Zone settings in deep

Zonen Settings in Deep
Microsoft Deutschland GmbH, Microsoft Corporation
Published: July 2010
Author: Stephanus Schulte
Abstract
Dieser Guide bietet ihnen einen tieferen Einblick in die Funktionen und Konfigurationen der
Internet Zonen von Microsoft® Windows™ Betriebssytemen.
Zone Settings in Deep
Inhaltsverzeichnis
Legal Notice
The information contained in this document represents the current view of Microsoft Corporation on
the issues discussed as of the date of publication. Because Microsoft must respond to changing
market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and
Microsoft cannot guarantee the accuracy of any information presented after the date of publication.
This White Paper is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT.
Complying with all applicable copyright laws is the responsibility of the user. Without limiting the
rights under copyright, no part of this document may be reproduced, stored in or introduced into a
retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying,
recording, or otherwise), or for any purpose, without the express written permission of Microsoft
Corporation.
Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual
property rights covering subject matter in this document. Except as expressly provided in any written
license agreement from Microsoft, the furnishing of this document does not give you any license to
these patents, trademarks, copyrights, or other intellectual property.
© 2010 Microsoft Corporation. All rights reserved.
Microsoft and product names identified in this document are either registered trademarks or
trademarks of Microsoft Corporation in the U.S.A. and/or other countries. The names of actual
companies and products mentioned herein may be the trademarks of their respective owners.
2010 Microsoft Corporation. All rights reserved.
Seite 2
Zone Settings in Deep
Inhaltsverzeichnis
Inhaltsverzeichnis
Legal Notice ............................................................................................................................................. 2
Links ....................................................................................................................................................... 14
Anmerkung: ........................................................................................................................................... 14
Zonen Settings ....................................................................................................................................... 15
.NET Framework .................................................................................................................................... 15
1.
Loose XAML ............................................................................................................................... 15
Stats: .............................................................................................................................................. 15
Erklärung: ...................................................................................................................................... 15
Links: .............................................................................................................................................. 16
Mögliche Werte: ............................................................................................................................ 16
Standardwerte:.............................................................................................................................. 16
Empfehlung: .................................................................................................................................. 17
2.
XAML-Browseranwendungen.................................................................................................... 18
Stats: .............................................................................................................................................. 18
Erklärung: ...................................................................................................................................... 18
Mögliche Werte: ............................................................................................................................ 18
Standardwerte:.............................................................................................................................. 19
Empfehlung: .................................................................................................................................. 19
3.
XPS Dokumente ......................................................................................................................... 20
Stats: .............................................................................................................................................. 20
Erklärung: ...................................................................................................................................... 20
Hinweis: ......................................................................................................................................... 20
Mögliche Werte: ............................................................................................................................ 21
Standardwerte:.............................................................................................................................. 21
Empfehlung: .................................................................................................................................. 21
Auf .NET Framework basierende Komponenten................................................................................... 22
4.
Berechtigungen für Komponenten mit Manifesten .................................................................. 22
Stats: .............................................................................................................................................. 22
Mögliche Werte: ............................................................................................................................ 22
Standardwerte:.............................................................................................................................. 22
Empfehlung: .................................................................................................................................. 23
5.
Ausführen von Komponenten, die nicht mit Authenticode signiert sind................................. 24
Stats: .............................................................................................................................................. 24
2010 Microsoft Corporation. All rights reserved.
Seite 3
Zone Settings in Deep
Inhaltsverzeichnis
Erklärung: ...................................................................................................................................... 24
Mögliche Werte: ............................................................................................................................ 25
Standardwerte:.............................................................................................................................. 25
Empfehlung: .................................................................................................................................. 25
6.
Ausführen von Komponenten, die mit Authenticode signiert sind .......................................... 26
Stats: .............................................................................................................................................. 26
Erklärung: ...................................................................................................................................... 26
Mögliche Werte: ............................................................................................................................ 27
Standardwerte:.............................................................................................................................. 27
Empfehlung: .................................................................................................................................. 27
ActiveX-Steuerelemente und Plugins .................................................................................................... 28
7. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne
Eingabeaufforderungen zulassen ...................................................................................................... 28
Stats: .............................................................................................................................................. 28
Mögliche Werte: ............................................................................................................................ 28
Standardwerte:.............................................................................................................................. 29
Empfehlung: .................................................................................................................................. 29
8.
Skriptlets zulassen ..................................................................................................................... 30
Stats: .............................................................................................................................................. 30
Erklärung: ...................................................................................................................................... 30
Mögliche Werte: ............................................................................................................................ 30
Standardwerte:.............................................................................................................................. 30
Empfehlung: .................................................................................................................................. 31
9.
Automatische Eingabeaufforderung für ActiveX-Steuerelemente ........................................... 32
Stats: .............................................................................................................................................. 32
Erklärung: ...................................................................................................................................... 32
Mögliche Werte: ............................................................................................................................ 33
Standardwerte:.............................................................................................................................. 33
Empfehlung: .................................................................................................................................. 33
10.
Binär- und Skriptverhalten .................................................................................................... 34
Stats: .............................................................................................................................................. 34
Erklärung: ...................................................................................................................................... 34
Mögliche Werte: ............................................................................................................................ 35
Standardwerte:.............................................................................................................................. 35
2010 Microsoft Corporation. All rights reserved.
Seite 4
Zone Settings in Deep
Inhaltsverzeichnis
Empfehlung: .................................................................................................................................. 36
11.
Videos und Animationen auf einer Webseite anzeigen, die keine externe
Medienwiedergabe verwendet ......................................................................................................... 37
Stats: .............................................................................................................................................. 37
Erklärung: ...................................................................................................................................... 37
Beispiel: ......................................................................................................................................... 37
Mögliche Werte: ............................................................................................................................ 38
Standardwerte:.............................................................................................................................. 38
Empfehlung: .................................................................................................................................. 38
12.
Signierte ActiveX-Steuerelemente herunterladen ................................................................ 39
Stats: .............................................................................................................................................. 39
Erklärung: ...................................................................................................................................... 39
Mögliche Werte: ............................................................................................................................ 39
Standardwerte:.............................................................................................................................. 40
Empfehlung: .................................................................................................................................. 40
13.
Unsignierte ActiveX-Steuerelemente herunterladen ............................................................ 41
Stats: .............................................................................................................................................. 41
Erklärung: ...................................................................................................................................... 41
Mögliche Werte: ............................................................................................................................ 41
Standardwerte:.............................................................................................................................. 42
Empfehlung: .................................................................................................................................. 42
14.
ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind................................ 43
Stats: .............................................................................................................................................. 43
Erklärung: ...................................................................................................................................... 43
Mögliche Werte: ............................................................................................................................ 44
Standardwerte:.............................................................................................................................. 44
Empfehlung: .................................................................................................................................. 44
15.
Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen .. 45
Stats: .............................................................................................................................................. 45
Erklärung: ...................................................................................................................................... 45
Mögliche Werte: ............................................................................................................................ 46
Standardwerte:.............................................................................................................................. 46
Empfehlung: .................................................................................................................................. 46
16.
ActiveX-Steuerelemente und Plug-ins ausführen ................................................................. 47
2010 Microsoft Corporation. All rights reserved.
Seite 5
Zone Settings in Deep
Inhaltsverzeichnis
Stats: .............................................................................................................................................. 47
Erklärung: ...................................................................................................................................... 47
Beispiel: ......................................................................................................................................... 47
Mögliche Werte: ............................................................................................................................ 48
Standardwerte:.............................................................................................................................. 48
Empfehlung: .................................................................................................................................. 48
17.
ActiveX-Steuerelmente ausführen, die für Scripting sicher sind........................................... 49
Stats: .............................................................................................................................................. 49
Erklärung: ...................................................................................................................................... 49
Mögliche Werte: ............................................................................................................................ 50
Standardwerte:.............................................................................................................................. 50
Empfehlung: .................................................................................................................................. 50
Downloads ............................................................................................................................................. 51
18.
Automatische Eingabeaufforderung für Dateidownloads .................................................... 51
Stats: .............................................................................................................................................. 51
Erklärung: ...................................................................................................................................... 51
Beispiel: ......................................................................................................................................... 51
Mögliche Werte: ............................................................................................................................ 52
Standardwerte:.............................................................................................................................. 52
Empfehlung: .................................................................................................................................. 52
19.
Dateidownload ...................................................................................................................... 53
Stats: .............................................................................................................................................. 53
Erklärung: ...................................................................................................................................... 53
Beispiel: ......................................................................................................................................... 53
Mögliche Werte: ............................................................................................................................ 54
Standardwerte:.............................................................................................................................. 54
Empfehlung: .................................................................................................................................. 54
20.
Schriftartdownload................................................................................................................ 55
Stats: .............................................................................................................................................. 55
Erklärung: ...................................................................................................................................... 55
Mögliche Werte: ............................................................................................................................ 55
Standardwerte:.............................................................................................................................. 56
Empfehlung: .................................................................................................................................. 56
Enable .NET Framework setup .............................................................................................................. 57
2010 Microsoft Corporation. All rights reserved.
Seite 6
Zone Settings in Deep
21.
Inhaltsverzeichnis
.NET Framework Setup aktivieren ......................................................................................... 57
Stats: .............................................................................................................................................. 57
Erklärung: ...................................................................................................................................... 57
Mögliche Werte: ............................................................................................................................ 58
Standardwerte:.............................................................................................................................. 58
Empfehlung: .................................................................................................................................. 58
Verschiedenes ....................................................................................................................................... 59
22.
Auf Datenquellen über Domänengrenzen hinweg zugreifen................................................ 59
Stats: .............................................................................................................................................. 59
Erklärung: ...................................................................................................................................... 59
Beispiel: ......................................................................................................................................... 59
Mögliche Werte: ............................................................................................................................ 60
Standardwerte:.............................................................................................................................. 60
Empfehlung: .................................................................................................................................. 60
23.
META Refresh zulassen ......................................................................................................... 61
Stats: .............................................................................................................................................. 61
Erklärung: ...................................................................................................................................... 61
Beispiel: ......................................................................................................................................... 61
Mögliche Werte: ............................................................................................................................ 62
Standardwerte:.............................................................................................................................. 62
Empfehlung: .................................................................................................................................. 62
24.
Skripting des Microsoft-Browsersteuerelements zulassen ................................................... 63
Stats: .............................................................................................................................................. 63
Erklärung: ...................................................................................................................................... 63
Beispiel: ......................................................................................................................................... 63
Mögliche Werte: ............................................................................................................................ 63
Standardwerte:.............................................................................................................................. 64
Empfehlung: .................................................................................................................................. 64
25.
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen ................ 65
Stats: .............................................................................................................................................. 65
Erklärung: ...................................................................................................................................... 65
Beispiel: ......................................................................................................................................... 66
Mögliche Werte: ............................................................................................................................ 66
Standardwerte:.............................................................................................................................. 66
2010 Microsoft Corporation. All rights reserved.
Seite 7
Zone Settings in Deep
Inhaltsverzeichnis
Empfehlung: .................................................................................................................................. 66
26.
Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen...... 67
Stats: .............................................................................................................................................. 67
Erklärung: ...................................................................................................................................... 67
Mögliche Werte: ............................................................................................................................ 68
Standardwerte:.............................................................................................................................. 68
Empfehlung: .................................................................................................................................. 68
27.
Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen ..................... 69
Stats: .............................................................................................................................................. 69
Erklärung: ...................................................................................................................................... 69
Beispiel: ......................................................................................................................................... 69
Mögliche Werte: ............................................................................................................................ 70
Standardwerte:.............................................................................................................................. 70
Empfehlung: .................................................................................................................................. 70
28.
Gemischte Inhalte anzeigen .................................................................................................. 71
Stats: .............................................................................................................................................. 71
Erklärung: ...................................................................................................................................... 71
Beispiel: ......................................................................................................................................... 72
Mögliche Werte: ............................................................................................................................ 72
Standardwerte:.............................................................................................................................. 72
Empfehlung: .................................................................................................................................. 73
29.
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat
vorhanden ist..................................................................................................................................... 74
Stats: .............................................................................................................................................. 74
Erklärung: ...................................................................................................................................... 74
Beispiel: ......................................................................................................................................... 74
Mögliche Werte: ............................................................................................................................ 75
Standardwerte:.............................................................................................................................. 75
Empfehlung: .................................................................................................................................. 75
30.
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien ............................................ 76
Stats: .............................................................................................................................................. 76
Erklärung: ...................................................................................................................................... 76
Beispiel: ......................................................................................................................................... 76
Mögliche Werte: ............................................................................................................................ 77
2010 Microsoft Corporation. All rights reserved.
Seite 8
Zone Settings in Deep
Inhaltsverzeichnis
Standardwerte:.............................................................................................................................. 77
Empfehlung: .................................................................................................................................. 77
31.
Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen .. 78
Stats: .............................................................................................................................................. 78
Erklärung: ...................................................................................................................................... 78
Mögliche Werte: ............................................................................................................................ 78
Standardwerte:.............................................................................................................................. 79
Empfehlung: .................................................................................................................................. 79
32.
Installation von Desktopobjekten ......................................................................................... 80
Stats: .............................................................................................................................................. 80
Erklärung: ...................................................................................................................................... 80
Mögliche Werte: ............................................................................................................................ 80
Standardwerte:.............................................................................................................................. 81
Empfehlung: .................................................................................................................................. 81
33.
Anwendungen und unsichere Dateien starten ..................................................................... 82
Stats: .............................................................................................................................................. 82
Erklärung: ...................................................................................................................................... 82
Beispiel: ......................................................................................................................................... 82
Mögliche Werte: ............................................................................................................................ 83
Standardwerte:.............................................................................................................................. 83
Empfehlung: .................................................................................................................................. 84
34.
Programme und Dateien in einem IFRAME starten .............................................................. 85
Stats: .............................................................................................................................................. 85
Erklärung: ...................................................................................................................................... 85
Beispiel: ......................................................................................................................................... 86
Mögliche Werte: ............................................................................................................................ 86
Standardwerte:.............................................................................................................................. 86
Empfehlung: .................................................................................................................................. 87
35.
Fenster und Frames zwischen verschiedenen Domänen bewegen ...................................... 88
Stats: .............................................................................................................................................. 88
Erklärung: ...................................................................................................................................... 88
Beispiel: ......................................................................................................................................... 89
Mögliche Werte: ............................................................................................................................ 89
Standardwerte:.............................................................................................................................. 89
2010 Microsoft Corporation. All rights reserved.
Seite 9
Zone Settings in Deep
Inhaltsverzeichnis
Empfehlung: .................................................................................................................................. 90
36.
Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen ......................... 91
Stats: .............................................................................................................................................. 91
Erklärung: ...................................................................................................................................... 91
Mögliche Werte: ............................................................................................................................ 92
Standardwerte:.............................................................................................................................. 92
Empfehlung: .................................................................................................................................. 92
37.
Zugriffsrechte für Softwarechannel ...................................................................................... 93
Stats: .............................................................................................................................................. 93
Erklärung: ...................................................................................................................................... 93
Mögliche Werte: ............................................................................................................................ 94
Standardwerte:.............................................................................................................................. 94
Empfehlung: .................................................................................................................................. 94
38.
Unverschlüsselte Formulardaten übermitteln ...................................................................... 95
Stats: .............................................................................................................................................. 95
Erklärung: ...................................................................................................................................... 95
Beispiel: ......................................................................................................................................... 96
Mögliche Werte: ............................................................................................................................ 96
Standardwerte:.............................................................................................................................. 96
Empfehlung: .................................................................................................................................. 97
39.
Phishingfilter verwenden ...................................................................................................... 98
Stats: .............................................................................................................................................. 98
Erklärung: ...................................................................................................................................... 98
Beispiel: ......................................................................................................................................... 98
Mögliche Werte: ............................................................................................................................ 98
Standardwerte:.............................................................................................................................. 99
Empfehlung: .................................................................................................................................. 99
40.
Popupblocker verwenden ................................................................................................... 100
Stats: ............................................................................................................................................ 100
Erklärung: .................................................................................................................................... 100
Beispiel: ....................................................................................................................................... 100
Mögliche Werte: .......................................................................................................................... 100
Standardwerte:............................................................................................................................ 101
Empfehlung: ................................................................................................................................ 101
2010 Microsoft Corporation. All rights reserved.
Seite 10
Zone Settings in Deep
41.
Inhaltsverzeichnis
SmartScreen-Filter verwenden............................................................................................ 102
Stats: ............................................................................................................................................ 102
Erklärung: .................................................................................................................................... 102
Beispiel: ....................................................................................................................................... 102
Mögliche Werte: .......................................................................................................................... 102
Standardwerte:............................................................................................................................ 103
Empfehlung: ................................................................................................................................ 103
42.
Dauerhaftigkeit der Benutzerdaten .................................................................................... 104
Stats: ............................................................................................................................................ 104
Erklärung: .................................................................................................................................... 104
Mögliche Werte: .......................................................................................................................... 104
Standardwerte:............................................................................................................................ 105
Empfehlung: ................................................................................................................................ 105
43.
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren ............................................................................................................................... 106
Stats: ............................................................................................................................................ 106
Erklärung: .................................................................................................................................... 106
Beispiel: ....................................................................................................................................... 106
Mögliche Werte: .......................................................................................................................... 107
Standardwerte:............................................................................................................................ 107
Empfehlung: ................................................................................................................................ 107
Scripting ............................................................................................................................................... 108
44.
Active Scripting .................................................................................................................... 108
Stats: ............................................................................................................................................ 108
Erklärung: .................................................................................................................................... 108
Beispiel: ....................................................................................................................................... 108
Mögliche Werte: .......................................................................................................................... 109
Standardwerte:............................................................................................................................ 109
Empfehlung: ................................................................................................................................ 109
45.
Programmatischen Zugriff auf die Zwischenablage zulassen.............................................. 110
Stats: ............................................................................................................................................ 110
Erklärung: .................................................................................................................................... 110
Beispiel: ....................................................................................................................................... 110
Mögliche Werte: .......................................................................................................................... 111
2010 Microsoft Corporation. All rights reserved.
Seite 11
Zone Settings in Deep
Inhaltsverzeichnis
Standardwerte:............................................................................................................................ 111
Empfehlung: ................................................................................................................................ 111
46.
Statuszeilenaktualisierung über Skript zulassen ................................................................. 112
Stats: ............................................................................................................................................ 112
Erklärung: .................................................................................................................................... 112
Beispiel: ....................................................................................................................................... 112
Mögliche Werte: .......................................................................................................................... 112
Standardwerte:............................................................................................................................ 112
Empfehlung: ................................................................................................................................ 113
47.
Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen
114
Stats: ............................................................................................................................................ 114
Erklärung: .................................................................................................................................... 114
Beispiel: ....................................................................................................................................... 114
Mögliche Werte: .......................................................................................................................... 115
Standardwerte:............................................................................................................................ 115
Empfehlung: ................................................................................................................................ 115
48.
XSS-Filter aktivieren............................................................................................................. 116
Stats: ............................................................................................................................................ 116
Erklärung: .................................................................................................................................... 116
Beispiel: ....................................................................................................................................... 116
Mögliche Werte: .......................................................................................................................... 116
Standardwerte:............................................................................................................................ 116
Empfehlung: ................................................................................................................................ 117
49.
Scripting von Java-Applets................................................................................................... 118
Stats: ............................................................................................................................................ 118
Erklärung: .................................................................................................................................... 118
Mögliche Werte: .......................................................................................................................... 118
Standardwerte:............................................................................................................................ 119
Empfehlung: ................................................................................................................................ 119
Benutzerauthentifizierung .................................................................................................................. 120
50.
Anmeldung .......................................................................................................................... 120
Stats: ............................................................................................................................................ 120
Erklärung: .................................................................................................................................... 120
2010 Microsoft Corporation. All rights reserved.
Seite 12
Zone Settings in Deep
Inhaltsverzeichnis
Mögliche Werte: .......................................................................................................................... 121
Standardwerte:............................................................................................................................ 121
Empfehlung: ................................................................................................................................ 121
2010 Microsoft Corporation. All rights reserved.
Seite 13
Zone Settings in Deep
Links
Links
Blog des Internet Explorer Support Team Deutschland:
http://blogs.technet.com/b/iede
Blog des IE Entwicklerteams:
http://blogs.msdn.com/b/ie/
How to use security zones in Internet Explorer:
http://support.microsoft.com/kb/174360
Internet Explorer security zones registry entries for advanced users:
http://support.microsoft.com/kb/182569
ActiveX Security: Improvements and Best Practices:
http://msdn.microsoft.com/en-us/library/bb250471(VS.85).aspx
About URL Security Zone Templates:
http://msdn.microsoft.com/en-us/library/ms537186(VS.85).aspx
Chapter 4 Security Zones IE Resource Kit
http://technet.microsoft.com/en-us/library/dd361896.aspx
Anmerkung:
1. Die allgemeine Empfehlung für die Settings entspricht IMMER dem default Setting der
jeweiligen Zone. Bei den Empfehlungen für die einzelnen Settings wird versucht gewisse
Überlegungen miteinzubeziehen. Sofern der Leser sich diese Überlegungen zu eigen macht,
trägt er die alleinige Verantwortung für die Konsequenzen des Veränderns der Settings.
Der Autor oder die Microsoft Deutschland GmbH bzw. Microsoft Corporation schließen
jegliche Haftung für entstandene Schäden aus, die durch eine Veränderung der Standard
Einstellungen entstanden sind oder zukünftig entstehen.
2. Nicht zu jedem Zonensetting wurde ein Beispiel verlinkt/erstellt. Dies ist immer dann der Fall,
wenn es durch mangelnde Verbreitung, nicht mehr (häufig) verwendete Settings oder
erheblichen (externen) Aufwand nicht sinnvoll ist, dies im Rahmen dieses Dokuments zu tun.
3. Jegliche Änderung der Settings muss entsprechend der eingesetzten internen wie externen
Anwendungen getestet und verifiziert werden, so dass keine (ungewollten) Einschränkungen
entstehen oder Ausfälle auftreten.
2010 Microsoft Corporation. All rights reserved.
Seite 14
Zone Settings in Deep
Loose XAML
Zonen Settings
.NET Framework
1. Loose XAML
Stats:
GUI Name: Loose XAML / Loose XAML
Policy Name: Loose XAML-Dateien
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2402
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=710
Erklärung:
Dies sind Dateien im Format ´eXtensible Application Markup Language´ (XAML). XAML ist eine
deklarative Markupsprache auf XML-Grundlage. Sie wird gewöhnlich zum Erstellen intelligenter
Benutzeroberflächen und von Grafiken verwendet, die die Windows Presentation Foundation
nutzen.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden XAML-Dateien automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten
nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer
aufgefordert, das Laden von XAML-Dateien zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XAML-Dateien nicht in Internet Explorer
geladen. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob
XAML-Dateien in Internet Explorer geladen werden sollen.
"Loose XAML" and "XAML browser applications"
Q: What is the meaning of the two options?
How does Internet Explorer differentiate between "loose XAML" and "XAML browser applications"?
2010 Microsoft Corporation. All rights reserved.
Seite 15
Zone Settings in Deep
Loose XAML
A: Loose XAML refers to a .xaml file. These files can be navigated to and viewed in the browser.
XAML browser applications are called XBAPs, and have a .xbap extension. The options let the user
specify which of these .NET Framework content types are enabled or disabled, or whether to prompt
for user consent to run in a particular security zone; for example, in Internet zone, prompt for user
consent to run XBAPs, whereas in Intranet zone, simply enable them to run.
XBAPs are online-only WPF applications that run in the browser in a security sandbox. They provide
much of the richness and power of WPF with the ease of deployment and navigation-style user
experience of being hosted in the browser. XBAPs typically have C# or Visual Basic code behind them.
Loose XAML are .xaml files without code behind them that can be run within the browser without
compilation.
Loose XAML are .xaml files without code behind them that can be run within the browser without
compilation.
Links:
XAML Overview (WPF)
Wikipedia: Extensible Application Markup Language
Frequently Asked Questions (FAQ) about the structure of .NET Framework-specific configuration
options in Internet Explorer
Mögliche Werte:
0 => Aktivieren
3 => Deaktivieren
1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 16
Zone Settings in Deep
Loose XAML
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die
Rechte des hostenden IE Prozesses beschränken.
Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der
Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in
der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“
zu setzen.
2010 Microsoft Corporation. All rights reserved.
Seite 17
Zone Settings in Deep
XAML-Browseranwendungen
2. XAML-Browseranwendungen
Stats:
GUI Name: XAML-Browseranwendungen / XAML browser applications
Policy Name: XAML-Browseranwendungen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2400
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=704
Erklärung:
Hierbei handelt es sich um im Browser ausgeführte, mit ClickOnce bereitgestellte Anwendungen, die
mithilfe von WinFX erstellt wurden. Diese Anwendungen werden in einem eigenen
Sicherheitsbereich ("Sandbox") ausgeführt und machen die Möglichkeiten der Plattform von
Windows Presentation Foundation für das Web nutzbar.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden XBAPs automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht
ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert,
das Laden von XBAPs zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XBAPs nicht in Internet Explorer geladen.
Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob
XBAPs in Internet Explorer geladen werden sollen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 18
Zone Settings in Deep
XAML-Browseranwendungen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die
Rechte des hostenden IE Prozesses beschränken.
Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der
Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in
der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“
zu setzen.
2010 Microsoft Corporation. All rights reserved.
Seite 19
Zone Settings in Deep
XPS Dokumente
3. XPS Dokumente
Stats:
GUI Name: XPS-Dokumente / XPS documents
Policy Name: XPS-Dateien
Supported on: Mindestens Internet Explorer 7.0 (auf Windows XP, Windows Server 2003, Windows Vista,
Windows Server 2008)
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2401
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=712
Erklärung:
Diese Dateien wurden mit dem XML Paper Specification-Dokumentformat erstellt und enthalten in
Seiten aufgeteilten Inhalt in einem festen Layout. Dieses Format ist über Plattformen, Geräte und
Anwendungen hinweg portierbar.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen,
werden xps-Dateien automatisch in Internet Explorer 7.0 geladen. Benutzer können dieses Verhalten
nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer
aufgefordert, das Laden von xps-Dateien zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden xps-Dateien nicht in Internet Explorer 7
geladen. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob xpsDateien in Internet Explorer 7.0 geladen werden sollen.
Hinweis:
Diese Einstellung wirkt sich nicht auf den stand-alone XPS Viewer aus dem Essential Pack und daher auch
nicht auf Windows 7 und höher aus.
2010 Microsoft Corporation. All rights reserved.
Seite 20
Zone Settings in Deep
XPS Dokumente
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Dem Setzen des default Settings spricht nichts entgegen.
2010 Microsoft Corporation. All rights reserved.
Seite 21
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Auf .NET Framework basierende Komponenten
4. Berechtigungen für Komponenten mit Manifesten
Stats:
GUI Name: Berechtigungen für Komponenten mit Manifesten / Permissions for components with
manifest
Supported on: Mindestens Internet Explorer 7.0
Registry key: [HKLM|HKCU]\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2007
"Permissions for components with manifests"
Q: This option may be confusing, as the execution of a managed piece of code requires a manifest.
Does this refer only to published ClickOnce applications where a user launches the (native code
based) setup by browsing to a URL with the .application extension?
What does "High Safety" mean?
A: This section refers to a new feature added in the .NET Framework 3.5. It allows you to add a
ClickOnce-style manifest to a control in the browser. It does not apply to ClickOnce applications.
More information is available in the blog post at
http://blogs.msdn.com/shawnfa/archive/2008/01/24/manifested-controls-redux.aspx . That post
also includes links to a series of posts covering the feature.
Mögliche Werte:
65535 => Hohe Sicherheit
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Hoch;
IE8: Hoch;
2010 Microsoft Corporation. All rights reserved.
Seite 22
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Hoch;
IE8: Hoch ;
Lokales Intranet:
IE6: N/A;
IE7: Hoch;
IE8: Hoch;
Empfehlung:
Da es eher selten vorkommt, dass ClickOnce Anwendungen in einem Unternehmensumfeld aus dem
Internet gestartet werden, könnte hier zumindest für die Internet Zone das Setting „Deaktivieren“
gewählt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 23
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
5. Ausführen von Komponenten, die nicht mit Authenticode signiert
sind
Stats:
GUI Name: Ausführen von Komponenten, die nicht mit Authenticode signiert sind / Run components
not signed with Authenticode
Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2001
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=776
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET
Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten
gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete
ausführbare Dateien, auf die von einem Link verwiesen wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete
Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer
gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete
Komponenten nicht aus.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete
Komponenten aus.
"Run components not signed with Authenticode"
Q: What does this option mean?
What does "components" refer to?
When is the Authenticode evidence check performed?
Is it done by Fusion or by Internet Explorer internal code?
When does Internet Explorer perform an Authenticode specific evidence check?
When does a custom CAS with publisher based trust come into play?
2010 Microsoft Corporation. All rights reserved.
Seite 24
Zone Settings in Deep
Berechtigungen für Komponenten mit Manifesten
Does this apply for Authenticode signed setup packages (like MSI or CAB) or to the signature(s) of
contained components?
What is the difference when a managed component is deployed by OBJECT tag using the overloaded
managed syntax for the classid attribute vs. the 'classic' ActiveX approach with components compiled
with ComInterop?
A: These settings apply only to managed controls (referenced by an object tag using the overloaded
managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link).
The Authenticode signature check is done by the CLR and is only checking whether or not the
executable referenced by the object tag or link is signed with any Authenticode signature (not a
specific Authenticode signature).
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer
gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die
Internet Zone sinnvoll sein.
2010 Microsoft Corporation. All rights reserved.
Seite 25
Zone Settings in Deep
Ausführen von Komponenten, die mit Authenticode signiert sind
6. Ausführen von Komponenten, die mit Authenticode signiert sind
Stats:
GUI Name: Ausführen von Komponenten, die mit Authenticode signiert sind / Run components
signed with Authenticode
Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\InternetsystemsteueRung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2001
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=777
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET
Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten
gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete
ausführbare Dateien, auf die von einem Link verwiesen wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete
Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer
gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete
Komponenten nicht aus.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete
Komponenten aus.
"Run components signed with Authenticode"
Q: What are the underpinnings (same questions as in Q2.2) for this option?
A: These settings apply only to managed controls (referenced by an object tag using the overloaded
managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link).
The Authenticode signature check is done by the CLR and is only checking whether or not the
executable referenced by the object tag or link is signed with any Authenticode signature (not a
specific Authenticode signature).
2010 Microsoft Corporation. All rights reserved.
Seite 26
Zone Settings in Deep
Ausführen von Komponenten, die mit Authenticode signiert sind
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer
gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die
Internet Zone sinnvoll sein.
2010 Microsoft Corporation. All rights reserved.
Seite 27
Zone Settings in Deep
Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne…
ActiveX-Steuerelemente und Plugins
7. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen
ohne Eingabeaufforderungen zulassen
Stats:
GUI Name: Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne
Eingabeaufforderungen zulassen/ Allow previously unused ActiveX controls to run without prompt
Policy Name: Anmeldung bei erster Ausführung deaktivieren / Turn Off First-Run Opt-In
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1208
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=691
Erklärung:
Diese Richtlinieneinstellung steuert auf Zonenbasis das Verhalten bei der ersten Ausführung eines
Steuerelements. Wenn ein Benutzer auf ein neues Steuerelement stößt, das zuvor noch nicht in
Internet Explorer ausgeführt wurde, wird er möglicherweise aufgefordert, das Steuerelement zu
genehmigen. Diese Funktion bestimmt, ob diese Aufforderung angezeigt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die "Gold Bar"-Benachrichtigung in der
entsprechenden Zone deaktiviert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die "Gold Bar"-Benachrichtigung in der
entsprechenden Zone aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die Bestätigungsaufforderung bei der
ersten Ausführung standardmäßig deaktiviert.
=== Detailed values: ===
enum: Id: IZ_Partname1208; ValueName: 1208
item: decimal: 0 => Aktivieren
item: decimal: 3 => Deaktivieren
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 28
Zone Settings in Deep
Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne…
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sind durchweg sinnvoll. Da die Kontrolle von ActiveX Komponenten dem
Administrator (Team) obliegt und ungewollte Controls nicht von normalen Usern installiert werden
können, sollte ein normaler User einen derartigen Dialog eh nicht zu sehen bekommen.
Dieses Setting sollte zusammen mit „Die Verwendung von ActiveX ohne Zustimmung nur für
genehmigte Domänen zulassen“ betrachtet werden.
Vgl. hierzu ActiveX Security: Improvements and Best Practices
2010 Microsoft Corporation. All rights reserved.
Seite 29
Zone Settings in Deep
Skriptlets zulassen
8. Skriptlets zulassen
Stats:
GUI Name: Skriptlets zulassen / Allow Scriptlets
Policy Name: Skriptlets zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1209
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=688
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skriptlets zugelassen sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Skriptlets ausführen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Skriptlets ausführen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer ein Skriptlet
aktivieren oder deaktivieren.
Scriptlets: Internet Explorer 7 disables Dynamic HTML (DHTML) scriptlets, by default. (Scriptlets were
deprecated in Internet Explorer 5). System administrators can re-enable scriptlets by changing URL Actions
with the Internet Control Panel (INetCPl). The INetCPl text should read "Allow Scriptlets." If your programs
currently rely on scriptlets, you should modify the prograpms to use DHTML behaviors, which are more
efficient. Disabling scriptlets is part of the continuing work to ensure that unsupported technology is deemphasized in Internet Explorer.
Vgl.: Dynamic HTML (DHTML) Scriptlets
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 30
Zone Settings in Deep
Skriptlets zulassen
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden, ggf. kann sogar für das lokale Intranet das Setting
„Deaktivieren“ gewählt werden, wenn sichergestellt ist, dass keine Skriptlets mehr verwendet
werden.
2010 Microsoft Corporation. All rights reserved.
Seite 31
Zone Settings in Deep
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
9. Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Stats:
GUI Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente / Automatic prompting
for ActiveX controls
Policy Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2201
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=764
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer automatisch zur Installation
von ActiveX-Steuerelementen aufgefordert werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird eine Aufforderung angezeigt, wenn eine Site
ein ActiveX-Steuerelement instanziiert, das die Benutzer nicht installiert haben.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die
Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die
Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen.
Beginnend mit Windows XP Service Pack 2 (SP2) wurde Internet Explorer ein neues visuelles Feature
mit der Bezeichnung "Informationsleiste" hinzugefügt. Sie werden feststellen, dass die
Informationsleiste Sie über für den Download gesperrte Dateien informiert, wenn Sie eine Website
besuchen.
Vgl.: http://support.microsoft.com/kb/883255/de
2010 Microsoft Corporation. All rights reserved.
Seite 32
Zone Settings in Deep
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann nach entsprechenden Tests das Setting für alle Zonen auf
„Deaktivieren“ gesetzt werden.
Vgl: Implementing and Administering the ActiveX Installer Service
2010 Microsoft Corporation. All rights reserved.
Seite 33
Zone Settings in Deep
10.
Binär- und Skriptverhalten
Binär- und Skriptverhalten
Stats:
GUI Name: Binär- und Skriptverhalten/ Binary and script behaviors
Policy Name: Binär- und Skriptverhalten zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2000
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=732
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen, dynamische Binär- und Skriptverhalten zu verwalten:
Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt
wurden.
Wenn Sie diese Richtlinieneinstellung aktivieren, stehen Binär- und Skriptverhalten zur Verfügung.
Wenn Sie "Vom Administrator genehmigt" in der Dropdownliste auswählen, sind nur in der Liste
"Vom Administrator zugelassenes Verhalten" der Richtlinie "Sicherheitseinschränkung für
Binärverhalten" aufgeführte Verhalten verfügbar.
Wenn Sie diese Richtlinieneinstellung deaktivieren, stehen Binär- und Skriptverhalten nicht zur
Verfügung, es sei denn, Anwendungen haben einen benutzerdefinierten Sicherheits-Manager
implementiert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, stehen Binär- und Skriptverhalten zur
Verfügung.
What does binary behaviors security setting do?
Internet Explorer contains dynamic binary behaviors: components that encapsulate specific
functionality for HTML elements to which they were attached. These binary behaviors are not
controlled by any Internet Explorer security setting, allowing them to work on Web pages in the
Restricted Sites zone. In Windows Server 2003 Service Pack 1, there is a new Internet Explorer
security setting for binary behaviors. This new setting disables binary behaviors in the Restricted Sites
zone by default. In combination with the Local Machine Lockdown security feature, it also requires
administrative approval for binary behaviors to run in the Local Machine zone by default. This new
2010 Microsoft Corporation. All rights reserved.
Seite 34
Zone Settings in Deep
Binär- und Skriptverhalten
binary behaviors security setting provides a general mitigation to vulnerabilities in Internet Explorer
binary behaviors.
For more information about binary behaviors, such as how they work and how to implement them,
see "Cutting Edge: Binary Behaviors in Internet Explorer 5.5" on the Microsoft Web site at
http://msdn.microsoft.com/en-us/magazine/cc301528.aspx. Note that binary behaviors, which are
defined in C++ and compiled, are different from attached behaviors and element behaviors, which
are defined in script.
Vgl.: http://technet.microsoft.com/en-us/library/cc776248(WS.10).aspx
Bsp.:
<a href="http://www.microsoft.com" style="behavior:url(mouseover.htc)">
Visit my Web site
</a>
Wobei “mouseover.htc” folgendem entspricht:
<PUBLIC:HTC>
<PUBLIC:ATTACH event="onmouseover" handler="fnOver"/>
<PUBLIC:ATTACH event="onmouseout" handler="fnOut"/>
<script LANGUAGE="jscript">
function fnOver(){element.style.color="red";}
function fnOut(){element.style.color="";}
</script>
</PUBLIC:HTC>
(aus: http://msdn.microsoft.com/en-us/magazine/bb985631.aspx )
Mögliche Werte:
0x0 => Aktivieren
0x10000 => Vom Administrator genehmigt
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 35
Zone Settings in Deep
Binär- und Skriptverhalten
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da die Verwendung von Behaviors mittlerweile selten geworden ist, könnte das Setzen von
„Deaktivieren“ auch in der Internet Zone sinnvoll sein. Ggf. sollte die Möglichkeit der Administrativ
erlaubten Behaviors genutzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 36
Zone Settings in Deep
Videos und Animationen auf einer Webseite anzeigen, die keine…
11.
Videos und Animationen auf einer Webseite anzeigen, die keine
externe Medienwiedergabe verwendet
Stats:
GUI Name: Videos und Animationen auf einer Webseite anzeigen, die keine externe
Medienwiedergabe verwendet / Display video animation on a webpage that does not use external
media player
Policy Name: Video und Animationen auf Webseiten ohne externen Mediaplayer (über das dynsrcAttribut) zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 120A
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=686
Erklärung:
Mit dieser Richtlinieneinstellung können Sie in einer angegebenen Zone Video und Animationen über
das dynsrc/img-Tag abspielen. Das bedeutet, dass Videoclips und Animationen, die DirectShow
verwenden, mithilfe dieser Richtlinie aktiviert bzw. deaktiviert werden. Beachten Sie, dass die videound Animationswiedergabe über das Objekttag immer noch zugelassen sein kann, da hierbei externe
Steuerelemente oder Media-Player verwendet werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Video und Animationen in den
ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Video und Animationen in den
ausgewählten Zonen nicht über das "img/dynsrc"-Tag abgespielt werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Video und Animationen in den
ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden.
Vgl.: http://msdn.microsoft.com/en-us/library/aa235212(VS.60).aspx
Bsp.: <IMG dynsrc=Clock.avi loop=infinite>
Beispiel:
http://gps.cloudapp.net/zones/120A.html
2010 Microsoft Corporation. All rights reserved.
Seite 37
Zone Settings in Deep
Videos und Animationen auf einer Webseite anzeigen, die keine…
120A.html
Sofern das Setting auf „Deaktivieren“ steht wird anstelle des Videos folgendes Symbol dargestellt:
Da ein anzuzeigendes Video erst gecacht wird, wird dieses Zeichen während dieses Cachings
ebenfalls verwendet, allerdings wird während dessen in der Statuszeile der Fortschritt angezeigt:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Empfehlung:
Mittlerweile werden die meisten Videos mittels Silverlight oder Flash abgespielt und fallen daher
nicht unter diese Security Einstellung. Daher sollten die default Settings beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 38
Zone Settings in Deep
12.
Signierte ActiveX-Steuerelemente herunterladen
Signierte ActiveX-Steuerelemente herunterladen
Stats:
GUI Name: Signierte ActiveX-Steuerelemente herunterladen / Download signed ActiveX controls
Policy Name: Download von signierten ActiveX-Steuerelementen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1001
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=738
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen.
Wenn Sie diese Richtlinie aktivieren, können signierte Steuerelemente ohne Benutzereingriff
heruntergeladen werden. Wenn Sie "Eingabeaufforderung" in der Dropdownliste auswählen, werden
Benutzer gefragt, ob Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen
werden sollen. Von vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage
heruntergeladen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können signierte Steuerelemente nicht
heruntergeladen werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob
Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen werden sollen. Von
vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage heruntergeladen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 39
Zone Settings in Deep
Signierte ActiveX-Steuerelemente herunterladen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann das Setting für alle Zonen auf „Deaktivieren“ gesetzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 40
Zone Settings in Deep
13.
Unsignierte ActiveX-Steuerelemente herunterladen
Unsignierte ActiveX-Steuerelemente herunterladen
Stats:
GUI Name: Unsignierte ActiveX-Steuerelemente herunterladen / Download unsigned ActiveX
controls
Policy Name: Download von unsignierten ActiveX-Steuerelementen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1004
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=740
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer nicht signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen. Code dieser Art kann gefährlich
sein, vor allem wenn er einer nicht vertrauenswürdigen Zone entstammt.
Wenn Sie diese Richtlinie aktivieren, können nicht signierte Steuerelemente ohne Benutzereingriff
ausgeführt werden. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer
gefragt, ob nicht signierte Steuerelemente ausgeführt werden dürfen.
Wenn Sie diese Richtlinie deaktivieren, können nicht signierte Steuerelemente nicht ausgeführt
werden.
Wenn Sie diese Richtlinie nicht konfigurieren, können nicht signierte Steuerelemente nicht
ausgeführt werden.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 41
Zone Settings in Deep
Unsignierte ActiveX-Steuerelemente herunterladen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Empfehlung:
Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den
Administratoren obliegt, kann und sollte das Setting für alle Zonen auf „Deaktivieren“ gesetzt
bleiben.
2010 Microsoft Corporation. All rights reserved.
Seite 42
Zone Settings in Deep
ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind
14.
ActiveX-Steuerelemente ausführen, die nicht für Scripting
sicher sind
Stats:
GUI Name: ActiveX-Steuerelemente ausführen, die nicht für Skripting sicher sind / Initialize and script
ActiveX controls not marked safe for scripting
Policy Name: ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1201
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=772
Erklärung:
Mit dieser Richtlinieneinstellung können Sie ActiveX-Steuerelemente verwalten, die nicht für das
Scripting sicher sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden ActiveX-Steuerelemente ausgeführt, mit
Parametern geladen und von Skripts verarbeitet, ohne die Objektsicherheit für nicht
vertrauenswürdige Daten oder Skripts festzulegen. Diese Einstellung wird außer für sichere und
verwaltete Zonen nicht empfohlen. Durch diese Einstellung können sowohl unsichere als auch
sichere Steuerelemente initialisiert ausgeführt werden, ohne die Option "ActiveX-Steuerelemente
ausführen, die für Scripting sicher sind" zu beachten.
Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld "Bestätigen" auswählen,
werden die Benutzer gefragt, ob das Steuerelement mit Parametern geladen oder ausgeführt werden
darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden ActiveX-Steuerelemente, die nicht sicher
sind, nicht mit Parametern geladen oder ausgeführt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden ActiveX-Steuerelemente, die nicht
sicher sind, nicht mit Parametern geladen oder ausgeführt.
====
2010 Microsoft Corporation. All rights reserved.
Seite 43
Zone Settings in Deep
ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind
Die Einschätzung, ob ein Control safe for scripting ist, oder ob nicht, obliegt dem Ersteller des
Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche
Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting
missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren.
VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx
“Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting
(7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).”
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 44
Zone Settings in Deep
Die Verwendung von ActiveX ohne Zustimmung nur…
15.
Die Verwendung von ActiveX ohne Zustimmung nur für
genehmigte Domänen zulassen
Stats:
GUI Name: Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen /
Only allow approved domains to use ActiveX without prompt
Policy Name: Die Verwendung von ActiveX-Steuerelementen ohne Zustimmung nur für genehmigte
Domänen zulassen
Supported on: Mindestens Internet Explorer 8.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 120b
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=718
Erklärung:
Mithilfe dieser Richtlinieneinstellung können Sie steuern, ob die Benutzer aufgefordert werden, die
Ausführung von ActiveX-Steuerelementen auf anderen Websites als der, die das ActiveXSteuerelement installiert hat, zuzulassen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden
die Benutzer gefragt, bevor die Ausführung von ActiveX-Steuerelementen für Websites in dieser Zone
zugelassen wird. Die Benutzer können die Ausführung des Steuerelements wahlweise für die aktuelle
Site oder für alle Sites zulassen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die
Benutzer nicht pro Site zum Zulassen von ActiveX aufgefordert, und ActiveX-Steuerelemente dürfen
für alle Sites in dieser Zone ausgeführt werden.
====
Allerdings ist es so, dass verschiedene Controls bei der Installation bereits den Registry Key * für die
Berechtigung setzen, z.B.:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{%GUID%}\iexplore\
AllowedDomains\*
Vgl: http://blogs.technet.com/b/iede/archive/2010/05/27/activex-per-site-ausunternehmenssicht.aspx
D.b., dass sofern dieser Key nicht explizit entfernt wird, das Control trotz des Settings auf jeder Seite
geladen wird.
Sofern das Control nicht für alle Seiten aktiviert wurde, erscheint folgende Goldbar:
2010 Microsoft Corporation. All rights reserved.
Seite 45
Zone Settings in Deep
Die Verwendung von ActiveX ohne Zustimmung nur…
Mögliche Werte:
0x3 => Aktivieren
0x0 => Deaktivieren
!!! Diese Werte sind umgekehrt zu den normalen Werten! Die Policy hingegen verwendet die
normale Reihenfolge!
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 46
Zone Settings in Deep
16.
ActiveX Steuerelemente und Plug-ins ausführen
ActiveX-Steuerelemente und Plug-ins ausführen
Stats:
GUI Name: ActiveX-Steuerelemente und Plug-ins ausführen / Run ActiveX controls and plug-ins
Policy Name: ActiveX-Steuerelemente und Plugins ausführen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1200
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=768
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob ActiveX-Steuerelemente und Plug-Ins auf
Seiten der angegebenen Zone ausgeführt werden können.
Wenn Sie diese Richtlinie aktivieren, können Steuerelemente und Plug-Ins ohne Benutzereingriff
ausgeführt werden.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Steuerelemente und Plug-Ins ausgeführt werden dürfen.
Wenn Sie diese Richtlinie deaktivieren, können Steuerelemente und Plug-Ins nicht ausgeführt
werden.
Wenn Sie diese Richtlinie nicht konfigurieren, können Steuerelemente und Plug-Ins ohne
Benutzereingriff ausgeführt werden.
Beispiel:
Jede Seite, die ein ActiveX Control lädt, z.B. http://www.microsoft.com [dies mag sich u.U. ändern]
2010 Microsoft Corporation. All rights reserved.
Seite 47
Zone Settings in Deep
ActiveX Steuerelemente und Plug-ins ausführen
Mögliche Werte:
0x10000 => Vom Administrator genehmigt
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Sofern generell ActiveX Controls zugelassen sind, muss das Setting auf „Aktivieren“ stehen. Sollten
ActiveX Controls nur für berechtigte Seiten zugelassen werden, so kann das Setting der Internet Zone
auf „Deaktivieren“ geändert werden.
„Bestätigen“ sollte nach Möglichkeit nicht genutzt werden, da mittlerweile insb. Flashanwendungen
sehr weit verbreitet sind und damit auf den meisten Webseiten ein Popupdialog erscheinen würde.
„Vom Administrator genehmigt“ stellt die beste Wahl da, erfordert allerdings einigen zusätzlichen
Aufwand, da sehr viele Controls administrativ freigegeben werden müssen.
2010 Microsoft Corporation. All rights reserved.
Seite 48
Zone Settings in Deep
17.
ActiveX Steuerelemente ausführen, die für Scripting sicher sind
ActiveX-Steuerelmente ausführen, die für Scripting sicher sind
Stats:
GUI Name: ActiveX-Steuerelmente ausführen, die für Scripting sicher sind / Script ActiveX controls
marked safe for scripting
Policy Name: ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1405
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=770
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob ein ActiveX-Steuerelement, das für
Scripting sicher ist, mit einem Skript interagieren kann.
Wenn Sie diese Richtlinie aktivieren, wird die Skriptinteraktion ohne Benutzereingriff ausgeführt.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Skriptinteraktion zulässig ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptinteraktion verhindert.
Wenn Sie diese Richtlinie nicht konfigurieren, kann die Skriptinteraktion automatisch ohne
Benutzereingriff ausgeführt werden.
====
Die Einschätzung, ob ein Control safe for scripting ist oder ob nicht, obliegt dem Ersteller des
Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche
Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting
missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren.
VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx
“Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting
(7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).”
2010 Microsoft Corporation. All rights reserved.
Seite 49
Zone Settings in Deep
ActiveX Steuerelemente ausführen, die für Scripting sicher sind
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings können i.d.R. beibehalten werden. Ggf. ist es eher sinnvoll ActiveXSteuerelemente für eine Zone komplett zu deaktivieren (=> „ActiveX-Steuerelemente und Plug-ins
ausführen“).
2010 Microsoft Corporation. All rights reserved.
Seite 50
Zone Settings in Deep
Automatische Eingabeaufforderung für Dateidownloads
Downloads
18.
Automatische Eingabeaufforderung für Dateidownloads
Stats:
GUI Name: Automatische Eingabeaufforderung für Dateidownloads / Automatic prompting for file
downloads
Policy Name: Automatische Eingabeaufforderung für Dateidownloads
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1 bis incl. IE8
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2200
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=766
Erklärung:
Diese Richtlinie legt fest, ob Benutzern bei nicht vom Benutzer initiierten Dateidownloads eine
Aufforderung angezeigt wird. Unabhängig von dieser Einstellung werden Downloaddialogfelder für
vom Benutzer ausgelöste Downloadvorgänge angezeigt.
Wenn Sie diese Einstellung aktivieren, werden Downloaddialogfelder für automatische
Downloadversuche angezeigt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden nicht vom Benutzer
ausgelöste Downloadvorgänge blockiert. Anstelle des Downloaddialogfeldes wird die
Informationsleiste angezeigt. Benutzer können auf die Informationsleiste klicken, um die
Dateidownloadaufforderung zuzulassen.
Bei „Deaktivieren“ erscheint folgende Goldbar:
Wenn das Setting auf „Aktivieren“ gesetzt ist, so startet der Download direkt mit dem gewohnten
Ausführen/Speichern/Abbrechen Dialog.
Beispiel:
http://ie.microsoft.com/testdrive/Default.html => „Install the preview“
2010 Microsoft Corporation. All rights reserved.
Seite 51
Zone Settings in Deep
Automatische Eingabeaufforderung für Dateidownloads
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden, ggf. für die Vertrauenswürdigen Seiten auf
„Deaktivieren“ gesetzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 52
Zone Settings in Deep
19.
Dateidownload
Dateidownload
Stats:
GUI Name: Dateidownload / File download
Policy Name: Dateidownloads zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1803
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=744
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Dateidownloads von der Zone
zugelassen sind. Für diese Option ist die Zone der Seite entscheidend, auf der sich der Link für den
Download befindet, nicht die Zone, von der aus die Datei bereitgestellt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Dateien von dieser Zone
herunterladen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Dateien von dieser
Zone herunterladen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Dateien von dieser
Zone herunterladen.
Beispiel:
Einfach einen beliebigen Download starten, z.B.:
http://download.microsoft.com/download/5/5/0/550EEF47-F937-4056-BA89B043CA2CB8A1/iepreview.msi
Deaktivieren:
2010 Microsoft Corporation. All rights reserved.
Seite 53
Zone Settings in Deep
Dateidownload
Aktivieren:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Es kann u.U. sinnvoll sein, dieses Setting für die Internetzone auf „Deaktivieren“ zu setzen, damit
Dateidownloads aus der Internetzone generell nicht möglich sind.
2010 Microsoft Corporation. All rights reserved.
Seite 54
Zone Settings in Deep
20.
Schriftartdownload
Schriftartdownload
Stats:
GUI Name: Schriftartdownload / Font download
Policy Name: Schriftartdownloads zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1604
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=746
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Seiten dieser Zone HTML-Schriftarten
herunterladen können.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten automatisch
heruntergeladen werden. Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld
"Bestätigen" auswählen, werden die Benutzer gefragt, ob HTML-Schriftarten heruntergeladen
werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten nicht heruntergeladen
werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können HTML-Schriftarten automatisch
heruntergeladen werden.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 55
Zone Settings in Deep
Schriftartdownload
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da normale User nicht die nötige Berechtigung haben, um Fonts zu installieren, kann das Setting
i.d.R. für alle Zonen auf „Deaktiviert“ gestellt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 56
Zone Settings in Deep
.NET Framework Setup aktivieren
Enable .NET Framework setup
21.
.NET Framework Setup aktivieren
Stats:
GUI Name: .NET Framework Setup aktivieren / Enable .NET Framework setup
Policy Name: Setup für WinFX-Laufzeitkomponenten deaktivieren
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2600
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=709
Erklärung:
Diese Funktion steht für das Setup von WinFX-Laufzeitkomponenten. WinFX ist die Plattform der
neuen Generation für Windows. Sie nutzt die Common Language Runtime (.NET 2.0) und enthält
Unterstützung von einer Reihe von Entwicklertools. WinFX ist die Spezifikation für die neuen APIs mit
verwaltetem Code für Windows. Es löst Win32 ab und bildet die Obermenge der APIs im .NET
Framework.
Mit dieser Richtlinieneinstellung wird der Benutzercomputer daran gehindert, WinFX-Setup zu
starten, wenn in IE7 WinFX-Inhalte aufgesucht werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Setup der WinFX-Lautzeitkomponenten
deaktiviert. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird das Setup der WinFX-Lautzeitkomponenten
aktiviert. Benutzer können dieses Verhalten nicht ändern.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird das Setup der WinFXLautzeitkomponenten standardmäßig aktiviert. Benutzer können dieses Verhalten ändern.
"Enable .NET Framework setup"
Q: What does this option mean?
What practical use does this setting provide?
2010 Microsoft Corporation. All rights reserved.
Seite 57
Zone Settings in Deep
.NET Framework Setup aktivieren
A: The “Enable .NET Framework setup” setting controls the bootstrapper that will kick off .NET install
when users navigate to .xaml/.xbap/.xps/.application content in Internet Explorer, but do not have
.NET already installed on their computers.
Mögliche Werte:
0x3 => Aktivieren
0x0 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da normale User nicht die nötige Berechtigung haben, um das .NET Framework zu installieren, kann
das Setting für alle Zonen auf „Deaktiviert“ gestellt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 58
Zone Settings in Deep
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Verschiedenes
22.
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Stats:
GUI Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen / Access data sources across
domains
Policy Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1406
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=714
Erklärung:
Mit diesen Richtlinieneinstellungen können Sie festlegen, ob Internet Explorer mithilfe von Microsoft
XML Parser (MSXML) oder ActiveX data Objects (ADO) auf Daten aus anderen Sicherheitszonen
zugreifen kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer eine Seite in der Zone laden,
die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen. Wenn Sie
in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob das Laden einer Seite
in der Zone zugelassen wird, die MSXML oder ADO verwendet, um auf Daten einer anderen Site in
der Zone zuzugreifen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Seite in der Zone
laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer keine Seite in der
Zone laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone
zuzugreifen.
Beispiel:
http://gps.cloudapp.net/zones/1406.html
2010 Microsoft Corporation. All rights reserved.
Seite 59
Zone Settings in Deep
Auf Datenquellen über Domänengrenzen hinweg zugreifen
1406.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Empfehlung:
In einem Unternehmensumfeld kann es sinnvoll sein das Setting für alle Zonen auf „Deaktivieren“ zu
stellen, da einerseits die Zonen entsprechend gepflegt sein sollten, dass ein solcher Zugriff nicht
erfolgt und andererseits die User nicht durch einen entsprechenden Dialog verunsichert werden.
2010 Microsoft Corporation. All rights reserved.
Seite 60
Zone Settings in Deep
23.
META Refresh zulassen
META Refresh zulassen
Stats:
GUI Name: META Refresh zulassen / Allow META Refresh
Policy Name: META Refresh zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1608
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=728
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob ein Benutzerbrowser auf eine andere
Webseite umgeleitet werden darf, wenn der Autor der Webseite das META Refresh-Tag verwendet
hat, um Browser auf eine andere Webseite umzuleiten.
Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Browser, der eine Seite mit einer aktiven
META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Browser, der eine Seite mit einer aktiven
META Refresh-Einstellung lädt, nicht zu einer anderen Webseite umgeleitet werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Browser, der eine Seite mit einer
aktiven META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden.
META Refresh auf Wikipedia:
Weiterleitung durch „refresh“
Um beim Aufruf einer Seite zu einer anderen URL weiterzuleiten (engl. forwarding), kann der refresh-Wert
genutzt werden. Über das content-Attribut kann weiterhin eine Zeit gesetzt werden, bis die Weiterleitung
erfolgt, z. B. um den Anwender noch auf den Grund für die Weiterleitung hinzuweisen:
<meta http-equiv="refresh" content="5; URL=http://www.microsoft.com/" />
Beispiel:
http://gps.cloudapp.net/zones/1608.html
2010 Microsoft Corporation. All rights reserved.
Seite 61
Zone Settings in Deep
META Refresh zulassen
1608.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Obwohl heutzutage i.d.R. andere Mechanismen verwendet werden, um ein Umleiten auf eine andere
Seite durchzuführen, kann es grade bei älteren Anwendungen noch genutzt werden. Daher sollten
die default Settings beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 62
Zone Settings in Deep
24.
Skripting des Microsoft-Browsersteuerelements zulassen
Skripting des Microsoft-Browsersteuerelements zulassen
Stats:
GUI Name: Skripting des Microsoft-Browsersteuerelements zulassen / Allow scripting of Microsoft
web browser control
Policy Name: Skripting für Internet Explorer-webbrowser-steuerelement zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1206
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=706
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob eine Seite eingebettete webbrowsersteuerelemente über Sktipting steuern kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement zulässig.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement nicht zulässig.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Skriptzugriff auf das
Webbrowser-Steuerelement vom Benutzer aktiviert oder deaktiviert werden. Der Skriptzugriff auf
das Webbrowser-Steuerelement ist nur in den Zonen "Lokaler Computer" und "Intranet" zulässig.
Beispiel:
Vgl.: http://msdn.microsoft.com/en-us/library/aa752041(v=VS.85).aspx
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 63
Zone Settings in Deep
Skripting des Microsoft-Browsersteuerelements zulassen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Deaktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Das WebBrowser Control sollte i.d.R. nicht von Webseiten im Internet genutzt werden. Daher sollten
die default Settings beibehalten werden, ggf. auch für die Vertrauenswürdigen Seiten auf
„Deaktivieren“ setzen.
2010 Microsoft Corporation. All rights reserved.
Seite 64
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen
25.
Skript initiierte Fenster ohne Größen- bzw.
Positionseinschränkungen zulassen
Stats:
GUI Name: Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen / Allow
script-initiated windows without size or position constraints
Policy Name: Skriptinitiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\windowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2102
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=796
Erklärung:
Mit dieser Richtlinieneinstellung können Sie Einschränkungen für skriptinitiierte Popupfenster und
Fenster verwalten, die Titel- und Statusleisten enthalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Fenstereinschränkungssicherheit in dieser
Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur Verfügung
gestellte zusätzliche Sicherheitsstufe ausgeführt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die möglicherweise schädlichen Aktionen
in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht
ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der
Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die möglicherweise schädlichen
Aktionen in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht
ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der
Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert.
===
Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das
Verhalten des Fensters von der aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B.
eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Öffnen von Fenstern ohne
Adress- oder Statusleisten für Websites zulassen).
2010 Microsoft Corporation. All rights reserved.
Seite 65
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen
Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde
dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet.
Dieses Setting verhindert, dass das mittels window.open() geöffnete Fenster durch window.moveTo()
ausserhalb des sichtbaren Bereichs bewegt wird, was zu einem Sicherheitsproblem führen könnte.
Beispiel:
http://gps.cloudapp.net/zones/2102.html
Wichtig: das Verhalten funktioniert natürlich nur dann, wenn das Popup nicht in einem neuen Tab,
sondern in einem neuen Window geöffnet wird.
2102.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden, bei der Verwendung von IE6 sollte der Wert wie bei
IE7/8 für die Internetzone auf „Deaktivieren“ gesetzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 66
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen
26.
Verwendung eingeschränkter Protokolle mit aktiven Inhalten
für Webseiten zulassen
Stats:
GUI Name: Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen /
Allow webpages to use restricted protocols for active content
Policy Name: Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2300
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=760
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob eine Ressource, die von einem durch den
Administrator eingeschränkten Protokoll in der Intranetzone gehostet wird, aktive Inhalte wie
Skripts, ActiveX, Java und Binärverhalten ausführen darf. Die Liste der eingeschränkten Protokolle
kann im Abschnitt "Eingeschränkte Protokolle der Intranetzone" der Sperrungsrichtlinie für das
Netzwerkprotokoll festgelegt werden.
Wenn Sie diese Richtlinie aktivieren, sind keine Inhalte der Intranetzone betroffen, auf die
zugegriffen wird. Dies gilt auch für eingeschränkte Protokolle auf der Liste. Wenn Sie "Bestätigen" in
der Dropdownliste auswählen, wird die Informationsleiste angezeigt, um die Handhabung
fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird. Inhalte, auf
die über andere Protokolle zugegriffen wird, sind nicht betroffen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden alle Versuche blockiert, über die
eingeschränkten Protokolle auf Inhalte dieser Art zuzugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren und die Sicherheitsfunktion zur Sperrung
des Netzwerkprotokolls aktiviert ist, wird die Informationsleiste angezeigt, um die Handhabung
fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird.
2010 Microsoft Corporation. All rights reserved.
Seite 67
Zone Settings in Deep
Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen
Das Setting ist nur dann sinnvoll , wenn Internet Explorer Network Protocol Lockdown konfiguriert
worden ist.
Typische Protokolle zum Blocken sind:





local://
file://
shell://
hcp://
ftp://
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Empfehlung:
Um User nicht durch einen entsprechenden Dialog zu verunsichern kann das Setting für alle Zonen
auf „Deaktivieren“ gesetzt werden oder je nach Verwendung für Lokales Intranet oder sogar die
vertrauenswürdigen Sites auf „Aktivieren“.
2010 Microsoft Corporation. All rights reserved.
Seite 68
Zone Settings in Deep
Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen
27.
Öffnen von Fenstern ohne Adress- oder Statusleisten für
Websites zulassen
Stats:
GUI Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen / Allow
websites to open windows without address or status bars
Policy Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2104
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=684
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob für Websites neue Internet Explorer-Fenster
ohne Adress- und Statusleisten geöffnet werden können.
Wenn Sie diese Richtlinieneinstellung aktivieren, können für Websites neue Internet Explorer-Fenster
ohne Adress- und Statusleisten geöffnet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können für Websites keine neuen Internet
Explorer-Fenster ohne Adress- und Statusleisten geöffnet werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob für Websites
neue Internet Explorer-Websites ohne Adress- und Statusleisten geöffnet werden können.
===
Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das
Verhalten des Fensters von der Aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B.
eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Skript initiierte Fenster ohne
Größen- bzw. Positionseinschränkungen zulassen).
Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde
dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet.
Beispiel:
http://gps.cloudapp.net/zones/2104.html
2010 Microsoft Corporation. All rights reserved.
Seite 69
Zone Settings in Deep
Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen
2104.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 70
Zone Settings in Deep
28.
Gemischte Inhalte anzeigen
Gemischte Inhalte anzeigen
Stats:
GUI Name: Gemischte Inhalte anzeigen / Display mixed content
Policy Name: Gemischte Inhalte anzeigen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1609
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=736
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Benutzer nicht sichere Elemente anzeigen
können und ob bei der Anzeige von Seiten, die sowohl sichere als auch nicht sichere Elemente
enthalten, eine Meldung mit Sicherheitsinformationen erscheint.
Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktivieren" ausgewählt
ist, wird Benutzern keine Meldung mit einer Sicherheitsinformation angezeigt ("Diese Seite enthält
sowohl sichere als auch nicht sichere Objekte. Möchten Sie die nicht sicheren Objekte anzeigen?").
Nicht sichere Inhalte können angezeigt werden.
Wenn im Dropdownfeld "Bestätigen" ausgewählt ist, erhalten die Benutzer eine Meldung mit
Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://)
Inhalte enthält.
Wenn Sie diese Richtlinieneinstellung deaktivieren, erhalten die Benutzer keine Meldung mit
Sicherheitsinformationen. Nicht sichere Inhalte können nicht angezeigt werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erhalten die Benutzer eine Meldung mit
Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://)
Inhalte enthält.
===
„Sichere Inhalte“ sind Daten, die mittels SSL/HTTPS übermittelt werden. D.b. z.B., dass wenn eine
Webseite mittels https:// aufgerufen wird, aber z.B. Bilder über <img src=“http://...“> aufruft, von
diesem Setting betroffen wäre. Sofern das Setting auf „Deaktivieren“ konfiguriert wurde, würde das
2010 Microsoft Corporation. All rights reserved.
Seite 71
Zone Settings in Deep
Gemischte Inhalte anzeigen
Bild aus dem obigen Beispiel nicht angezeigt, anstelle dessen würde der typische Platzhalter für ein
fehlendes Bild dargestellt. Dies gilt auch für Scripte und andere in der Webseite benötigte Dateien.
Beispiel:
https://www.microsoft.com/en/us/default.aspx
(es mag sein, dass dies in Zukunft nicht mehr funktioniert, sofern kein http Kontent auf der Seite
verlinkt ist)
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
2010 Microsoft Corporation. All rights reserved.
Seite 72
Zone Settings in Deep
Gemischte Inhalte anzeigen
Empfehlung:
Um die User nicht zu verunsichern, könnten die Settings auf „Deaktivieren“ gesetzt werden.
Webseiten, die gemischten Content verwenden, sind nicht dediziert dafür geschaffen um über
SSL/https aufgerufen zu werden. Demnach sind die Inhalte normalerweise auch nicht
notwendigerweise über SSL/https abzurufen und daher sollte es auch kein Problem darstellen die
Seite über http aufzurufen. „Aktivieren“ jedoch sollte nicht verwendet werden, da z.B. wenn auf
einer angegriffenen Webseite Schadcode über http nachgeladen werden soll, dieser nicht geladen
werden könnte.
2010 Microsoft Corporation. All rights reserved.
Seite 73
Zone Settings in Deep
Keine Aufforderung zur Clientzertifikatauswahl, wenn…
29.
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein
oder nur ein Zeritifikat vorhanden ist
Stats:
GUI Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat
vorhanden ist / Don't prompt for client certificate selection when no certificate or only one
certificate exists
Policy Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat
vorhanden ist
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1A04
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=762
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer zur Auswahl eines Zertifikats
aufgefordert werden, wenn kein oder nur ein Zertifikat vorhanden ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird den Benutzern keine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird den Benutzern eine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird den Benutzern eine Aufforderung zur
Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder
nur ein Zertifikat hat.
Beispiel:
Bei dem Besuch einer Webseite, die ein Clientzertifikat verlangt, wird entweder der u.g. Dialog
gezeigt, wenn das Setting auf „Deakivieren“ steht oder mehr als ein Zertifikat zur Auswahl steht, oder
aber direkt das richtige Zertifikat ohne Userzutun ausgewählt und verwendet.
2010 Microsoft Corporation. All rights reserved.
Seite 74
Zone Settings in Deep
Keine Aufforderung zur Clientzertifikatauswahl, wenn…
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 75
Zone Settings in Deep
30.
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Stats:
GUI Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien / Drag and drop or copy
and paste files
Policy Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1802
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=742
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer Dateien aus einer Quelle
innerhalb der Zone ziehen oder kopieren und einfügen dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer automatisch Dateien aus dieser
Zone ziehen oder kopieren und einfügen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen,
werden die Benutzer gefragt, ob Dateien aus dieser Zone gezogen oder kopiert werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Dateien aus dieser Zone weder
ziehen noch kopieren und einfügen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer automatisch Dateien aus
dieser Zone ziehen oder kopieren und einfügen.
Beispiel:
http://i.microsoft.com/global/en/publishingimages/sitebrand/microsoft.gif
Linksclick auf das Bild und dann auf den Desktop ziehen.
Sofern das Setting auf „Aktivieren“ steht, verändert sich der Mauszeiger und das Bild kann auf dem
Desktop abgelegt werden.
Remark:
1. Dieses Setting ist nicht zu verwechseln mit Programmatischen Zugriff auf die Zwischenablage
zulassen
2010 Microsoft Corporation. All rights reserved.
Seite 76
Zone Settings in Deep
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
2. Für IE8 gibt es nur noch „Aktivieren“ und „Deaktivieren“, obwohl „Bestätigen“ als Auswahl im
GUI zur Verfügung steht. Sofern „Bestätigen“ ausgewählt wurde, ist das Verhalten identisch
zu „Deaktivieren“
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings können beibehalten werden, ggf. das Setting für die restricted Sites auf
„Deaktivieren“ setzen, um Eingabeaufforderungen zu vermeiden.
2010 Microsoft Corporation. All rights reserved.
Seite 77
Zone Settings in Deep
Enable MIME Sniffing
31.
Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen
Server mit einbeziehen
Stats:
GUI Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen /
Include local directory path when uploading files to a server
Policy Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server einbeziehen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 160A
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=692
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob die lokalen Pfadinformationen beim
Hochladen einer Datei über ein HTML-Formular übermittelt werden. Bei der Übermittlung der
lokalen Pfadinformationen werden möglicherweise einige Informationen für den Server offen gelegt.
Beispielsweise können Dateien, die vom Desktop eines Benutzers aus gesendet werden, den
Benutzernamen als Teil des Pfads enthalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden beim Hochladen einer Datei über ein HTMLFormular Pfadinformationen übermittelt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Pfadinformationen beim Hochladen einer
Datei über ein HTML-Formular entfernt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob beim
Hochladen einer Datei Pfadinformationen übermittelt werden. Standardmäßig werden
Pfadinformationen übermittelt.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 78
Zone Settings in Deep
Enable MIME Sniffing
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Wenigstens für die Internetzone sollte das Setting auf „Deaktivieren“ gesetzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 79
Zone Settings in Deep
32.
Installation von Desktopobjekten
Installation von Desktopobjekten
Stats:
GUI Name: Installation von Desktopobjekten / Installation of desktop items
Policy Name: Installation von Desktopelementen zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1 bis incl. IE8
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1800
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=748
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer Active Desktop-Elemente aus
dieser Zone installieren dürfen. Die Einstellungen für diese Option sind die folgenden: Wenn Sie diese
Richtlinieneinstellung aktivieren, können Benutzer Desktopelemente aus dieser Zone automatisch
installieren.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Desktopelemente aus dieser Zone installiert werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer keine Desktopelemente aus
dieser Zone installieren.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Benutzer aufgefordert, zu wählen,
ob Desktopelemente aus dieser Zone installiert werden.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 80
Zone Settings in Deep
Installation von Desktopobjekten
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Empfehlung:
Da es seit Windows Vista keinen Active Desktop mehr gibt, kann dieses Setting gefahrlos überall auf
„Deaktivieren“ gestellt werden, sofern Windows Vista oder Windows 7 verwendet wird.
2010 Microsoft Corporation. All rights reserved.
Seite 81
Zone Settings in Deep
33.
Anwendungen und unsichere Dateien starten
Anwendungen und unsichere Dateien starten
Stats:
GUI Name: Anwendungen und unsichere Dateien starten / Launching applications and unsafe files
Policy Name: Programme und unsichere Dateien starten
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1806
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=702
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob die Eingabeaufforderung "Datei öffnen Sicherheitswarnung" beim Starten von ausführbaren oder unsicheren Dateien angezeigt wird.
Wenn ein Benutzer beispielsweise eine ausführbare Datei mithilfe von Windows Explorer von einer
Intranetdateifreigabe startet, wird mit dieser Einstellung gesteuert, ob vor dem Öffnen der Datei eine
Eingabeaufforderung angezeigt wird.
Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld der Wert "Aktivieren"
festgelegt ist, werden die Dateien ohne Sicherheitshinweis geöffnet. Wenn im Dropdownfeld der
Wert "Eingabeaufforderung" festgelegt ist, wird vor dem Öffnen der Dateien ein Sicherheitshinweis
angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Dateien nicht geöffnet.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer das Verhalten der
Eingabeaufforderung konfigurieren. Standardmäßig ist die Ausführung ist in der Zone
"Eingeschränkte Sites" deaktiviert, in den Zonen "Intranet" und "Lokaler Computer" aktiviert und in
den Zonen "Internet" und "Vertrauenswürdige Sites" auf "Eingabeaufforderung" festgelegt.
Beispiel:
Dieses Setting kann leicht anhand des eigenen Systems getestet werden:
Mittels Windows Explorer auf \\localhost\c$\windows navigieren und z.B. notepad.exe aufrufen.
Die Einstellungen in der Zone „local intranet“ werden in diesem Fall angewendet und die Ergebnisse
sehen je nach Einstellung wie folgt aus:
2010 Microsoft Corporation. All rights reserved.
Seite 82
Zone Settings in Deep
Anwendungen und unsichere Dateien starten
Bestätigen:
Disabled:
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Bestätigen;
IE8: Bestätigen;
2010 Microsoft Corporation. All rights reserved.
Seite 83
Zone Settings in Deep
Anwendungen und unsichere Dateien starten
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Bestätigen;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Je nach Sicherheitsvorgabe kann es sinnvoll sein, zumindest für die Internetzone das Setting auf
„Deaktivieren“ zu setzen.
Wichtig dabei ist jedoch, dass die Zonenkonfiguration insb. für Shares, die über FQDN zugegriffen
werden, korrekt gesetzt ist, denn dieses Zonensetting wirkt sich auch auf den Windows Explorer aus!
Vgl. hierzu: http://blogs.technet.com/b/iede/archive/2010/06/11/befinde-ich-mich-im-internetlokalen-intranet-oder-wo-wie-entscheidet-der-internet-explorer-und-das-betriebssystem-welchezone-genommen-wird.aspx
2010 Microsoft Corporation. All rights reserved.
Seite 84
Zone Settings in Deep
34.
Programme und Dateien in einem IFRAME starten
Programme und Dateien in einem IFRAME starten
Stats:
GUI Name: Programme und Dateien in einem IFRAME starten / Launching programs and files in an
IFRAME
Policy Name: Anwendungen und Dateien in einem IFRAME starten
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1804
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=752
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob von einem IFRAME-Verweis im HTMLCode der Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen werden
dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer von IFRAMEs auf den Seiten in
dieser Zone ohne Benutzereingriff Anwendungen ausführen und Dateien herunterladen. Wenn Sie im
Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob von IFRAMEs auf den Seiten
dieser Zone Anwendungen ausgeführt und Dateien heruntergeladen werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer von IFRAMEs auf den Seiten in
dieser Zone aus keine Anwendungen ausführen und keine Dateien herunterladen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob von
IFRAMEs auf den Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen
werden dürfen.
===
Ein „normaler“ Download wird durch dieses Setting nicht verhindert. Dafür ist File Download
verantwortlich.
Hingegen wenn ein Laufwerk, z.B. mittels <iframe src=“file://myserver/myshare“ /> aus einer
Webseite zugegriffen wird, so wäre von dort eine Dateiausführung möglich. Dies kann mittels dieses
Setting verhindert werden.
2010 Microsoft Corporation. All rights reserved.
Seite 85
Zone Settings in Deep
Programme und Dateien in einem IFRAME starten
Der Dialog wird auch bei der Benutzung der rechten Maustaste ausgelöst, sofern „Deaktivieren“ bzw.
„Prompt“ eingestellt sind.
Beispiel:
http://gps.cloudapp.net/zones/1804.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
2010 Microsoft Corporation. All rights reserved.
Seite 86
Zone Settings in Deep
Programme und Dateien in einem IFRAME starten
Empfehlung:
IFRAMES können Inhalt darstellen, der nicht von der aufrufenden Webseite/Domain stammt und
daher u.U. von einem nicht vertrauenswürdigen Anbieter stammen. Daher ist es denkbar die Werte
für die Internet und evtl. Vertrauenswürdigen Seiten auf „Deaktiviert“ zu setzen um User nicht zu
verunsichern.
2010 Microsoft Corporation. All rights reserved.
Seite 87
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
35.
Fenster und Frames zwischen verschiedenen Domänen
bewegen
Stats:
GUI Name: Fenster und Frames zwischen verschiedenen Domänen bewegen / Navigate windows and
frames across different domains
Policy Name: Subframes zwischen verschiedenen Domänen bewegen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1607
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=758
Erklärung:
Mit dieser Richtlinieneinstellung können Sie das Öffnen von Subframes und den Zugriff auf
Anwendungen über Domänen hinweg verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Subframes von anderen
Domänen öffnen und auf Anwendungen anderer Domänen zugreifen. Wenn Sie im Dropdownfeld
"Bestätigen" auswählen, werden die Benutzer gefragt, ob Subframes geöffnet werden dürfen und ein
Zugriff auf Anwendungen aus anderen Domänen zugelassen ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Subframes öffnen und
nicht auf Anwendungen anderer Domänen zugreifen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Subframes von
anderen Domänen öffnen und auf Anwendungen anderer Domänen zugreifen.
===
Durch dieses Setting wird nicht verhindert, dass z.B. IFRAMES mit SRC aus einer anderen Zone
gestartet werden können.
Allerdings verhindert es, dass ein Frameset, welches in einem Frame X ein Dokument der aktuellen
Domain A öffnet und in einem anderen Frame Y ein Dokument von Domain B und anschließend aus
der Domain B das erste Frame navigieren will (z.B. mittels: <a target=“frameX“>)
2010 Microsoft Corporation. All rights reserved.
Seite 88
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
Beispiel:
http://gps.cloudapp.net/zones/1607.html
1607_1.html
1607_2.html
1607.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 89
Zone Settings in Deep
Fenster und Frames zwischen verschiedenen Domänen bewegen
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Zumindest für die Internetzone sollte „Deaktivieren“ konfiguriert werden, ggf. sogar auch für die
Vertrauenswürdigen Seiten.
2010 Microsoft Corporation. All rights reserved.
Seite 90
Zone Settings in Deep
Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen
36.
Dateien basierend auf dem Inhalt und nicht der
Dateierweiterung öffnen
Stats:
GUI Name: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen / Open files
based on content, not file extension / IE9: Enable MIME Sniffing
Policy Name: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2100
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=756
Erklärung:
Diese Richtlinieneinstellung ermöglicht die Verwaltung der MIME-Ermittlung zum Heraufstufen einer
Datei von einem Typ in einen anderen. Bei der MIME-Ermittlung wird der Dateityp aufgrund einer
Bitsignatur von Internet Explorer erkannt.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Sicherheitsfunktion der MIME-Ermittlung
für diese Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur
Verfügung gestellte zusätzliche Sicherheitsstufe ausgeführt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können möglicherweise schädliche Aktionen
nicht ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone nach der
entsprechenden Einstellung für diesen Prozess aktiviert.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Sicherheitsfunktion der MIMEErmittlung für diese Zone nicht angewendet.
===
Wenn dieses Setting auf „Aktivieren“ gestellt ist, so wird bei einem Dateidownload nicht der default
Vorgang über die Endung in der Registry gesucht, sondern anhand des MIME Types. D.b., dass z.B. für
„.zip“ anstelle von „HKEY_CLASSES_ROOT\.zip“ das Verhalten unter
„HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-zip-compressed“ nachgeschaut.
Wichtig: dieses Setting überprüft nicht anhand des Dateiheaders, was für ein Typ die Datei hat,
sondern einzig am vom Server gesendeten MIME Type oder der Endung.
2010 Microsoft Corporation. All rights reserved.
Seite 91
Zone Settings in Deep
Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Das Setting kann in jeder Zone auf “Aktivieren” gesetzt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 92
Zone Settings in Deep
37.
Zugriffsrechte für Softwarechannel
Zugriffsrechte für Softwarechannel
Stats:
GUI Name: Zugriffsrechte für Softwarechannel / Software channel permissions
Policy Name: Zugriffsrechte für Softwarechannel
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1E05
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=778
Erklärung:
Mit dieser Richtlinieneinstellung können Sie Berechtigungen für Softwarechannels verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die folgenden Optionen aus dem
Dropdownfeld auswählen.
"Niedrige Sicherheit". Hierbei werden die Benutzer per E-Mail über Softwareaktualisierungen
informiert. Softwarepakete werden automatisch auf die Computer der Benutzer heruntergeladen
und automatisch installiert.
"Mittlere Sicherheit". Hierbei werden die Benutzer per E-Mail über Softwareaktualisierungen
informiert. Softwarepakete werden automatisch auf die Computer der Benutzer heruntergeladen,
aber nicht installiert.
"Hohe Sicherheit". Hierbei können die Benutzer nicht per E-Mail über Softwareaktualisierungen
informiert werden. Softwarepakete werden weder automatisch auf die Computer der Benutzer
heruntergeladen noch installiert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Berechtigungen auf hohe Sicherheit
festgelegt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Berechtigungen auf mittlere
Sicherheit festgelegt.
2010 Microsoft Corporation. All rights reserved.
Seite 93
Zone Settings in Deep
Zugriffsrechte für Softwarechannel
Mögliche Werte:
0x10000 => Hohe Sicherheit
0x20000 => Mittlere Sicherheit
0x30000 => Niedrige Sicherheit
Standardwerte:
Eingeschränkte Seiten:
IE6: Hohe Sicherheit;
IE7: Hohe Sicherheit;
IE8: N/A;
Internet:
IE6: Mittlere Sicherheit;
IE7: Mittlere Sicherheit;
IE8: N/A;
Vertrauenswürdigen Seiten:
IE6: Mittlere Sicherheit;
IE7: Mittlere Sicherheit;
IE8: N/A;
Lokales Intranet:
IE6: Mittlere Sicherheit;
IE7: Mittlere Sicherheit;
IE8: N/A;
Empfehlung:
Da Softwarechannels nicht mehr genutzt werden, sollten alle Zonnen auf „Hohe Sicherheit“
konfiguriert werden, bzw. für IE8 kann das Setting ignoriert werden.
2010 Microsoft Corporation. All rights reserved.
Seite 94
Zone Settings in Deep
38.
Unverschlüsselte Formulardaten übermitteln
Unverschlüsselte Formulardaten übermitteln
Stats:
GUI Name: Unverschlüsselte Formulardaten übermitteln / Submit non-encrypted form data
Policy Name: Unverschlüsselte Formulardaten übermitteln
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1601
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=780
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Daten in HTML-Formularen auf Seiten
in der Zone übermittelt werden dürfen. Mit SSL-Verschlüsselung (Secure Sockets Layer) gesendete
Formulare sind immer zugelassen. Diese Einstellung betrifft nur die Übertragung von nicht mit SSL
verschlüsselten Formulardaten.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden Informationen aus HTML-Formularen auf
Seiten in der Zone automatisch übertragen. Wenn Sie in der Dropdownliste "Bestätigen" auswählen,
werden die Benutzer gefragt, ob Informationen aus HTML-Formularen auf Seiten in der Zone
übertragen werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Informationen aus HTML-Formularen auf
Seiten in der Zone nicht übertragen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob
Informationen aus HTML-Formularen auf Seiten in der Zone übertragen werden dürfen.
2010 Microsoft Corporation. All rights reserved.
Seite 95
Zone Settings in Deep
Unverschlüsselte Formulardaten übermitteln
Beispiel:
http://gps.cloudapp.net/zones/1601.html
1601.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Bestätigen;
IE7: Bestätigen;
IE8: Bestätigen;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 96
Zone Settings in Deep
Unverschlüsselte Formulardaten übermitteln
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Es sollte in Erwägung gezogen werden das Setting für Eingeschränkte Seiten und die Internet Zone
auf „Deaktivieren“ zu setzen, da bei der Nutzung nicht über SSL/HTTPS u.U. Credentials im Klartext
über das Netz geschickt werden und dadurch die Sicherheit beeinträchtigt werden könnte.
2010 Microsoft Corporation. All rights reserved.
Seite 97
Zone Settings in Deep
39.
Phishingfilter verwenden
Phishingfilter verwenden
Stats:
GUI Name: Phishingfilter verwenden / Use Phishing Filter
Policy Name: Phishingfilter verwenden
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2301
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=694
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob der Phishingfilter die Seiten in dieser Zone
auf Phishing überprüft.
Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft der Phishingfilter die Seiten in dieser
Zone auf Phishing.
Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft der Phishingfilter die Seiten in dieser
Zone nicht auf Phishing.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer diese Einstellung
konfigurieren.
Beispiel:
Vgl. Beispiel des Smartscreenfilters:
http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“
Vgl.: Verwalten von SmartScreen-Filter deaktivieren und Umgehung der SmartScreenFilterwarnungen verhindern
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 98
Zone Settings in Deep
Phishingfilter verwenden
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: N/A;
Internet:
IE6: N/A;
IE7: Aktivieren;
IE8: N/A;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: N/A;
Lokales Intranet:
IE6: N/A;
IE7: Deaktivieren;
IE8: N/A;
Empfehlung:
Das Setting sollte für alle IE7 Installationen bis auf die „Lokales Intranet Zone“ auf „Aktivieren“
gesetzt werden. Für IE8 sollte der Smartscreen Filter verwendet werden, IE6 bietet keinen
Phishingschutz.
2010 Microsoft Corporation. All rights reserved.
Seite 99
Zone Settings in Deep
40.
Popupblocker verwenden
Popupblocker verwenden
Stats:
GUI Name: Popupblocker verwenden / Use Pop-up Blocker
Policy Name: Popupblocker verwenden
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1809
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=734
Erklärung:
Mit dieser Richtlinieneinstellung kann festgelegt werden, ob unerwünschte Popupfenster angezeigt
werden sollen. Popupfenster, die geöffnet werden, wenn der Endbenutzer auf einen Link klickt,
werden nicht blockiert.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die meisten unerwünschten Popupfenster
nicht angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Popupfenster angezeigt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die meisten unerwünschten
Popupfenster nicht angezeigt.
Beispiel:
http://gps.cloudapp.net/zones/1809.html
1809.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 100
Zone Settings in Deep
Popupblocker verwenden
Standardwerte:
Eingeschränkte Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 101
Zone Settings in Deep
41.
SmartScreen-Filter verwenden
SmartScreen-Filter verwenden
Stats:
GUI Name: SmartScreen-Filter verwenden / Use Smartscreen filter
Policy Name: SmartScreen-Filter verwenden
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: User Configuration\Administrative Templates\Windows-Komponenten\Internet
Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\
Registry key: HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3
Registry value: 2301
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=694
Erklärung:
Mit dieser Richtlinieneinstellung können Sie steuern, ob der SmartScreen-Filter die Seiten in dieser
Zone auf bösartige Inhalte überprüft.
Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft der SmartScreen-Filter die Seiten in dieser
Zone auf bösartige Inhalte.
Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft der SmartScreen-Filter die Seiten in
dieser Zone nicht auf bösartige Inhalte.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer diese Einstellung
konfigurieren.
Hinweis: In Internet Explorer 7 steuert diese Richtlinieneinstellung, ob der Phishingfilter Seiten in
dieser Zone auf bösartige Inhalte überprüft.
Beispiel:
http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“
Vgl.: Verwalten von SmartScreen-Filter deaktivieren und Umgehung der SmartScreenFilterwarnungen verhindern
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 102
Zone Settings in Deep
SmartScreen-Filter verwenden
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 103
Zone Settings in Deep
42.
Dauerhaftigkeit der Benutzerdaten
Dauerhaftigkeit der Benutzerdaten
Stats:
GUI Name: Dauerhaftigkeit der Benutzerdaten / Userdata persistence
Policy Name: Dauerhaftigkeit der Benutzerdaten
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1606
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=794
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen, das Beibehalten von Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite zu verwalten. Wenn Benutzer zu einer dauerhaften Seite zurückkehren,
kann der Status der Seite wiederhergestellt werden, falls diese Richtlinieneinstellung korrekt
konfiguriert wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite beibehalten.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Informationen im Verlauf des
Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite nicht beibehalten.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer Informationen im Verlauf
des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte
gespeicherten Webseite beibehalten.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
2010 Microsoft Corporation. All rights reserved.
Seite 104
Zone Settings in Deep
Dauerhaftigkeit der Benutzerdaten
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden. Da dieses Vorgehen i.d.R. nicht mehr verwendet
wird, dürfte auch ein generelles „Deaktivieren“ möglich sein.
2010 Microsoft Corporation. All rights reserved.
Seite 105
Zone Settings in Deep
Websites, die sich in Webinhaltszonen niedriger Berechtigung…
43.
Websites, die sich in Webinhaltzonen niedriger Berechtigung
befinden, können in diese Zone navigieren
Stats:
GUI Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren / Websites in less privileged web content zone can navigate into this zone
Policy Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese
Zone navigieren
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2101
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=798
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Websites aus Zonen mit geringeren
Berechtigungen, z. B. eingeschränkte Sites, in diese Zone wechseln dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Websites von Zonen mit weniger
Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln. Die
Sicherheitszone wird ohne die durch die Funktion zum Schutz vor Zonenanhebung zur Verfügung
gestellte zusätzliche Sicherheitsstufe ausgeführt. Wenn Sie "Bestätigen" in der Dropdownliste
auswählen, wird eine Warnung angezeigt, die den Benutzer über diese potenziell gefährliche Aktion
informiert.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden möglicherweise schädliche Wechsel
verhindert. Die Internet Explorer-Sicherheitsfunktion wird in dieser Zone aktiviert, wie in der
Funktion zum Schutz vor Zonenanhebung festgelegt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Websites von Zonen mit weniger
Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln.
Beispiel:
http://gps.cloudapp.net/zones/2101.html
2010 Microsoft Corporation. All rights reserved.
Seite 106
Zone Settings in Deep
Websites, die sich in Webinhaltszonen niedriger Berechtigung…
2101.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 107
Zone Settings in Deep
Active Scripting
Scripting
44.
Active Scripting
Stats:
GUI Name: Active Scripting / Active Scripting
Policy Name: Active Scripting zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1400
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=716
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skriptcode auf Seiten in der Zone
ausgeführt werden darf.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird Skriptcode auf Seiten in der Zone automatisch
ausgeführt. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Skriptcode auf Seiten in der Zone ausgeführt werden darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptcode auf Seiten in der Zone nicht
ausgeführt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird Skriptcode auf Seiten in der Zone
automatisch ausgeführt.
Beispiel:
http://gps.cloudapp.net/zones/2103.html => Die Zeitupdates auf der Demopage werden bei
abgeschaltetem Active Scripting nicht mehr funktionieren.
2010 Microsoft Corporation. All rights reserved.
Seite 108
Zone Settings in Deep
Active Scripting
2103.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Da mittlerweile Active Scripting (z.B. mittels Javascript) auf vielen Webseiten notwendig ist, sollten
die default Settings beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 109
Zone Settings in Deep
45.
Programmatischen Zugriff auf die Zwischenablage zulassen
Programmatischen Zugriff auf die Zwischenablage zulassen
Stats:
GUI Name: Programmatischen Zugriff auf die Zwischenablage zulassen / Allow paste operations via
script / Allow Programmatic clipboard access
Policy Name: Skriptbasierte Ausschneide-, Kopier- oder Einfügeoperationen von der Zwischenablage
zulassen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1407
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=730
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripts in einer angegebenen Region
Zwischenablageoperationen (z. B. Ausschneiden, Kopieren und Einfügen) durchführen dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Skript eine Zwischenablagenoperation
durchführen.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob
Zwischenablagenoperationen ausgeführt werden dürfen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Skript keine Zwischenablagenoperation
durchführen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Skript eine
Zwischenablagenoperation durchführen.
===
Beispiel: eine beliebige Policy auf der GPS auswählen und über „Copy“ Inhalte in die Zwischenablage
kopieren.
Beispiel:
http://gps.cloudapp.net/zones/1407.html
2010 Microsoft Corporation. All rights reserved.
Seite 110
Zone Settings in Deep
Programmatischen Zugriff auf die Zwischenablage zulassen
1407.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Bestätigen;
IE8: Bestätigen;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Bestätigen;
IE8: Bestätigen;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Um den User nicht zu verwirren kann es sinnvoll sein das Setting für die Internet Zone auf
„Deaktiviert“ zu setzen und für die Vertrauenswürdigen Seiten auf „Aktivieren“.
2010 Microsoft Corporation. All rights reserved.
Seite 111
Zone Settings in Deep
46.
Statuszeilenaktualisierung über Skript zulassen
Statuszeilenaktualisierung über Skript zulassen
Stats:
GUI Name: Statuszeilenaktualisierung über Skript zulassen / Allow status bar updates via script
Policy Name: Statuszeilenaktualisierung über Skript zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2103
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=698
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skripts in dieser Zone die Statusleiste
aktualisieren dürfen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Skripts die Statusleiste aktualisieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts die Statusleiste nicht
aktualisieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren, sind Aktualisierungen der Statusleiste über
Skripts deaktiviert.
Beispiel:
http://gps.cloudapp.net/zones/2103.html
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 112
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 113
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
47.
Eingabeaufforderung für Informationen mithilfe von
Skriptfenstern für Websites zulassen
Stats:
GUI Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen
/ Allow websites to prompt for information using scripted windows
Policy Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites
zulassen
Supported on: Mindestens Internet Explorer 7.0
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 2105
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=696
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripteingabeaufforderungen automatisch
angezeigt werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden Skripteingabeaufforderungen angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, müssen Benutzer Skripteingabeaufforderungen
mithilfe der informationsleiste anzeigen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer das Verhalten der
informationsleiste aktivieren oder deaktivieren.
==
Mit „Skripteingabeaufforderung“ sind Popups gemeint, die mittels „window.prompt()“ geöffnet
werden.
Beispiel:
http://gps.cloudapp.net/zones/2105.html
2105.html
2010 Microsoft Corporation. All rights reserved.
Seite 114
Zone Settings in Deep
Statuszeilenaktualisierung über Skript zulassen
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: N/A;
IE7: Deaktivieren;
IE8: Deaktivieren;
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: N/A;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden oder sogar für die Vertrauenswürdigen Seiten auf
„Deaktivieren“ gestellt werden.
2010 Microsoft Corporation. All rights reserved.
Seite 115
Zone Settings in Deep
48.
XSS-Filter aktivieren
XSS-Filter aktivieren
Stats:
GUI Name: XSS-Filter aktivieren / Enable XSS filter
Policy Name: XSS-Filter aktivieren
Supported on: Mindestens Internet Explorer 8.0
Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Zone des lokalen
Computers\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1409
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=782
Erklärung:
Mithilfe dieser Richtlinie können Sie steuern, ob mit dem XSS-Filter (Cross-Site Scripting,
siteübergreifendes Skripting) die siteübergreifende Skripteinschleusung in Websites in dieser Zone
erkannt und verhindert wird. Wenn Sie diese Richtlinieneinstellung aktivieren, wird der XSS-Filter für
Sites in dieser Zone aktiviert, um die siteübergreifende Skripteinschleusung zu blockieren. Wenn Sie
diese Richtlinieneinstellung deaktivieren, wird der XSS-Filter für Sites in dieser Zone deaktiviert, und
Internet Explorer lässt die siteübergreifende Skripteinschleusung zu.
Beispiel:
http://www.ie8demos.com/tryit/ => „Cross Site Scripting Filter“
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
Standardwerte:
Eingeschränkte Seiten:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
Internet:
IE6: N/A;
IE7: N/A;
IE8: Aktivieren;
2010 Microsoft Corporation. All rights reserved.
Seite 116
Zone Settings in Deep
XSS-Filter aktivieren
Vertrauenswürdigen Seiten:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
Lokales Intranet:
IE6: N/A;
IE7: N/A;
IE8: Deaktivieren;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 117
Zone Settings in Deep
49.
Scripting von Java Applets
Scripting von Java-Applets
Stats:
GUI Name: Scripting von Java-Applets / Scripting of Java applets
Policy Name: Scripting von Java-Applets
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1402
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=774
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Applets in dieser Zone für Skripts
bereitgestellt werden.
Wenn Sie diese Richtlinie aktivieren, können Skripts automatisch und ohne Benutzereingriff auf
Applets zugreifen.
Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob ein Skript auf
Applets zugreifen darf.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts nicht auf Applets zugreifen.
Wenn Sie diese Richtlinie nicht konfigurieren, können Skripts automatisch und ohne Benutzereingriff
auf Applets zugreifen.
Mögliche Werte:
0x0 => Aktivieren
0x3 => Deaktivieren
0x1 => Bestätigen
2010 Microsoft Corporation. All rights reserved.
Seite 118
Zone Settings in Deep
Scripting von Java Applets
Standardwerte:
Eingeschränkte Seiten:
IE6: Deaktivieren;
IE7: Deaktivieren;
IE8: Deaktivieren;
Internet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Vertrauenswürdigen Seiten:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Lokales Intranet:
IE6: Aktivieren;
IE7: Aktivieren;
IE8: Aktivieren;
Empfehlung:
Die default Settings können beibehalten werden, u.U. mag es sinnvoll sein auch die Internet Zone auf
„Deaktivieren“ zu konfigurieren.
2010 Microsoft Corporation. All rights reserved.
Seite 119
Zone Settings in Deep
Anmeldung
Benutzerauthentifizierung
50.
Anmeldung
Stats:
GUI Name: Anmeldung / Logon options
Policy Name: Anmeldungsoptionen
Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server
2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\
Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\%ZONEID%
Registry value: 1A00
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=754
Erklärung:
Mit dieser Richtlinieneinstellung können Sie Berechtigungen für Anmeldeoptionen verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die folgenden Anmeldeoptionen
auswählen.
Mit "Anonyme Anmeldung" wird die HTTP-Authentifizierung deaktiviert und das Gastkonto nur für
das CIFS-Protokoll (Common Internet File System) verwendet.
Mit "Nach Benutzername und Kennwort fragen" werden die Benutzer nach ihren Benutzer-IDs und
Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der
Sitzung ohne weitere Nachfrage verwendet werden.
Mit "Automatisches Anmelden nur in der Intranetzone" werden die Benutzer in anderen Zonen nach
ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte
im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden.
Mit "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" wird eine Anmeldung
mithilfe der NTLM-Authentifizierung (Windows NT Challenge Response) versucht. Wenn der Server
Windows NT Challenge Response unterstützt, werden der Netzwerkbenutzername des Benutzers
und das zugehörige Kennwort für die Anmeldung verwendet. Falls der Server Windows NT Challenge
2010 Microsoft Corporation. All rights reserved.
Seite 120
Zone Settings in Deep
Anmeldung
Response nicht unterstützt, wird der Benutzer aufgefordert, Benutzernamen und Kennwort
anzugeben.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Anmeldeoption "Automatisches
Anmelden nur in der Intranetzone" festgelegt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Anmeldeoption "Automatisches
Anmelden nur in der Intranetzone" festgelegt.
Mögliche Werte:
0x30000 => Anonyme Anmeldung
0x20000 => Automatisches Anmelden nur in der Intranetzone
0x00000 => Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort
0x10000=> Nach Benutzername und Kennwort fragen
Standardwerte:
Eingeschränkte Seiten:
IE6: Nach Benutzername und Kennwort fragen;
IE7: Nach Benutzername und Kennwort fragen;
IE8: Nach Benutzername und Kennwort fragen;
Internet:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
Vertrauenswürdigen Seiten:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
Lokales Intranet:
IE6: Automatisches Anmelden nur in der Intranetzone;
IE7: Automatisches Anmelden nur in der Intranetzone;
IE8: Automatisches Anmelden nur in der Intranetzone;
Empfehlung:
Die default Settings sollten beibehalten werden.
2010 Microsoft Corporation. All rights reserved.
Seite 121