareherstellen, Erweiterungen und Add-Ons für Internet Explorer zu entwickeln, die im geschützten Modus auf das Dateisystem und die Registrierung zugreifen können. Solution Accelerators microsoft.com/technet/SolutionAccelerators 24 Internet Explorer 8 Security Guide Im geschützten Modus wird Internet Explorer 8 mit reduzierten Rechten ausgeführt. So sorgt er dafür, dass keine Benutzer- oder Systemdateien oder Einstellungen ohne ausdrückliche Erlaubnis des Benutzers geändert werden. Gemeinsam mit dem neuen LCIE-Design (Loosely Coupled Internet Explorer) ist der geschützte Modus von Internet Explorer 8 des Weiteren benutzerfreundlicher als der von Internet Explorer 7. LCIE trennt die Prozesse für das Internet Explorer-Fenster und die Frames. So können Registerkarten im geschützten Modus Seite an Seite mit Seiten ohne den geschützten Modus angezeigt werden. Diese Erweiterung sorgt dafür, dass der in Internet Explorer 7 genutzte Verwaltungsprozess nicht mehr erforderlich ist. Der geschützte Modus ist für alle Benutzer mit Ausnahme des standardmäßigen Administratorkontos aktiviert (auch für alle anderen Konten mit administrativen Rechten ist der geschützte Modus aktiv). Sie können den geschützten Modus entweder über die Startoption oder über die Registrierung beziehungsweise über ein GPO deaktivieren. Damit der Benutzer Internet Explorer 8 auf einem Computer mit Windows 7 oder Windows Vista ohne den geschützten Modus starten kann, muss dieser mit rechts auf das Internet Explorer-Symbol und dann auf Als Administrator ausführen klicken. Er wird dann zur Eingabe der entsprechenden Anmeldeinformationen aufgefordert. In Internet Explorer 8 ist der geschützte Modus standardmäßig für die Sicherheitszonen Internet und Eingeschränkte Sites aktiv. ActiveX-Opt-in Internet Explorer 7 hat einen Opt-in-Mechanismus für ActiveX eingeführt. Dieser deaktiviert automatisch alle Steuerelemente, die nicht explizit durch den Benutzer zugelassen wurden. So reduziert er die Risiken durch einen möglichen Missbrauch vorinstallierter Steuerelemente. Internet Explorer 8 weitet den Schutz durch diese Funktion noch weiter aus und ermöglicht die Feinanpassung der entsprechenden Einstellungen auf Benutzer- und Domänenebene. Die Informationsleiste in Internet Explorer 8 benachrichtigt den Benutzer vor dem Zugriff auf ein bereits installiertes ActiveX-Steuerelement, das bis zu diesem Zeitpunkt noch nicht im Internet genutzt wurde. Mit diesem Benachrichtigungsmechanismus kann der Benutzer den Zugriff für jedes Steuerelemente und jede Website einzeln kontrollieren und so die Angriffsfläche zusätzlich verringern. Böswillige Benutzer sind so nicht mehr in der Lage, automatisierte Angriffe mit ActiveX-Steuerelementen über Websites zu starten. Durch die benutzerbasierte Steuerung werden die freigegebenen Steuerelemente auf die erwünschten Benutzer eingeschränkt. Andere Domänen können die Steuerelemente ohne explizite Einwilligung des Benutzers nicht verwenden. InPrivate-Browsing Mit InPrivate-Browsing können Sie steuern, ob Internet Explorer 8 den Verlauf, Cookies und andere Daten speichert oder nicht. Wenn Sie einen PC mit anderen Personen gemeinsam nutzen (beispielsweise ein geliehenes Notebook oder einen öffentlichen PC), dann möchten Sie sicherlich in einigen Situationen nicht, dass andere Personen sehen können, welche Seiten Sie aufgerufen haben. Mit dem InPrivate-Browsing in Internet Explorer 8 können Sie einen entsprechenden Datenschutz gewährleisten. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 1: Implementierung der Internet Explorer 8-Sicherheitsbasis 25 Folgendes passiert, solange InPrivate-Browsing aktiv ist: BHOs (Browser Helper Objects) und Leisten sind deaktiviert. Es werden keine neuen Cookies gespeichert. Wenn eine Website versucht, ein persistentes Cookie zu erstellen, dann wird dieses Cookie stattdessen als Sitzungs-Cookie erstellt und nach dem Schließen der Browsersitzung gelöscht. Bestehende persistente Cookies werden nicht gelesen oder gesendet. Die neue DOM-Storage-Funktion arbeitet auf die gleiche Art. Es werden keine neuen Einträge in den Verlauf aufgenommen. Nachdem das Private-Browsing-Fenster geschlossen wurde, werden neue temporäre Internetdateien gelöscht. Es werden keine Formulardaten gespeichert. Es werden keine Kennwörter gespeichert. Die in die Adressleiste eingegebenen Adressen werden nicht gespeichert. Die in das Suchfeld eingegebenen Abfragen werden nicht gespeichert. Des Weiteren sind alle Leisten und BHOs standardmäßig deaktiviert. Der Benutzer kann die entsprechenden Funktionalitäten über die Registerkarte Datenschutz im Dialogfenster Internetoptionen aktivieren. InPrivate-Filterung Die InPrivate-Filterung gibt den Benutzern mehr Kontrolle darüber, an welche Drittanbieter-Websites sie Informationen über ihre persönlichen Aktivitäten im Internet weitergeben möchten. Websites nutzen Informationen aus immer mehr Quellen dazu, den Benutzern große Mehrwerte anzubieten. Den Benutzern ist jedoch oft nicht klar, dass einige Inhalte, Bilder, Webeinhalte und Analysen durch Drittanbieter-Websites bereitgestellt werden oder dass diese Websites die Möglichkeit haben, das Verhalten der Benutzer über mehrere Websites hinweg nachzuvollziehen. Die InPrivate-Filterung ermöglicht den Benutzern eine Kontrolle darüber, welche Informationen zur möglichen Nachverfolgung von Aktivitäten an Drittanbieter-Websites weitergegeben werden. Anmerkung: Detaillierte Informationen zu dieser Funktion finden Sie im Internet Explorer 8Leitfaden zum Datenschutz und zur Benutzerüberwachung (engl.). Zusätzliche Informationen In den folgenden Ressourcen auf microsoft.com finden Sie zusätzliche Informationen zu sicherheitsbezogenen Themen zu Internet Explorer 8: URL-Sicherheitszonen (engl.) Sichern, Wiederherstellen, Kopieren und Importieren im Windows ServerTechCenter Blog IE8-Sicherheit Teil VII: Verteidigung gegen ClickJacking (engl.) Internet Explorer 8-Leitfaden zum Datenschutz und zur Benutzerüberwachung (engl.) Internet Explorer Administration Kit (IEAK) 8 Website Internet Explorer und der geschäftliche Mehrwert von Extended Validation SSL-Zertifikaten (engl.) Internet Explorer-TechCenter Artikel Loopbackverarbeitung von Gruppenrichtlinien Technische Sicherheitsbenachrichtigungen von Microsoft Remoteserver-Verwaltungstools für Windows 7 Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen Zur Verbesserung der Sicherheit in Windows® Internet Explorer® 8 gegenüber den Standardeinstellungen gehört mehr, als nur eine Einstellung zu ändern oder den Regler für eine Sicherheitszone auf Hoch zu stellen. Solche drastischen Änderungen sorgen meist nur dafür, dass die Benutzer nicht mehr richtig navigieren können und der Browser mehr oder weniger nutzlos wird. In diesem Abschnitt besprechen wir die verschiedenen Änderungen zur Browsersicherheit, die in Internet Explorer 8 ohne drastische Auswirkungen auf die Funktionalität durchgeführt werden können. Die Empfehlungen zu den Sicherheitseinstellungen und Funktionen in Internet Explorer 8 aus diesem Kapitel sind in sechs verschiedene Kategorien eingeordnet: Add-On-Verwaltung Deaktivierung von Active Scripting Zonensicherheit Zertifikatsicherheit Reduzierung der Anwendungsrechte Andere Sicherheitseinstellungen Eine Liste aller von uns empfohlenen Einstellungen finden Sie in Anhang A, „Sicherheitscheckliste", am Ende dieses Leitfadens. In diesem Kapitel werden die empfohlenen Einstellungen und Funktionen detaillierter besprochen. Anmerkung: Möglicherweise möchten Sie, zusätzlich zu den in diesem Kapitel besprochenen Einstellungen, Registerkarten aus dem Dialogfenster Internetoptionen entfernen (beispielsweise Verbindungen oder Erweitert). Da die Benutzer diese Einstellungen auch ohne die Registerkarten ändern können (zum Beispiel über die Registrierung), sollen Sie auch in diesem Fall die relevanten Einstellungen aus diesen Registerkarten durchsetzen. Add-On-Verwaltung Die ActiveX®-Plattform wurde eingeführt, um Webentwicklern die Möglichkeit zu geben, Anwendungen und Funktionalitäten über die Standardfunktionalitäten des Browsers hinaus zu erweitern. Mit der ActiveXPlattform wurden umfangreiche und interaktive Anwendungen entwickelt, die Daten aus nahezu jeder beliebigen Quelle integrieren können. Bereits bei der Entwicklung der ActiveX-Plattform wurde auf Sicherheit geachtet. Sie kann jedoch durch Funktionen wie Authenticode® noch weiter verbessert werden. Um die Sicherheit zu gewährleisten, ist es trotzdem von entscheidender Bedeutung, dass die Benutzer bestimmte Richtlinien einhalten. In Internet Explorer 8 können die Benutzer die entsprechenden Erweiterungen über die Option Add-Ons verwalten steuern. In diesem Abschnitt finden Sie passende Sicherheitsempfehlungen für ActiveX-Steuerelemente und andere aktive Inhalte. Einschränken von ActiveX-Steuerelementen Oft installieren die Benutzer Software wie ActiveX-Steuerelemente, die von den Sicherheitsrichtlinien ihrer Organisation nicht zugelassen werden. Diese Solution Accelerators microsoft.com/technet/SolutionAccelerators 28 Internet Explorer 8 Security Guide Software kann für erhebliche Sicherheits- und Datenschutzrisiken sorgen. Um die Benutzer an der Installation nicht autorisierter ActiveX-Steuerelemente zu hindern, empfehlen wir, die Anzeige von Installationsaufforderungen für ActiveX-Steuerelemente über Gruppenrichtlinien zu unterbinden. Sie sollten sich jedoch bewusst machen, dass diese Maßnahme auch die Installation legitimer ActiveX-Steuerelemente wie beispielsweise Windows Update verhindert. Wenn Sie die ActiveX-Installation unterdrücken, dann sollten Sie gleichzeitig sicherstellen, dass es einen Mechanismus wie beispielsweise Gruppenrichtlinien gibt, über den die erforderlichen ActiveX-Steuerelemente für die Desktops der Benutzer bereitgestellt werden. Weitere Informationen zu dieser Empfehlung finden Sie im nächsten Abschnitt. Wenn Sie Einschränkungen durchsetzen, dann benötigen Sie darüber hinaus eine alternative Möglichkeit zur Bereitstellung von Sicherheitsupdates (beispielsweise Windows Server® Update Services). In der folgenden Tabelle sehen Sie den Namen des Richtlinienobjekts und seinen Pfad in der Gruppenrichtlinie. Tabelle 2.1: Einstellung „ActiveX-Installation einschränkten“ Richtlinienobjekt Pfad Internet Explorer Processes (Restrict ActiveX Install) Computerkonfiguration\Administrative Vorlagen\ Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen\ ActiveX-Installation einschränkten Websitebasierte ActiveX-Einstellungen Internet Explorer 8 gibt Administratoren die Möglichkeit, ActiveXSteuerelemente auf Basis von Websites zu verwalten. So können sie sicherstellen, dass die ActiveX-Steuerelemente nur von den freigegebenen Websites ausgeführt werden können. Mit Internet Explorer 8 können die zugelassenen Steuerelemente und die entsprechenden Domänen vorab definiert werden. Sie können die entsprechenden Einstellungen über Gruppenrichtlinien definieren und durchsetzen. Die zugelassenen Domänen und Steuerelemente werden unter dem folgenden Registrierungspfad gespeichert: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\{CLSID}\iexplore\AllowedDomains\{Domänen oder *} {CLSID} ist die Klassen-ID des betreffenden Steuerelementes und {Domänen oder *} steht für die Domänen, die das entsprechende Steuerelement nutzen dürfen (der * steht für alle Domänen). Die folgenden Werte sind möglich: REG_DWORD Blocked REG_DWORD Count REG_DWORD Flags REG_DWORD Binary REG_DWORD Type Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten Freigabelisten Die im letzten Abschnitt genannte Einstellung sorgt dafür, dass keine ActiveXSteuerelemente auf dem Client ausgeführt werden, solange diese nicht vorab von der Organisation freigegeben wurden. Einige Organisationen empfinden diese Einstellung jedoch als zu restriktiv. Wenn dies auch bei Ihnen der Fall ist Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 29 und Sie die Einstellung so nicht nutzen möchten, so stellen Sie zumindest sicher, dass die Einstellung Ausführen von bisher nicht verwendeten ActiveXSteuerelementen ohne Eingabeaufforderung für die Zonen Internet und Eingeschränkte Sites deaktiviert ist (diese Einstellung entspricht auch der Standardkonfiguration des Browsers). Diese auch ActiveX-Opt-In genannte Einstellung sorgt dafür, dass sich die Steuerelemente wie gewünscht verhalten und die Systeme trotzdem nicht nur durch den einfachen Besuch einer Website angegriffen werden können. Mit der Opt-In-Funktion müssen die Benutzer als Preis für die höhere Sicherheit bei bekannten und erwiesenermaßen harmlosen Websites die Steuerelemente erst freigeben, bevor die Website wie vorgesehen funktioniert. Egal, wie genau Sie die ActiveX-Installation einschränken – es ist immer möglich, dass die Einschränkungen Auswirkungen auf wichtige geschäftliche Funktionalitäten haben. Wir empfehlen daher, dass Sie eine Liste von vorab freigegebenen Steuerelementen auf den Computern der Benutzer bereitstellen und die Liste mit einer Funktion wie der Gruppenrichtlinie verwalten. Über die Gruppenrichtlinie können Sie die Klassen-ID der Steuerelemente zum entsprechenden Registrierungspfad hinzufügen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\PreApproved Anmerkung: Tritt in einem ActiveX-Steuerelement eine Sicherheitslücke auf, die eine Bedrohung für die Benutzer darstellt, so ist es möglich, dass Microsoft das entsprechende Steuerelement mithilfe eines über Windows Update Windows Update, Microsoft Update oder Windows Server Update Services verteilten Sicherheitsupdates deaktiviert. In diesem ist das Steuerelement auch dann deaktiviert, wenn es in der beschriebenen Form über eine vorab definierte Liste explizit zugelassen wurde. Mit GUIDs (Globally Unique Identifier) können installierte Steuerelemente durch die Bearbeitung der entsprechenden Registrierungseinstellungen aktiviert oder deaktiviert werden. Wenn Sie noch nicht über einen passenden GUID-Katalog für Ihre Organisation verfügen, dann sollten Sie dringend einen solchen Katalog erstellen. Eine Möglichkeit zu Erstellung eines passenden GUIDKatalogs ist die Einrichtung eines neuen Computers. Auf diesem neuen Computer konfigurieren und aktivieren Sie dann die erforderlichen Geschäftsanwendungen und überprüfen danach die GUIDs im Internet Explorer-Registrierungspfad. Mit der so erstellten Liste wissen Sie dann, welche Steuerelemente mindestens für Ihre Umgebung erforderlich sind, und können die entsprechenden Steuerelemente in einer vorab definierten Liste aus freigegebenen Steuerelementen eintragen. Wir empfehlen die Nutzung von GPOs zur Verwaltung einer Liste von freigegebenen Steuerelementen. Weitere Informationen zur ActiveXSicherheit und Best-Practices zur Verwaltung von ActiveX-Steuerelementen finden Sie im Artikel ActiveX-Sicherheit: Verbesserungen und Best-Practices (engl.) im MSDN®. Deaktivieren von Active Scripting Mit der Einführung des Security Design Lifecycle (SDL) im Jahr 2002 sorgte Microsoft für die Verbesserung der Qualität der Softwaresicherheit und die Reduzierung der Auswirkungen durch Sicherheitslücken. Der SDL hat sich als sehr effektiv erwiesen, und die Anzahl der Sicherheitslücken und Exploits wurden erheblich verringert. Leider sind Software und Prozesse jedoch niemals perfekt. Die Funktionalitäten des Web 2.0 sorgen für zusätzliche Sicherheitsrisiken. Es ist nicht nur von grundlegender Bedeutung, sicheren Code zu entwickeln, sondern auch über einen Reaktionsplan im Fall einer Kompromittierung oder einer Sicherheitslücke zu verfügen. Es kommt Solution Accelerators microsoft.com/technet/SolutionAccelerators 30 Internet Explorer 8 Security Guide unvermeidbar vor, dass eine Sicherheitslücke ausgenützt wird, bevor sie den Verantwortlichen bekannt ist. Entsprechende Situationen werden als ZeroDay-Exploit bezeichnet. In anderen Fällen kann es vorkommen, dass eine Sicherheitslücke zwar den Verantwortlichen korrekt mitgeteilt wird, jedoch eine gewisse Zeit zur Entwicklung und für das Testen eines entsprechenden Updates benötigt wird. Sie können entsprechende Situationen nicht vermeiden. Empfehlen Sie den Benutzern daher, unbekannte Websites zu meiden und beim Klicken auf Links Vorsicht walten zu lassen. Des Weiteren haben Sie jedoch die Möglichkeit, die Benutzer durch die Einstellung Active Scripting zulassen vor noch nicht durch ein Update beseitigten oder aber bekannten Sicherheitslücken zu schützen. Um bekannte aktuelle Zero-Day-Exploits und andere kritische Skripting-Angriffe zu verhindern, empfehlen wir Ihnen, diese Einstellung temporär über eine Gruppenrichtlinie mit Deaktiviert zu konfigurieren. Um ein korrektes Funktionieren der Websites zu gewährleisten, sollte die Einstellung jedoch unter normalen Bedingungen mit Aktiviert konfiguriert werden. Sie finden die Einstellung Active Scripting zulassen im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone> In der folgenden Tabelle finden Sie Informationen zu dieser Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.2: Einstellung „Active Scripting zulassen“ Richtlinienobjekt Beschreibung Active Scripting zulassen Mit dieser Einstellung können Sie festlegen, ob Skriptcode in der entsprechenden Zone ausgeführt wird. Standardmäßig wird der Skriptcode automatisch ausgeführt. Skripting-Unterstützung Internet Explorer unterstützt clientseitiges Skripting. Clientseitige Skripte sind Programme aus dem Internet, die im Webbrowser des Benutzers ausgeführt werden. Typische clientseitige Skripte sind in einem HTML-Dokument eingebettete Skripte. Andere clientseitige Skripte sind die sogenannten externen Skripte. Diese Skripte sind separate Dateien, auf die in einem Dokument verwiesen wird. Internet Explorer 8 unterstützt von Haus aus verschiedenste Skriptsprachen wie beispielsweise VBScript, JScript ® und ECMAScript. Clientseitiges Skripting ist eine wichtige Funktionalität eines jeden Webbrowsers. Es ermöglicht Inhalte, die auf Basis verschiedenster Bedingungen (beispielsweise die Browserversion, die Tageszeit oder auch die Anmeldedaten des Benutzers) dynamisch geändert werden. Natürlich eröffnet eine solch leistungsfähige Funktionalität auch Risiken. Die Skripte befinden sich außerhalb Ihres Kontrollbereiches auf dem Webserver. Sie sollten entsprechende dynamische Inhalte daher nur dann für das lokale Ausführen zulassen, wenn der Webserver vertrauenswürdig ist. Empfehlungen zur Reduzierung der Risiken durch clientseitiges Skripting finden Sie weiter unten in diesem Leitfaden. Anmerkung: Dieser Abschnitt befasst sich mit clientseitigen Skripten. Verwechseln Sie diese nicht mit serverseitigen Skripten. Webserver-Software wie IIS (Internet Information Services) nutzt normalerweise serverseitige Skripte in Programmiersprachen wie VBScript, JScript und Perl. Die Ergebnisse dieser serverseitigen Skripte werden als normale HTML-Inhalte bereitgestellt. Die Skripte Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 31 sind für die Benutzer grundsätzlich unsichtbar und verursachen nicht die Risiken, die bei clientseitigen Skripten auftreten. Aktivierung von Sicherheitseinschränkungen für Skriptfenster Internet Explorer ermöglicht das programmgesteuerte Öffnen, Vergrößern/Verkleinern und Verschieben von verschiedenen Fenstertypen. Auf diese Art können Popup-Fenster angezeigt werden. Es ist so jedoch auch möglich, dass Skripte Fenster mit für den Benutzer unsichtbaren Titel- und Statusleisten anzeigen können oder die Titel- und Statusleisten anderer Fenster vor dem Benutzer verstecken. Wir empfehlen Ihnen, das Ausführen von Internet Explorer- und Windows Explorer-Prozessen durch Skripte über Gruppenrichtlinien zu verhindern. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkungen für Skriptfenster In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.3: Einstellung „Sicherheitseinschränkungen für Skriptfenster“ Richtlinienobjekt Beschreibung Alle Prozesse Wenn Sie diese Einstellung aktivieren, dann werden über Skripte geöffnete Fenster für alle Prozesse eingeschränkt. Standardmäßig werden über Skripte geöffnete Fenster nicht eingeschränkt. Zonensicherheit Die meisten sicherheitsbezogenen Einstellungen in Internet Explorer 8 finden sich unter den Sicherheitszonen. Standardmäßig können die Benutzer diese Zonen bearbeiten und die jeweiligen Sicherheitsstufen verändern. Sie können eigene Einstellungen für die einzelnen Zonen festlegen und Websites zu den Zonen Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites hinzufügen. Für die meisten Umgebungen in Organisationen empfehlen wir die Sperrung der Zonensicherheit über Gruppenrichtlinien. Die Sperrung verhindert das Verändern der meisten Einstellungen durch die Benutzer. In den folgenden Abschnitten erfahren Sie mehr zu den Einstellungen für die Zonensicherheit von Internet Explorer 8. Schutz vor Zonenanhebung aktivieren Internet Explorer setzt für jede geöffnete Website bestimmte Einschränkungen durch. Diese Einschränkungen hängen vom Speicherort der Webseite ab (Internet, Lokales Intranet oder Lokaler Computer). Für Webseiten auf dem lokalen Computer gelten die wenigsten Sicherheitseinschränkungen. Somit ist diese Zone das Hauptziel für Angreifer. Wenn Sie die Zonenanhebung mit der Option Internet Explorer-Prozesse konfigurieren, dann sind alle Zonen vor einer Zonenanhebung durch Internet Explorer-Prozesse geschützt. Dieser Ansatz verhindert, dass Inhalte aus einer Zone erweiterte Rechte aus einer anderen Zone erlangen. Wenn Sie die Solution Accelerators microsoft.com/technet/SolutionAccelerators 32 Internet Explorer 8 Security Guide Einstellung deaktivieren, dann ist der entsprechende Schutz für keine Zone aktiv. Aufgrund der schwerwiegenden Auswirkungen und der relativen Häufigkeit von entsprechenden Angriffen empfehlen wir die Einstellung Schutz vor Zonenanhebung für die Option Internet Explorer Processes mit Aktiviert zu konfigurieren. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Sicherheitsfunktionen\Schutz vor Zonenanhebung In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.4: Einstellung „Schutz vor Zonenanhebung“ Richtlinienobjekt Beschreibung Internet ExplorerProzesse Wenn Sie diese Einstellung aktivieren, kann jede Zone vor Zonenanhebung durch Internet Explorer-Prozesse geschützt werden. Wenn Sie diese Einstellung deaktivieren, erhält keine Zone einen derartigen Schutz für Internet ExplorerProzesse. Wenn Sie diese Einstellung nicht konfigurieren, kann jede Zone vor Zonenanhebung durch Internet ExplorerProzesse geschützt werden. Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen verbieten Standardmäßig können die Benutzer für die Zonen Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites Websites hinzufügen und löschen. Wenn eine Website zur Zone Vertrauenswürdige Sites hinzugefügt oder aus der Zone Eingeschränkte Sites entfernt wird, dann eröffnet dies die Möglichkeit zur Ausführung von schädlichem Programmcode auf dem Computer. Wir empfehlen, das Hinzufügen oder Löschen von Websites in Zonen durch die Benutzer über Gruppenrichtlinien zu verhindern. Die Einstellung Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen verhindert außerdem, dass der Benutzer die Einstellungen für die Zone Lokales Intranet verändert. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.5: Einstellung „Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen” Richtlinienobjekt Solution Accelerators Beschreibung microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 33 Richtlinienobjekt Beschreibung Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen Deaktiviert das Hinzufügen und Entfernen von Sites in den Sicherheitszonen durch die Benutzer. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, können die Benutzer Websites zu den Zonen Vertrauenswürde Sites und Eingeschränkte Sites hinzufügen oder sie von dort entfernen und die Einstellungen für die Zone Lokales Intranet ändern. Wir empfehlen die Aktivierung dieser Einstellung. Sie kann jedoch Auswirkungen auf die Produktivität der Benutzer haben (besonders in Kombination mit weiteren Einschränkungen für die Zone Internet). In einigen Fällen fügen die Benutzer Websites zu Zonen mit weniger Einschränkungen hinzu, wenn sie nicht in der Lage sind, in der Zone Internet auf die Websites zuzugreifen. Ist diese Funktion deaktiviert, dann sind die Benutzer möglicherweise nicht in der Lage, auf einige Websites zuzugreifen, bevor der Administrator diese Websites in eine Zone mit weniger Einschränkungen aufgenommen hat. Anmerkung: Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter dem Pfad Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\ Internetsystemsteuerung) aktivieren, dann wird die Registerkarte Sicherheit nicht mehr länger angezeigt. Die Einstellung Deaktivieren hat Vorrang vor den jeweiligen Zoneneinstellungen. Änderung der Zoneneinstellungen durch die Benutzer verhindern Standardmäßig können die Benutzer diese Zonen bearbeiten und die jeweiligen Sicherheitsstufen verändern. Sie können eigene Einstellungen für die einzelnen Zonen festlegen. Dies eröffnet die Möglichkeit zur Ausführung von schädlichem Programmcode auf dem Computer. Wir empfehlen, die Änderung der Sicherheitsstufen von Zonen mithilfe von Gruppenrichtlinien und der Aktivierung der Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern zu verhindern. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.6: Einstellung „Sicherheitszonen: Benutzer können keine Einstellungen ändern” Richtlinienobjekt Beschreibung Sicherheitszonen: Benutzer können keine Einstellungen ändern Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können die Benutzer die Einstellungen für die Sicherheitszonen ändern. Anmerkung: Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter dem Pfad \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) aktivieren, dann wird die Registerkarte Sicherheit nicht mehr länger angezeigt. Die Einstellung Deaktivieren hat Vorrang vor der oben genannten Zoneneinstellung. Solution Accelerators microsoft.com/technet/SolutionAccelerators 34 Internet Explorer 8 Security Guide Zertifikatsicherheit Zur sicheren Kommunikation zwischen Browser und Server sind Zertifikate und SSL oder TSL (Transport Layer Security) erforderlich. Internet Explorer 8 unterstützt SSL und TLS. Der Browser versucht außerdem, auf Sicherheitsprobleme und Fehler – beispielsweise abgelaufene Zertifikate oder Namensfehler bei Zertifikaten – aufmerksam zu machen. Die Standardeinstellung von Internet Explorer 8 sorgt dafür, dass dem Benutzer eine Vollbildwarnung und ein roter Warnhinweis zum Zertifikatsfehler angezeigt werden. Der Benutzer kann sich jedoch dazu entscheiden, die Navigation weiterzuführen. Es gibt viele zulässige Gründe für Zertifikatfehler. Trotzdem sollten öffentlich zugängliche und sauber verwaltete Websites keine Zertifikate mit Fehlern nutzen. Mit dieser Funktion können Administratoren die Benutzer daher daran hindern, bei einer Zertifikatswarnung einfach auf „Weiter“ zu klicken. Die Funktion sorgt so dafür, dass mögliche Angriffe verhindert werden. Zugriff der Benutzer auf Websites mit Zertifikatfehler verhindern Zertifikate können irgendwann ablaufen oder zurückgezogen werden. Es kann außerdem vorkommen, dass ein falsches Zertifikat für eine Webseite genutzt wird oder die Adresse einer Website nicht mit der auf dem Zertifikat angegebenen Adresse übereinstimmt. Standardmäßig werden die Benutzer bei Zertifikatfehlern gewarnt, können jedoch die Navigation zur entsprechenden Webseite fortsetzen. Problematisch hieran ist, dass jeder ein selbst signiertes Zertifikat für eine legitime Website und eine gefälschte Kopie dieser Website erstellen kann. Internet Explorer zeigt eine Warnung an, wenn ein Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Benutzer, die es gewohnt sind, Fehler- und Warnmeldungen ohne Rücksicht auf ihre Bedeutung einfach weg zu klicken, können so von einer schädlichen Website sehr leicht hintergangen und angegriffen werden. Zwar ist ein zurückgezogenes oder abgelaufenes Zertifikat für sich selbst genommen noch kein Sicherheitsproblem, es kann jedoch ein Hinweis dafür sein, dass der betreffenden Website möglicherweise nicht mehr länger vertraut werden sollte. Wir empfehlen daher, den Benutzern die Navigation zu Websites mit Zertifikatfehlern über die GruppenEinstellung Ignorieren von Zertifikatfehlern verhindern zu verbieten. Die Aktivierung dieser Einstellung führt zwar nicht zu Leistungsproblemen, kann jedoch zusätzliche Supportanfragen durch die Benutzer generieren. Da Websites aus der Zone Vertrauenswürdige Sites von der Einstellung nicht betroffen sind, können Sie geschäftskritische Websites mit Zertifikatfehlern als temporäre Lösung zu dieser Zone hinzufügen. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.7: Einstellung „Ignorieren von Zertifikatfehlern verhindern” Richtlinienobjekt Solution Accelerators Beschreibung microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 35 Richtlinienobjekt Beschreibung Ignorieren von Zertifikatfehlern verhindern Internet Explorer behandelt SSL/TLS-Zertifikatfehler (Secure Socket Layer/Transport Layer Security), die die Navigation unterbrechen (z. B. „Abgelaufen", „Gesperrt" oder „Name stimmt nicht überein" ), als schwerwiegend. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, kann der Benutzer Zertifikatfehler ignorieren und den Navigationsvorgang fortsetzen. Wir empfehlen die Aktivierung dieser Einstellung. Reduzierte Anwendungsprivilegien Eine Möglichkeit zur Sicherung der Clientcomputer ist die Reduzierung der Angriffsfläche. Sicherheitsexperten weisen immer wieder drauf hin, dass sich Benutzer mit den geringstmöglichen Privilegien anmelden sollten. Diese Privilegien sollten nur dann erweitert werden, wenn dies tatsächlich erforderlich ist. Mit dem geschützten Modus erlaubt es Internet Explorer® 8 für Windows® 7 und Windows Vista® den Benutzern, diesen Rat sehr einfach in die Tat umzusetzen. Internet Explorer 8® für Windows® XP sorgt mit der DropMyRights-Anwendung für entsprechende Möglichkeiten. Weitere Informationen zu diesem Thema finden Sie im Artikel Nutzung der geringstmöglichen Privilegien für Windows XP-Benutzerkonten (engl.). Die beiden Lösungen arbeiten zwar unterschiedlich, sie haben jedoch beide das gleiche Ziel: Sie sollen die möglichen Auswirkungen durch einen möglichen Angriff verringern. Die beiden Lösungen werden in den folgenden Abschnitten genauer besprochen. Aktivierung des geschützten Modus In Internet Explorer 8 für Windows Vista und Windows 7 ist der geschützte Modus für die Zonen Internet und Eingeschränkte Sites standardmäßig aktiviert. Er beschränkt die Zugriffsmöglichkeiten auf das Dateisystem und die Registrierung für Anwendungen. Der Internet Explorer-Prozess wird durch diese Einschränkungen isoliert, und schädliche Websites und andere Software haben so weniger Möglichkeiten, Benutzerinformationen zu missbrauchen oder das System zu beschädigen. Der Benutzer kann jedoch den geschützten Modus deaktivieren – was zur Verschlechterung der Gesamtsicherheit führt. Aus diesem Grund empfehlen wir, den geschützten Modus für die Zonen Internet und Eingeschränkte Sites mithilfe einer Gruppenrichtlinie zu aktivieren und so die Deaktivierung durch die Benutzer zu verhindern. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone> In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.8: Einstellung „Geschützter Modus aktivieren” Richtlinienobjekt Beschreibung Geschützter Modus aktivieren Der geschützte Modus ist standardmäßig aktiv. Der Benutzer kann ihn jedoch deaktivieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators 36 Internet Explorer 8 Security Guide Diese Einstellung findet nur auf Internet Explorer 8 für Windows 7 und Windows Vista Anwendung. Im Windows XP-Modus auf einem Computer unter Windows 7 ist sie ebenfalls nicht aktiv. Der geschützte Modus ist für die folgenden Zonen von Internet Explorer 8 verfügbar: Internetzone Intranetzone Zone des lokalen Computers Sperrung der Zone des Internets Sperrung der Zone des Intranets Sperrung der Zone des lokalen Computers Sperrung der Zone eingeschränkter Sites Sperrung der Zone vertrauenswürdiger Sites Zone eingeschränkte Sites Zone vertrauenswürdige Sites Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 37 Anmerkung: Wenn ein Problem mit dem geschützten Modus die Ausführung einer Anwendung verhindert, dann deaktivieren Sie die Option nicht einfach. Sie würden durch die Deaktivierung die Gesamtsicherheit des Browsers beeinträchtigen. Sprechen Sie stattdessen den Besitzer der Website an, und bitten Sie ihn, die Website für den geschützten Modus entsprechend zu aktualisieren. Als temporäre Lösung können Sie die Website zur Einstellung Zone vertrauenswürdige Sites hinzufügen. DropMyRights unter Windows XP DropMyRights ist eine einfache Anwendung, mit der Benutzer, die als Administrator angemeldet sein müssen, Anwendungen in einem deutlich sicheren Kontext ausführen können. Es ist deutlich sicherer, sich einfach mit einem Konto ohne administrative Rechte anzumelden. Wenn Ihnen jedoch keine Wahl bleibt, dann können Sie diese Anwendung auf Computern mit Internet Explorer 8 für Windows XP als Ersetz für den geschützten Modus nutzen. DropMyRights entfernt verschiedenste Privilegien und SIDs (Security Identifier) aus dem Token des Benutzers. Danach nutzt es das Token dazu, einen anderen Prozess zu starten. Weitere Informationen zu DropMyRights und eine Downloadmöglichkeit für den Quellcode finden Sie im MSDN-Artikel Sicheres Surfen im Web und Lesen von E-Mails als Administrator (engl.). Nach der Installation muss nur noch eine neue Verknüpfung für den Start von Internet Explorer über DropMyRights erstellt werden. Andere Sicherheitseinstellungen Zusätzlich zu den bereits besprochenen Sicherheitseinstellungen gibt es einige Optionen, mit denen Sie die Sicherheit weiter verbessern können. In diesem Abschnitt werden einige dieser Einstellungen besprochen. Sie erhalten Empfehlungen dazu, welche Werte Sie für die Einstellungen konfigurieren können. Sicherheitsfunktion für MIME-Ermittlung Mit dieser Einstellung können Sie die Veränderung des Dateityps einer Datei zu einem möglicherweise schädlichen Dateityp verhindern. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Sicherheitsfunktionen\Sicherheitsfunktion für MIMEErmittlung In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung. Tabelle 2.9: Einstellung „Sicherheitsfunktion für MIME-Ermittlung” Richtlinienobjekt Beschreibung Alle Prozesse Wenn Sie diese Einstellung aktivieren, wird die Sicherheitsfunktion der MIME-Ermittlung für alle Prozesse aktiviert. Solution Accelerators microsoft.com/technet/SolutionAccelerators 38 Internet Explorer 8 Security Guide Richtlinienobjekt Beschreibung Internet ExplorerProzesse Wenn Sie diese Einstellung deaktivieren, erlauben die Internet Explorer-Prozesse, dass bei der MIME-Ermittlung eine Datei zu einem gefährlicheren Dateityp heraufgestuft wird. Wenn Sie diese Einstellung nicht konfigurieren (Standardeinstellung), dann stuft die MIME-Ermittlung von Internet Explorer eine Datei niemals zu einem gefährlicheren Dateityp herauf.‡ Prozessliste Mit dieser Einstellung können Administratoren Anwendungen festlegen, die nicht zugelassen sind. Weitere Informationen zur Einstellung finden Sie im Gruppenrichtlinieneditor in der Beschreibung der Einstellung. Sicherheitseinschränkung für MK-Protokoll Die Einstellung Sicherheitseinschränkung für MK-Protokoll reduziert die Angriffsfläche, indem das MK-Protokoll blockiert wird. Ist die Einstellung aktiviert, dann kann auf Ressourcen, die über das MK-Protokoll gehostet werden, nicht mehr zugegriffen werden. Das MK-Protokoll ist ein technisch überholter Mechanismus zur Verknüpfung von Windows-Hilfedateien mit Webseiten. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkung für MKProtokoll In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung. Tabelle 2.10: Einstellung „Sicherheitseinschränkung für MK-Protokoll” Richtlinienobjekt Beschreibung Alle Prozesse Die Einschränkung ist standardmäßig für alle Prozesse nicht aktiv. Wenn Sie diese Einstellung aktivieren, wird das MK-Protokoll für alle Prozesse deaktiviert. Jegliche Verwendung des MK-Protokolls wird so blockiert. Internet ExplorerProzesse Wenn Sie diese Einstellung deaktivieren, können Anwendungen die MK-Protokoll-API verwenden. Ressourcen, die über das MK-Protokoll gehostet werden, sind für Windows Explorer- und Internet Explorer-Prozesse voll funktionsfähig. Die Standardeinstellung verhindert das MK-Protokoll für Windows Explorer und Internet Explorer. Die entsprechenden Ressourcen sind blockiert. Prozessliste Mit dieser Einstellung können Administratoren Anwendungen festlegen, für die die Funktionalität gelten oder nicht gelten soll. Weitere Informationen zur Einstellung finden Sie im Gruppenrichtlinieneditor in der Beschreibung der Einstellung. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 39 Verschlüsselte Seiten nicht auf der Festplatte speichern Um das Browsen zu verbessern, kann Internet Explorer Inhalte lokal zwischenspeichern (Temporäre Internetdateien). Diese Seiten können danach direkt lokal abgerufen werden und stehen beim wiederholten Zugriff auf dieselbe Ressource so schneller bereit. Internet Explorer bietet die Möglichkeit zur Zwischenspeicherung von verschlüsselten und unverschlüsselten Inhalten. Standardmäßig werden beide Inhaltstypen zwischengespeichert. Das lokale Zwischenspeichern von verschlüsselten Daten verhindert Leistungsprobleme beim wiederholten Zugriff auf dieselben Inhalte (beispielsweise Bilder). Das Risiko für eine Entschlüsselung der lokal gespeicherten Daten ist normalerweise relativ gering. Es ist schwierig, die Daten zu entschlüsseln, und der Wert der entsprechenden Daten ist gering. Auch wenn ein Angreifer in der Lage wäre, verschlüsselte Daten zu entschlüsseln, wären Informationen wie Benutzernamen und Kennwörter normalerweise nicht sichtbar. Der Angreifer könnte nur die Seiteninhalte sehen. Es ist allerdings möglich, dass diese Seiteninhalte sensible Informationen (beispielsweise Kontostände oder Transaktionsinformationen) umfassen. Unternehmen, die die Sicherheit von Internet Explorer verbessern möchten, können die GruppenEinstellung Verschlüsselte Seiten nicht auf der Festplatte speichern aktivieren und so das Zwischenspeichern verhindern. Nach der Aktivierung dieser Option kann es möglicherweise zu Leistungsproblemen (Latenz, zusätzlicher Netzwerkverkehr) und zu mehr Anrufen beim Helpdesk kommen. Es ist möglich, dass Websites die Deaktivierung der Einstellung voraussetzen. Es sollten jedoch keine ernsthaften Anwendungsfehler auftreten. Die Aktivierung der Einstellung kann Probleme beim Zugriff auf „On-DemandInhalte“ wie beispielsweise Transaktionsinformationen zu Bankkonten verursachen. Solche Probleme können beispielsweise dann auftreten, wenn ein Benutzer entsprechende Informationen anzeigt, dann zu einer anderen Seite navigiert und danach den Zurück-Schalter nutzt, um zur ersten Seite zurückzukehren. In korrekt konfigurierten Serverumgebungen zeigt eine entsprechende Fehlermeldung dem Benutzer an, dass die Seite abgelaufen ist und er auf den Aktualisieren-Schalter klicken muss. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Seite „Erweitert“ In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.11: Einstellung „Verschlüsselte Seiten nicht auf der Festplatte speichern” Richtlinienobjekt Solution Accelerators Beschreibung microsoft.com/technet/SolutionAccelerators 40 Internet Explorer 8 Security Guide Richtlinienobjekt Beschreibung Verschlüsselte Seiten nicht auf der Festplatte speichern Mit dieser Einstellung können Sie festlegen, ob verschlüsselte Seiten mit sicheren (HTTPS-) Informationen wie Kennwörtern und Kreditkartennummern im Cache von Internet Explorer gespeichert werden sollen, da dieser Cache unsicher sein kann. Wenn Sie diese Einstellung aktivieren, speichert Internet Explorer keine verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wenn Sie diese Einstellung deaktivieren, speichert Internet Explorer verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wenn Sie diese Einstellung nicht konfigurieren, speichert Internet Explorer verschlüsselten Seiten mit sicheren (HTTPS-) Informationen im Cache. Wir empfehlen, die Einstellung nur dann zu aktivieren, wenn in Ihrer Umgebung sensible Daten in Webseiten vorhanden sind. Proxyeinstellung pro Computer vornehmen Wenn ein Benutzer Proxyeinstellungen ändert, dann ist er möglicherweise nicht mehr in der Lage, auf Websites zuzugreifen. Wenn der Benutzer jedoch unterwegs ist, dann ist er möglicherweise gezwungen, die Einstellungen zu ändern. Bei Desktops, die nicht zwischen verschiedenen Standorten wechseln, sollten Sie dafür sorgen, dass die Proxyeinstellungen pro Computer statt pro Benutzer gespeichert werden. Bei mobilen Notebooks sollten die Benutzer die Einstellungen ändern können, um unterwegs auf das Internet zugreifen zu können. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.12: Einstellung „Proxyeinstellung pro Computer vornehmen (anstelle von pro Benutzer)” Richtlinienobjekt Solution Accelerators Beschreibung microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 41 Richtlinienobjekt Beschreibung Proxyeinstellung pro Computer vornehmen (anstelle von pro Benutzer) Wendet Proxyeinstellungen für alle Benutzer desselben Computers an. Wenn Sie diese Richtlinie aktivieren, können die Benutzer benutzerspezifische Proxyeinstellungen festlegen. Dabei müssen sie die Zonen verwenden, die für alle Benutzer auf dem Computer erstellt wurden. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können alle Benutzer eines Computers ihre eigenen Proxyeinstellungen einrichten. Mit dieser Richtlinie können Sie sicherstellen, dass die Proxyeinstellungen auf einem Computer einheitlich gelten und sich nicht von Benutzer zu Benutzer unterscheiden. Wir empfehlen, die Einstellung für Desktops mit festem Standort zu aktivieren und für mobile Notebooks zu deaktivieren. Systemabsturzermittlung deaktivieren Internet Explorer 8 umfasst eine Funktion zur Fehler- und Absturzerkennung, die Informationen zur Fehlerbehebung sammelt. In den entsprechenden Fehlerberichten können jedoch sensible Informationen aus dem Arbeitsspeicher des Computers enthalten sein. Für die meisten Organisationen empfehlen wir die Aktivierung der Einstellung. Wenn die Einstellung deaktiviert oder nicht konfiguriert ist, dann werden Informationen an Microsoft weitergeleitet. Microsoft nutzt diese Informationen jedoch ausschließlich zur Analyse der Fehlerdaten. Wenn Sie die Einstellung aktivieren, dann verhält sich ein Ausfall genauso wie bei Internet Explorer unter Windows XP Professional Service Pack 1 (SP1) oder früher: Die Windows-Fehlerberichterstattung wird zusammen mit allen entsprechenden Richtlinien genutzt. Wenn es regelmäßig zu Fehlern kommt und Sie zur Fehlerbehebung entsprechende Informationen benötigen, dann können Sie die Einstellung temporär für die betroffenen Computer deaktivieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators 42 Internet Explorer 8 Security Guide Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.13: Einstellung „Systemabsturzermittlung deaktivieren” Richtlinienobjekt Beschreibung Systemabsturzermittlung Mit dieser Einstellung können Sie die deaktivieren Absturzermittlungsfunktion der Add-On-Verwaltung verwalten. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bleibt die Absturzermittlungsfunktion für die Add-On-Verwaltung in Funktion. Wir empfehlen die Aktivierung der Einstellung. Dateidownload einschränken Unter bestimmten Umständen können Websites ohne Interaktion durch den Benutzer Fenster für den Download von Dateien öffnen. Wenn der Benutzer den Download akzeptiert, dann können Websites mit dieser Technik nicht autorisierte Dateien auf dem Computer des Benutzers speichern. Wir empfehlen daher, die Einstellung Internet Explorer-Prozesse (Dateidownload einschränken) mit Aktiviert zu konfigurieren. So ist sichergestellt, dass nicht vom Benutzer initiierte Downloadfenster für Internet Explorer-Prozesse blockiert werden. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Sicherheitsfunktionen\Dateidownload einschränken In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.14: Einstellung „Dateidownload einschränken“ Richtlinienobjekt Beschreibung Internet ExplorerProzesse Diese Einstellung aktiviert die Blockierung von Aufforderungen für Dateidownloads, die nicht vom Benutzer veranlasst wurden. Wenn Sie diese Einstellung aktivieren, wird für Internet ExplorerProzesse die Aufforderung für Dateidownloads blockiert, die nicht vom Benutzer veranlasst wurden. Wenn Sie diese Einstellung deaktivieren, wird für Internet Explorer-Prozesse die Aufforderung für Dateidownloads, die nicht vom Benutzer veranlasst wurden, nicht blockiert. Wenn Sie diese Einstellung nicht konfigurieren, wird anhand der Benutzereinstellungen bestimmt, ob für Internet ExplorerProzesse bei Dateidownloads, die nicht vom Benutzer veranlasst wurden, eine Aufforderung angezeigt wird. Wir empfehlen, die Einstellung mit Aktiviert zu konfigurieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 43 Dateidownload für die Zone „Eingeschränkte Sites“ einschränken Für die Zone Eingeschränkte Sites sind Dateidownloads standardmäßig deaktiviert. Um sicherzustellen, dass dies auch so bleibt, empfehlen wir die Option Dateidownloads zulassen für die Zone Eingeschränkte Sites zu deaktivieren. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Zone Eingeschränkte Sites In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 2.15: Einstellung „Dateidownloads zulassen” Richtlinienobjekt Beschreibung Dateidownloads zulassen Diese Einstellung ermöglicht Ihnen festzulegen, ob Dateidownloads aus der Zone Eingeschränkte Sites zugelassen sind. Für diese Option ist die Zone der Seite entscheidend, auf der sich der Link für den Download befindet, nicht die Zone, von der aus die Datei bereitgestellt wird. Wenn Sie diese Einstellung aktivieren, können die Benutzer Dateien von dieser Zone herunterladen. Wenn Sie diese Einstellung deaktivieren, können die Benutzer keine Dateien von dieser Zone herunterladen. Wenn Sie diese Einstellung nicht konfigurieren, können die Benutzer keine Dateien von dieser Zone herunterladen. Wir empfehlen, die Einstellung mit Deaktiviert zu konfigurieren. Objektzwischenspeicherungsschutz Der Objektzwischenspeicherungsschutz sorgt dafür, dass zwischengespeicherte Objekte nach dem Verlassen einer Website nicht missbraucht werden können. Über einen neuen Sicherheitskontext für alle Skriptobjekte wird der Zugriff auf alle gespeicherten Objekte blockiert. Der Zugriff wird außerdem blockiert, wenn der Benutzer Seiten in derselben Domäne aufruft. Hat sich durch die Navigation des Benutzers der Kontext geändert, so steht keine Referenz mehr für die entsprechenden Objekte zur Verfügung. Anwendungsentwickler sollten diese Sicherheitsmaßnahme berücksichtigen und keine Anwendungen erstellen, die Objekte von anderen Websites nutzen. Dieses Verfahren könnte zu einer fehlerhaften Darstellung führen. Die Einstellung ist standardmäßig für Internet Explorer-Prozesse aktiviert. Wir empfehlen, die entsprechende Einstellung über eine Gruppenrichtlinie durchzusetzen. Wenn die Einstellung aktiviert ist, so verringert dies die Risiken für domänenübergreifende Sicherheitsprobleme. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Solution Accelerators microsoft.com/technet/SolutionAccelerators 44 Internet Explorer 8 Security Guide Internet Explorer\Sicherheitsfunktionen\Objektzwischenspeicherungsschutz In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 2: Sicherheitsempfehlungen 45 Tabelle 2.16: Einstellung „Objektzwischenspeicherungsschutz” Richtlinienobjekt Beschreibung Internet ExplorerProzesse Diese Einstellung legt fest, ob bei der Navigation innerhalb einer Domäne oder zu einer neuen Domäne auf einen Objektverweis zugegriffen werden kann. Wenn Sie diese Einstellung aktivieren, kann bei der Navigation innerhalb der Domäne oder zu anderen Domänen für alle Prozesse nicht mehr auf den Objektverweis zugegriffen werden. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bleibt der Objektverweis bei der Navigation innerhalb der Domäne zu anderen Domänen der Zone Eingeschränkte Sites erhalten. Wir empfehlen, die Einstellung mit Aktiviert zu konfigurieren. Java-Berechtigungen Zu den Java-Berechtigungen in Internet Explorer gab es in der Vergangenheit ein paar Unklarheiten. Viele Benutzer gingen davon aus, dass die Einstellung nur Auswirkungen auf die Microsoft Java Virtual Machine (MSJVM) hat. Microsoft geht tatsächlich auch davon aus, dass die Einstellung durch JVMs (Java Virtual Machines) anderer Hersteller ignoriert wird. Die Einstellung blockiert jedoch die Nutzung des <APPLET>-Elements in HTML. Dies bedeutet, dass die Einstellung unter bestimmten Umständen auch Inhalte blockiert, für die eine JVM erforderlich ist – und zwar auch dann, wenn eine JVM eines Drittanbieters installiert ist. Andere HTML-Elemente können die installierte JVM allerdings ganz normal nutzen. Ob das beschriebene Verhalten auftritt, kommt daher auf die Inhalte der jeweiligen Website an. Standardmäßig ist die Einstellung für die Zonen Internet und Eingeschränkte Sites mit Aktiviert konfiguriert. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone> In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Solution Accelerators microsoft.com/technet/SolutionAccelerators 46 Internet Explorer 8 Security Guide Tabelle 2.17: Einstellung „Java-Einstellungen” Richtlinienobjekt Beschreibung JavaEinstellungen Mit dieser Einstellung können Sie Berechtigungen für JavaApplets verwalten. Wenn Sie diese Einstellung aktivieren, können Sie Optionen aus dem Dropdownfeld auswählen. Mit der Auswahl Benutzerdefiniert können Sie Berechtigungseinstellungen einzeln steuern. Bei der Auswahl Niedrige Sicherheit können Applets alle Operationen ausführen. Bei der Auswahl Mittlere Sicherheit werden Applets in einer eigenen geschützten Umgebung ausgeführt (der so genannten „Sandbox", einem Speicherbereich, außerhalb dessen das Programm keine Aufrufe vornehmen kann). Bei der Auswahl Hohe Sicherheit werden Applets in ihrer Sandbox ausgeführt. Bei der Auswahl Java deaktivieren können keinerlei Applets ausgeführt werden. Wenn Sie diese Einstellung deaktivieren, können Java-Applets nicht ausgeführt werden. Wenn Sie diese Einstellung nicht konfigurieren, werden die Berechtigungen auf Hohe Sicherheit festgelegt. Zusätzliche Informationen Unter den folgenden Quellen finden Sie zusätzliche Informationen zu sicherheitsbezogenen Themen für Internet Explorer 8: ActiveX-Sicherheit: Verbesserungen und Best-Practices (engl.) Prinzip der geringstmöglichen Berechtigungen für Benutzerkonten unter Windows XP (engl.) Sicheres Surfen im Internet und Lesen von E-Mails als Administrator (engl.) Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen Sicherheitsleitfaden beschränken sich oft auf Einstellungen, die eine Manipulation des Systems verhindern. Eine umfassende Sicherheitsbetrachtung muss sich jedoch auch mit einer Analyse der „weichen“ Sicherheitseinstellungen, die sich auf den Datenschutz und die persönlichen Daten auswirken, befassen. Windows® Internet Explorer® 8 stellt verschiedenste Erweiterungen zur Absicherung der persönlichen Daten bereit. Zu diesen Erweiterungen gehört unter anderem der SmartScreen-Filter, der die Benutzer vor Phishing-Websites und Websites mit schädlicher Software warnt. Wenn Sie die Standardeinstellungen für die Datenschutzeinstellungen und für den Umgang mit Daten beim Verlassen des Browsers ändern, können Sie die Browsersicherheit verbessern. Das Löschen der temporären Internetdateien sorgt dafür, dass persönliche Daten regelmäßig beseitigt werden. Eine unbeabsichtigte Offenlegung solcher Daten wird so verhindert. Durch die so verhinderte Autovervollständigung bei Formularen und die Speicherung von Kennwörtern werden die Risiken für den Verlust von privaten Anmeldeinformationen weiter gesenkt. Die Empfehlungen zu den Internet Explorer 8-Datenschutzeinstellungen aus diesem Kapitel sind in die folgenden neun Kategorien gruppiert: Nutzung von InPrivate-Browsen Nutzung der InPrivate-Filterung Löschen des Browserverlaufs Konfigurieren der Datenschutzeinstellung auf Mittel oder höher Automatisches Leeren des Ordners Temporäre Internetdateien Deaktivierung der AutoVervollständigen-Optionen Konfiguration von Anmeldeoptionen für jede Sicherheitszone Aktivieren von SmartScreen-Filter Nutzung des XSS-Filters Einige Organisationen überprüfen die Aktivitäten der Benutzer in Internet Explorer. Diese Organisationen müssen zwischen der Speicherung der Browseraktivitäten und den Datenschutzanforderungen der Benutzer abwägen. Möglicherweise sollten sie einige der in diesem Kapitel empfohlenen Einstellungen anders konfigurieren. Nutzung von InPrivate-Browsen Manchmal sollen auf einem Computer keine Spuren der Aktivitäten im Internet zurückbleiben (beispielsweise, wenn man auf dem gemeinsamen Familien-PC Weihnachtsgeschenke einkauft). Mit InPrivate-Browsen in Internet Explorer 8 können Sie den Browser darin hindern, Browserverlauf, temporäre Internetdateien, Formulardaten, Cookies und Benutzernamen und Kennwörter zu speichern. Auf diese Art bleiben keine Belege für Ihre Aktivitäten zurück. Um das InPrivate-Browsen zu starten, klicken Sie in der Befehlsleiste auf Sicherheit und dann auf InPrivate-Browsen. Internet Explorer 8 startet dann eine neue Browsersitzung, in der keine Informationen gespeichert werden. Solution Accelerators microsoft.com/technet/SolutionAccelerators 48 Internet Explorer 8 Security Guide Wenn Sie die InPrivate-Sitzung beenden möchten, schließen Sie einfach das Browserfenster. Beim InPrivate-Browsen passiert Folgendes: BHOs (Browser Helper Objects) und Browserleisten sind deaktiviert. Neue Cookies werden zu „Sitzungscookies“ und werden beim Schließen des Browsers gelöscht. Die bestehenden Cookies können nicht gelesen werden. Die bestehende Funktionalität des neuen DOM-Storage-Funktionen kann nicht geändert werden. Es werden keine neuen Einträge in den Verlauf eingefügt. Neue temporäre Internetdateien werden nach dem Schließen des InPrivate-Browserfensters gelöscht. Es werden keine Formulardaten gespeichert. Es werden keine Kennwörter gespeichert. Die in die Adressleiste eingegebenen Adressen werden nicht gespeichert. Die in das Suchfeld eingegebenen Abfragen werden nicht gespeichert. Die besuchten Links werden nicht gespeichert. Abhängig von den geschäftlichen Anforderungen, Vorgaben und Gesetzen können einige oder alle dieser Eigenschaften genutzt werden. Mit der Kommandozeilenoption private können Sie InPrivate-Browsen zum Standardmodus des Browsers machen (Beispiel: "C:\Program Files\Internet Explorer\iexplore.exe" –private) Nutzung der InPrivate-Filterung Die InPrivate-Filterung wurde dazu entwickelt, nur die Inhalte anderer Organisationen zu blockieren, die auf den besuchten Websites sehr häufig auftauchen. Inhalte werden erst dann geblockt, wenn ein bestimmter Häufigkeitslevel erreicht ist. Inhalte, die direkt von der besuchten Website bereitgestellt werden, werden niemals geblockt. Wann die automatische Blockierung stattfindet, hängt von Ihren Aktivitäten im Browser und den von Ihnen besuchten Websites ab. Sowohl Administratoren als auch Benutzer können die Häufigkeitslevels für die Filterliste konfigurieren. Sie können auf Werte zwischen drei und 30 konfiguriert werden. Sie können außerdem eine Liste von blockierten (oder zugelassenen) Websites manuell importieren. Wir empfehlen die Aktivierung von InPrivate-Filterung – es sei denn, die Filterung sorgt bei für den Geschäftsbetrieb erforderlichen Websites für Probleme. Löschen des Browserverlaufs Die Möglichkeit, den Browserverlauf in Internet Explorer zu löschen, ist nicht neu. Sie wurde jedoch mit Internet Explorer 8 erweitert. Wenn Sie den Browserverlauf löschen, können Sie jetzt die Cookies und die temporären Internetdateien für die Websites in Ihren Favoriten erhalten. Mit dieser neuen Möglichkeit können Sie Ihre persönlichen Daten und Ihre Daten für vertrauenswürdige Websites schützen. Ihre Voreinstellungen und Cookies für die entsprechenden Websites bleiben erhalten. Mit den neuen Optionen können die Benutzer außerdem InPrivate-Filterdaten löschen. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen 49 Abbildung 3.1: Browserverlauf löschen Das neue Dialogfenster Browserverlauf löschen umfasst verschiedene Optionen, mit denen genauer gesteuert werden kann, was gelöscht werden soll und was nicht. Konfigurieren der Datenschutzeinstellung auf Mittel oder höher Einige Websites speichern Informationen in kleinen Textdateien auf ihrem Computer und versuchen so, das Internet für Sie zu personalisieren. Diese Textdateien werden Cookies genannt. Diese Cookies können dazu genutzt werden, die Onlineaktivitäten eines Benutzers übergreifend nachzuverfolgen. Microsoft empfiehlt dringend, Cookies zu nutzen. Unserer Meinung nach stellen Cookies kein Sicherheitsproblem dar. Internet Explorer 8 bietet jedoch einige Mechanismen für den Umgang mit Cookies, die den Benutzern mehr Kontrolle über ihre Daten ermöglichen. Es gibt zwei unterschiedliche Cookie-Typen. Das First-Party-Cookie stammt entweder von der aktuell angezeigten Website oder wird an diese gesendet. Ein solches Cookie wird normalerweise dazu genutzt, Informationen zur Website zu speichern (beispielsweise Einstellungen). Das Third-Party-Cookie stammt von einer anderen Website als der aktuell angezeigten oder wird an diese gesendet. Websites von Drittanbietern stellen oft einige Inhalte der aktuell angezeigten Website bereit (beispielsweise Werbung) und nutzen in diesem Rahmen entsprechende Third-Party-Cookie. Häufig werden diese Cookies dazu genutzt, Ihr Surfverhalten für Werbezwecke nachzuverfolgen. Sicherheitseinstellungen, die sich auf den Datenschutz auswirken, finden Sie unter der Registerkarte Datenschutz im Dialogfenster Internetoptionen. Auf der Registerkarte befindet sich ein Schieberegler, mit dem Sie eine von sechs vordefinierten Optionen auswählen können. Dieser Schieberegler gilt nur für die Zone Internet. Cookies aus den Zonen Lokales Intranet und Vertrauenswürdige Sites werden automatisch akzeptiert. Cookies aus der Zone Eingeschränkte Sites werden automatisch blockiert. Solution Accelerators microsoft.com/technet/SolutionAccelerators 50 Internet Explorer 8 Security Guide Jede Organisation muss ihre eigenen Richtlinien für Cookies definieren. Wir empfehlen, die Einstellung zumindest auf Mittel festzulegen. So erreichen Sie Folgendes: Cookies von Drittanbietern ohne Datenschutzrichtlinie werden blockiert. Cookies von Drittanbietern, die ohne ausdrückliche Einwilligung Informationen nutzen, die den Benutzer persönlich identifizierbar machen, werden blockiert. Cookies von Erstanbietern, die ohne ausdrückliche Einwilligung Informationen nutzen, die den Benutzer persönlich identifizierbar machen, werden eingeschränkt. Die Einstellung Hoch schränkt alle Cookies ein. Die anderen Einstellungen lassen Cookies jeweils unter bestimmten Bedingungen zu. Mit der Einstellung Alle Cookies annehmen sind alle Cookies erlaubt. Anmerkung: Standardmäßig hat der Benutzer die Möglichkeit, die Einstellung zu verändern. Sie können die Registerkarte Datenschutz jedoch über eine Gruppenrichtlinie deaktivieren. Sie können die Einstellungen für bestimmte Websites mit den Optionen Blockieren und Zulassen umgehen oder erzwingen. Mit einer Gruppenrichtlinie können Sie nicht nur die Cookieeinstellungen durchsetzen, sondern auch Websites zur Liste hinzufügen. Um einen maximalen Datenschutz zu erreichen und gleichzeitig die Vorteile von Cookies zu erhalten (beispielsweise die Speicherung von Anmeldeinformationen und Einstellungen), empfehlen wir, alle Cookies von Drittanbietern zu blockieren und alle Cookies von Erstanbietern zuzulassen. Automatisches Leeren des Ordners Temporäre Internetdateien Um das Laden der Seiten zu beschleunigen und die benötigte Bandbreite zu verringern, speichert Internet Explorer viele Objekte aus Webdokumenten (HTML, Videos, Bilder usw.) im Ordner Temporäre Internetdateien. Die hier gespeicherten Elemente stellen zwar kein Sicherheitsproblem dar, können aber für den Missbrauch von persönlichen Daten genutzt werden – beispielsweise dann, wenn andere Benutzer auf den Computer zugreifen. Die Dateien werden standardmäßig im Ordner %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files gespeichert. Mit dem Internet Explorer Administration Kit (IEAK) 8 oder einem GPO können Sie den Speicherort jedoch ändern. Wir empfehlen Ihnen, die Option Leeren des Ordners „Temporäre Internetdateien” beim Schließen des Browsers mit Aktiviert zu konfigurieren. So werden beim Schließen des Browser alle lokal gespeicherten Inhalte gelöscht. Die Einstellung hat keine Auswirkungen auf die Funktionalität. Sie kann sich jedoch auf die Anwendungsleistung auswirken und für mehr Anrufe beim Helpdesk sorgen. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Seite “Erweitert” In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen 51 Tabelle3.1: Einstellung „Leeren des Ordners ‚Temporäre Internetdateien‘” beim Schließen des Browsers” Richtlinienobjekt Beschreibung Leeren des Ordners „Temporäre Internetdateien” beim Schließen des Browsers Mit dieser Einstellung können Sie festlegen, ob Internet Explorer den Inhalt des Ordners „Temporäre Internetdateien" löscht, nachdem alle Browserfenster geschlossen wurden. Dadurch werden Sie davor geschützt, gefährliche Dateien oder sensible Dateien auf dem Computer zu speichern, die von anderen Benutzern eingesehen werden könnten. Außerdem wird dadurch die Nutzung des Festplattenplatzes verwaltet. Standardmäßig werden die Inhalte des Ordners nicht gelöscht. Wir empfehlen, die Einstellung zu aktivieren. Anmerkung: Organisationen, die gesetzliche Anforderungen in Bezug auf den Datenschutz erfüllen müssen, können mit dieser Einstellung dafür sorgen, dass die entsprechenden Informationen regelmäßig gelöscht werden. Die Einstellung verhindert jedoch nicht, dass die Daten mithilfe geeigneter Tools wiederhergestellt werden. Aus diesem sollten die entsprechenden Organisationen unbedingt prüfen, ob die Einstellung für ihre Compliance-Anforderungen ausreichend ist. Deaktivierung der AutoVervollständigen-Optionen Internet Explorer speichert Formulardaten, um diese später wiederverwenden und erneut übertragen zu können. Ein häufig in Formularen genutztes Feld ist beispielsweise das Feld „Straße“ (als Teil der Adresse). Mit AutoVervollständigen liest Internet Explorer Werte Formularfelder und trägt die entsprechenden Informationen automatisch ein. Der Benutzer muss sie so nicht immer wieder eingeben. Zwar stellt dieses Verfahren keine direkte Sicherheitsbedrohung dar, doch können die genutzten Informationen von Websites missbraucht werden. Noch wichtiger ist, dass die Funktion nicht zwischen sehr sensiblen Daten (beispielsweise Kreditkartennummern) und bereits öffentlich verfügbaren Daten (beispielsweise Telefonnummern) unterscheiden kann. Aus diesem Grund ist es daher möglich, dass persönliche Daten des Benutzers versehentlich in die Hände von Dritten gelangen. Wenn Sie auf Einstellungen auf der Registerkarte AutoVervollständigen im Dialogfenster Internetoptionen klicken, finden Sie die Einstellungen für die AutoVervollständigen-Funktion. Internet Explorer 8 kann zusätzlich zu anderen Daten auch Benutzernamen und Kennwörter aus Formularen speichern. Der Benutzer muss sich so nicht mehr selbst an die immer größer werdende Zahl von Kennwörtern und Benutzernamen erinnern. Ein paar grundlegende Sicherheitsmechanismen legen fest, welche Daten in einem Formular eingegeben werden müssen. Diese sorgen dafür, dass die falschen Anmeldeinformationen in ein Formular eingetragen werden. Trotz dieser Sicherheitsmaßnahmen ist es besonders trickreich entworfenen Websites eventuell möglich, die Benutzer zur Weitergabe von Anmeldeinformationen an Angreifer zu bewegen. Der Speicher für die Anmeldedaten ist gesichert. Sie werden lokal auf dem jeweiligen System gespeichert, und es ist nicht möglich, von außerhalb des Systems auf die Daten zuzugreifen. Wir empfehlen Ihnen, die AutoVervollständigen-Funktion zu deaktivieren. Die Deaktivierung hat keine Auswirkungen auf die Leistung. Es kann jedoch sein, dass sich die Benutzer über die fehlende Funktion beschweren und auf Solution Accelerators microsoft.com/technet/SolutionAccelerators 52 Internet Explorer 8 Security Guide kürzere/einfachere und somit leichter zu merkende, aber unsichere Kennwörter ausweichen. Sie sollten daher die entsprechenden Prozesse für die Kennwortanforderungen und -validierung überprüfen und so sicherstellen, dass die Benutzer keine unsicheren Kennwörter nutzen. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 3.2: Einstellungen für AutoVervollständigen Richtlinienobjekt Beschreibung AutoVervollständigen für Formulare deaktivieren AutoVervollständigen macht dem Benutzer beim Ausfüllen von Formularfeldern Eingabevorschläge. Wenn Sie die Einstellung aktivieren, dann werden keine Vorschläge gemacht. Die Benutzer können diese Einstellung nicht verändern. Wenn Sie die Einstellung deaktivieren, macht Internet Explorer Vorschlage. Die Benutzer können auch diese Einstellung nicht verändern. Standardmäßig können die Benutzer die AutoVervollständigen-Einstellungen verändern. Wir empfehlen, die Einstellung zu aktivieren. AutoVervollständigen für Benutzernamen und Kennwörter in Formularen aktivieren Diese Einstellung schlägt Kennwörter und Benutzernamen in Formularen vor. Wenn Sie die Einstellung aktivieren, dann werden Vorschläge gemacht. Die Benutzer können diese Einstellung nicht verändern. Daher müssen Sie festlegen, ob die Option Vor dem Speichern von Kennwörtern nachfragen aktiviert werden soll. Wenn Sie die Einstellung deaktivieren, trägt Internet Explorer keine Benutzernamen und Kennwörter ein. Die Benutzer können die entsprechenden Einstellungen nicht verändern. Wenn Sie die Einstellung nicht konfigurieren, dann können die Benutzer die Funktion aktivieren und die Einstellung selbst festlegen. Wir empfehlen, die Option zu deaktivieren. Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen, können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände von nicht autorisierten Benutzern gelangen. Konfiguration von Anmeldeoptionen für jede Sicherheitszone Mithilfe von Windows-Domänen können Unternehmen Informationen aus dem Intranet absichern und gleichzeitigt ohne die ständige Neueingabe von Anmeldeinformationen auf Netzwerkdokumente zugreifen. Internet Explorer kann die Authentifizierungsinformationen auf dem System dazu nutzen, den Benutzern NTML-Authentifizierungsinformationen für den Zugriff auf die Zone Intranet zur Verfügung stellen. Mit den Einstellungen für die Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen 53 Anmeldungsoptionen stehen Ihnen mehr Möglichkeiten als nur eine einfache Aktivierung oder Deaktivierung zur Verfügung. Standardmäßig ist für die Zonen Internet, Lokales Intranet und Vertrauenswürdige Sites die Option Automatisches Anmelden nur in der Intranetzone aktiv. Für die Zone Eingeschränkte Sites ist hingegen die Option Nach Benutzername und Kennwort fragen die Standardeinstellung. Dies führt dazu, dass die Anmeldung an Sites in der Zone Intranet, wann immer möglich, automatisch durchgeführt wird. In allen anderen Zonen wird der Benutzer nach Anmeldeinformationen gefragt. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Computerkonfiguration\Administrative Vorlagen\WindowsKomponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\<Zone> In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 3.3: Einstellung „Anmeldungsoptionen” Richtlinienobjekt Beschreibung Anmeldungsoptionen Mit dieser Einstellung können Sie Berechtigungen für Anmeldeoptionen verwalten. Wenn Sie diese Einstellung aktivieren, können Sie die folgenden Anmeldeoptionen auswählen. Mit Anonyme Anmeldung wird die HTTPAuthentifizierung deaktiviert und das Gastkonto nur für das CIFS-Protokoll (Common Internet File System) verwendet. Mit Nach Benutzername und Kennwort fragen werden die Benutzer nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. Mit Automatisches Anmelden nur in der Intranetzone werden die Benutzer in anderen Zonen nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. Mit Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort wird eine Anmeldung mithilfe der NTLM-Authentifizierung (Windows NT Challenge Response) versucht. Wenn der Server Windows NT Challenge Response unterstützt, werden der Netzwerkbenutzername des Benutzers und das dazugehörige Kennwort für die Anmeldung verwendet. Falls der Server Windows NT Challenge Response nicht unterstützt, wird der Benutzer aufgefordert, Benutzernamen und Kennwort anzugeben. (Internetzone) Wenn Sie diese Einstellung deaktivieren, wird die Anmeldeoption Automatisches Anmelden nur in der Intranetzone festgelegt. Wenn Sie die Einstellung nicht konfigurieren, wird die Anmeldeoption Automatisches Anmelden nur in der Intranetzone festgelegt. Wir empfehlen, die Option Nach Benutzername und Kennwort fragen zu konfigurieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators 54 Internet Explorer 8 Security Guide Richtlinienobjekt Beschreibung Anmeldungsoptionen Wir empfehlen, die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort zu konfigurieren. (Intranetzone) Anmeldungsoptionen (Zone eingeschränkter Sites) Anmeldungsoptionen (Zone vertrauenswürdiger Sites) Wir empfehlen, die Option Anonyme Anmeldung zu konfigurieren. Wir empfehlen, die Option Automatisches Anmelden nur in der Intranetzone zu konfigurieren. Anmerkung: Organisationen, die gesetzliche Vorgaben für den Datenschutz einhalten müssen, können mit dieser Funktion verhindern, dass Informationen gespeichert werden oder in die Hände von nicht autorisierten Benutzern gelangen. Aktivieren des SmartScreen-Filters Die Benutzer sehen sich im Internet immer mehr Bedrohungen ausgesetzt. Schädliche Websites versuchen immer öfter, ihre Anmeldeinformationen zu stehlen. Eine der neuen Sicherheitsfunktionen aus Internet Explorer 8 ist der SmartScreen-Filter. Diese Funktion sorgt mit einer Kombination aus heuristischen Technologien und Onlinedienst dafür, dass die Benutzer besser vor Bedrohungen und schädlichen Websites geschützt sind. Beim ersten Start von Internet Explorer 8 wird der Benutzer gefragt, welche Einstellung für den SmartScreen-Filter eingerichtet werden soll – es gibt also keine standardmäßige Einstellung. Die Funktion kann nur aktiviert oder deaktiviert werden. Das heißt, entweder ist die automatische Prüfung aktiv oder inaktiv. Ist der SmartScreen-Filter deaktiviert, können die Benutzer ihn in Einzelfällen immer noch nutzen und eine manuelle Prüfung aktivieren. Administratoren sollte klar sein, wie Anwendungen in ihrer Umgebung ausgeführt werden. Internet Explorer und der SmartScreen-Filter bilden hier keine Ausnahme. Wenn Sie wissen, wie die Funktion arbeitet, dann können Sie diese besser nutzen und sich und Ihre Benutzer besser schützen. Der Schutz vor Malware und Phishing durch den SmartScreen-Filter basiert auf dem Microsoft-URL Reputation Service (URS). Dieser Dienst wird rund um die Uhr von Mitarbeitern betreut. Der SmartScreen-Filter prüft Websites anhand einer lokal gespeicherten Liste und führt über den URS eine Onlineprüfung der URL durch. Um Latenzprobleme zu verhindern, wird die URS-Prüfung asynchron durchgeführt. Die Navigation des Benutzers wird daher nicht beeinflusst. Um eine hohe Netzwerkauslastung zu vermeiden, werden auf dem Client in einer verschlüsselten Datei tausende der am häufigsten besuchten Websites gespeichert. Alle Websites in dieser Datei sind durch die Prüfung durch den SmartScreen-Filter ausgenommen. Der SmartScreen-Filter nutzt außerdem eine lokale Zwischenspeicherung für URLs, über die er prüft, ob die URL bereits vorher schon einmal genutzt wurde. Der URS erkennt mögliche Phishing-Sites unter anderem durch das Feedback der Benutzer. Um die immer komplexer werdenden Phishing-Versuche und Malware-Exploits besser zu erkennen und die Benutzer besser vor ihnen zu schützen, prüft der SmartScreen-Filter die gesamte URL. Da die URL entsprechende Informationen enthalten kann, ist es möglich, dass in diesem Zusammenhang auch Informationen an den URS übertragen werden, die eine eindeutige Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen 55 Identifikation des Benutzers ermöglichen. Microsoft hat umfassende Maßnahmen ergriffen, um diese Daten zu sichern und zu schützen. Sie werden nicht an Dritte weitergegeben. Nachdem sie auf Sicherheitsbedrohungen überprüft wurden, werden sie aus den Daten entfernt. Weitere Informationen zu diesem Thema finden Sie in den Datenschutzbestimmungen zu Windows Internet Explorer 8. Wie bereits erwähnt muss der SmartScreen-Filter explizit aktiviert oder deaktiviert werden – es gibt keine Standardeinstellung. Wenn er aktiviert wurde, dann werden alle Websites, die nicht in der lokalen Liste gespeichert sind, über den URS geprüft. Ist er deaktiviert, dann wird keine Prüfung durchgeführt. Zwar empfiehlt Microsoft dringend, die Funktion grundsätzlich immer zu nutzen, es kann jedoch Situationen geben, in denen die Administratoren die Einstellungen der Funktion ändern möchten. Anmerkung: Der Schutz vor ClickJacking XSS ist standardmäßig aktiviert. Der ClickJacking-Schutz ist Teil des Produktdesigns und kann nicht deaktiviert werden. Der Benutzer ist jedoch in der Lage, den XSS-Filter zu deaktivieren. Sie können den SmartScreen-Filter über Gruppenrichtlinien für jede Sicherheitszone aktivieren und deaktivieren. Damit dies möglich ist, muss die Funktion jedoch erst global aktiviert sein. Standardmäßig ist der SmartScreenFilter in GPOs für alle Zonen außer der Zone Intranet aktiviert. Wir empfehlen, den Filter aktiviert zu lassen. Wenn Sie eine Liste von Websites von der SmartScreen-Filterung ausnehmen möchten (beispielsweise eine Extranet-Website, mit der Ihr Unternehmen zusammenarbeitet), dann sollten Sie den Filter nicht global, sondern nur für die Zone Vertrauenswürdige Sites deaktivieren. Die entsprechende Website fügen Sie dann dieser Zone hinzu. Wir empfehlen, die Benutzer mithilfe einer Gruppenrichtlinie daran zu hindern, den SmartScreen-Filter zu deaktivieren. Konfigurieren Sie den Modus mit der Einstellung Automatisch. Sie sollten sich jedoch im Klaren darüber sein, dass mit dieser Einstellung automatisch Informationen an Microsoft gesendet werden – ohne dass der Benutzer darüber benachrichtigt wird. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitszone\<Zone> In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 3.4: Einstellung “SmartScreen-Filter verwenden” Richtlinienobjekt Beschreibung SmartScreen-Filter verwenden Mit dieser Einstellung können Sie steuern, ob der SmartScreen-Filter die Seiten in dieser Zone auf bösartige Inhalte überprüft. Wenn Sie diese Einstellung aktivieren, überprüft der SmartScreen-Filter die Seiten in dieser Zone auf bösartige Inhalte. Wenn Sie diese Einstellung deaktivieren, überprüft der SmartScreen-Filter die Seiten in dieser Zone nicht auf bösartige Inhalte. Standardmäßig kann der Benutzer die Einstellung für den SmartScreen-Filter selbst konfigurieren. Wir empfehlen, die Einstellung zu aktivieren. Solution Accelerators microsoft.com/technet/SolutionAccelerators 56 Internet Explorer 8 Security Guide Zusätzlich zu den Einstellungen für die einzelnen Zonen können Sie zwei globale Einstellungen durchführen. Sie finden die Einstellungen unter dem folgenden Pfad: Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ Internet Explorer In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle 3.5: Einstellungen für den SmartScreen-Filter Richtlinienobjekt Beschreibung Verwalten von SmartScreen-Filter deaktivieren Mit dieser Einstellung können Benutzer einen SmartScreen-Filter aktivieren. Dieser Filter gibt eine Warnung beim Besuch von Websites aus, die bekanntermaßen versuchen, durch arglistige Täuschung persönliche Informationen zu erschleichen oder Malware enthalten. Wenn Sie die Funktion aktivieren, werden alle Websiteadressen, die nicht in der Liste der zugelassenen Sites des Filters enthalten sind, automatisch an Microsoft gesendet, ohne dass die Benutzer dazu aufgefordert werden. Wenn Sie die Funktion deaktivieren oder die Einstellung nicht konfigurieren, werden die Benutzer bei der ersten Ausführung aufgefordert, den Betriebsmodus für den SmartScreen-Filter auszuwählen. Wir empfehlen, diese Einstellung zu aktivieren. Umgehung der SmartScreenFilterwarnungen verhindern Der SmartScreen-Filter hindert Benutzer am Navigieren zu Websites sowie am Herunterladen von Inhalten, die für die Bereitstellung bösartiger Inhalte bekannt sind. Wenn Sie diese Einstellung aktivieren, darf der Benutzer nicht zu Sites navigieren, die vom SmartScreen-Filter als unsicher eingestuft werden. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, kann der Benutzer SmartScreenFilterwarnungen ignorieren und zu unsicheren Sites navigieren. Wir empfehlen, diese Einstellung zu aktivieren. Nutzung des XSS-Filters Der XSS-Filter schützt die Benutzer davor, ungewollte Informationen an Dritte weiterzugeben. Dies ist besonders in Organisationen, die gesetzliche oder regulative Vorschriften einhalten müssen, sehr wichtig. Wir empfehlen, die Funktion aktiviert zu lassen (was auch ihre Standardeinstellung ist). Wenn eine geschäftskritische Website vom XSS-Filter gestört wird, dann versuchen Sie als Erstes, das Problem über die Websites zu lösen. Als letzte Maßnahme können Sie den XSS-Filter deaktivieren. Er sollte jedoch so schnell wie möglich wieder aktiviert werden. Sie finden die Einstellung im Gruppenrichtlinieneditor unter dem folgenden Pfad: Solution Accelerators microsoft.com/technet/SolutionAccelerators Kapitel 3: Empfehlungen zu Datenschutzeinstellungen 57 Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ Internet Explorer\Internetsystemsteuerung\Sicherheitszone\<Zone> In der folgenden Tabelle finden Sie Informationen zu der entsprechenden Sicherheitseinstellung in Internet Explorer 8. Tabelle3.6: Einstellung „XSS-Filter aktivieren” Richtlinienobjekt Beschreibung XSS-Filter aktivieren Mithilfe dieser Richtlinie können Sie steuern, ob mit dem XSS-Filter (Cross-Site Scripting, siteübergreifendes Skripting) die siteübergreifende Skripteinschleusung in Websites in dieser Zone erkannt und verhindert wird. Wenn Sie diese Einstellung aktivieren, wird der XSS-Filter für Sites in dieser Zone aktiviert, um die siteübergreifende Skripteinschleusung zu blockieren. Wenn Sie diese Einstellung deaktivieren, wird der XSSFilter für Sites in dieser Zone deaktiviert und Internet Explorer lässt die siteübergreifende Skripteinschleusung zu. Wir empfehlen, diese Einstellung zu aktivieren. Zusätzliche Informationen Unter den folgenden Quellen finden Sie weitere Informationen zu sicherheitsbezogenen Themen für Internet Explorer 8: Internet Explorer Administration Kit (IEAK) 8. Datenschutzbestimmungen zu Windows Internet Explorer 8 Solution Accelerators microsoft.com/technet/SolutionAccelerators Anhang A: Sicherheitscheckliste 59 Anhang A: Sicherheitscheckliste In der folgenden Checkliste finden Sie alle relevanten, im Rahmen dieses Leitfadens zur Absicherung von Clientcomputern mit Windows ® Internet Explorer® 8 besprochenen Funktionen und Einstellungen. Tabelle A.1: Internet Explorer 8-Sicherheitscheckliste Sicherheit von aktiven Inhalten Einschränken der Installation von ActiveX-Steuerelementen Websitebasierte ActiveX-Einstellungen Nutzung von ActiveX-Steuerelementen, Plug-ins und vorab definierten Freigabelisten Deaktivieren von Active Scripting als Reaktion auf bestimmte Bedrohungssituationen Aktivierung von Sicherheitseinschränkungen für Skriptfenster Zonensicherheit Schutz vor Zonenanhebung aktivieren Benutzern das Hinzufügen und das Entfernen von Sites zu Zonen verbieten Änderung der Zoneneinstellungen durch die Benutzer verhindern Zertifikatsicherheit Zugriff der Benutzer auf Websites mit Zertifikatfehlern verhindern Reduzierte Anwendungsprivilegien Aktivierung des geschützten Modus DropMyRights unter Windows XP Datenschutzeinstellungen Nutzung von InPrivate-Browsen Nutzung der InPrivate Filterung Löschen des Browserverlaufs Konfigurieren der Datenschutzeinstellung auf Mittel oder höher Automatisches Leeren des Ordners Temporäre Internetdateien Deaktivierung der AutoVervollständigen-Optionen Deaktivierung der Kennwortzwischenspeicherung Konfiguration von Anmeldeoptionen für jede Sicherheitszone Aktivieren des SmartScreen-Filters Nutzung des XSS-Filters Solution Accelerators microsoft.com/technet/SolutionAccelerators Internet Explorer 8-Sicherheitsleitfaden 60 Andere Sicherheitseinstellungen Proxyeinstellung pro Computer vornehmen Systemabsturzermittlung deaktivieren Dateidownload einschränken Dateidownload für die Zone „Eingeschränkte Sites“ einschränken Objektzwischenspeicherungsschutz Solution Accelerators microsoft.com/technet/SolutionAccelerators