Zonen Settings in Deep Microsoft Deutschland GmbH, Microsoft Corporation Published: July 2010 Author: Stephanus Schulte Abstract Dieser Guide bietet ihnen einen tieferen Einblick in die Funktionen und Konfigurationen der Internet Zonen von Microsoft® Windows™ Betriebssytemen. Zone Settings in Deep Inhaltsverzeichnis Legal Notice The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. This White Paper is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. © 2010 Microsoft Corporation. All rights reserved. Microsoft and product names identified in this document are either registered trademarks or trademarks of Microsoft Corporation in the U.S.A. and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. 2010 Microsoft Corporation. All rights reserved. Seite 2 Zone Settings in Deep Inhaltsverzeichnis Inhaltsverzeichnis Legal Notice ............................................................................................................................................. 2 Links ....................................................................................................................................................... 14 Anmerkung: ........................................................................................................................................... 14 Zonen Settings ....................................................................................................................................... 15 .NET Framework .................................................................................................................................... 15 1. Loose XAML ............................................................................................................................... 15 Stats: .............................................................................................................................................. 15 Erklärung: ...................................................................................................................................... 15 Links: .............................................................................................................................................. 16 Mögliche Werte: ............................................................................................................................ 16 Standardwerte:.............................................................................................................................. 16 Empfehlung: .................................................................................................................................. 17 2. XAML-Browseranwendungen.................................................................................................... 18 Stats: .............................................................................................................................................. 18 Erklärung: ...................................................................................................................................... 18 Mögliche Werte: ............................................................................................................................ 18 Standardwerte:.............................................................................................................................. 19 Empfehlung: .................................................................................................................................. 19 3. XPS Dokumente ......................................................................................................................... 20 Stats: .............................................................................................................................................. 20 Erklärung: ...................................................................................................................................... 20 Hinweis: ......................................................................................................................................... 20 Mögliche Werte: ............................................................................................................................ 21 Standardwerte:.............................................................................................................................. 21 Empfehlung: .................................................................................................................................. 21 Auf .NET Framework basierende Komponenten................................................................................... 22 4. Berechtigungen für Komponenten mit Manifesten .................................................................. 22 Stats: .............................................................................................................................................. 22 Mögliche Werte: ............................................................................................................................ 22 Standardwerte:.............................................................................................................................. 22 Empfehlung: .................................................................................................................................. 23 5. Ausführen von Komponenten, die nicht mit Authenticode signiert sind................................. 24 Stats: .............................................................................................................................................. 24 2010 Microsoft Corporation. All rights reserved. Seite 3 Zone Settings in Deep Inhaltsverzeichnis Erklärung: ...................................................................................................................................... 24 Mögliche Werte: ............................................................................................................................ 25 Standardwerte:.............................................................................................................................. 25 Empfehlung: .................................................................................................................................. 25 6. Ausführen von Komponenten, die mit Authenticode signiert sind .......................................... 26 Stats: .............................................................................................................................................. 26 Erklärung: ...................................................................................................................................... 26 Mögliche Werte: ............................................................................................................................ 27 Standardwerte:.............................................................................................................................. 27 Empfehlung: .................................................................................................................................. 27 ActiveX-Steuerelemente und Plugins .................................................................................................... 28 7. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderungen zulassen ...................................................................................................... 28 Stats: .............................................................................................................................................. 28 Mögliche Werte: ............................................................................................................................ 28 Standardwerte:.............................................................................................................................. 29 Empfehlung: .................................................................................................................................. 29 8. Skriptlets zulassen ..................................................................................................................... 30 Stats: .............................................................................................................................................. 30 Erklärung: ...................................................................................................................................... 30 Mögliche Werte: ............................................................................................................................ 30 Standardwerte:.............................................................................................................................. 30 Empfehlung: .................................................................................................................................. 31 9. Automatische Eingabeaufforderung für ActiveX-Steuerelemente ........................................... 32 Stats: .............................................................................................................................................. 32 Erklärung: ...................................................................................................................................... 32 Mögliche Werte: ............................................................................................................................ 33 Standardwerte:.............................................................................................................................. 33 Empfehlung: .................................................................................................................................. 33 10. Binär- und Skriptverhalten .................................................................................................... 34 Stats: .............................................................................................................................................. 34 Erklärung: ...................................................................................................................................... 34 Mögliche Werte: ............................................................................................................................ 35 Standardwerte:.............................................................................................................................. 35 2010 Microsoft Corporation. All rights reserved. Seite 4 Zone Settings in Deep Inhaltsverzeichnis Empfehlung: .................................................................................................................................. 36 11. Videos und Animationen auf einer Webseite anzeigen, die keine externe Medienwiedergabe verwendet ......................................................................................................... 37 Stats: .............................................................................................................................................. 37 Erklärung: ...................................................................................................................................... 37 Beispiel: ......................................................................................................................................... 37 Mögliche Werte: ............................................................................................................................ 38 Standardwerte:.............................................................................................................................. 38 Empfehlung: .................................................................................................................................. 38 12. Signierte ActiveX-Steuerelemente herunterladen ................................................................ 39 Stats: .............................................................................................................................................. 39 Erklärung: ...................................................................................................................................... 39 Mögliche Werte: ............................................................................................................................ 39 Standardwerte:.............................................................................................................................. 40 Empfehlung: .................................................................................................................................. 40 13. Unsignierte ActiveX-Steuerelemente herunterladen ............................................................ 41 Stats: .............................................................................................................................................. 41 Erklärung: ...................................................................................................................................... 41 Mögliche Werte: ............................................................................................................................ 41 Standardwerte:.............................................................................................................................. 42 Empfehlung: .................................................................................................................................. 42 14. ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind................................ 43 Stats: .............................................................................................................................................. 43 Erklärung: ...................................................................................................................................... 43 Mögliche Werte: ............................................................................................................................ 44 Standardwerte:.............................................................................................................................. 44 Empfehlung: .................................................................................................................................. 44 15. Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen .. 45 Stats: .............................................................................................................................................. 45 Erklärung: ...................................................................................................................................... 45 Mögliche Werte: ............................................................................................................................ 46 Standardwerte:.............................................................................................................................. 46 Empfehlung: .................................................................................................................................. 46 16. ActiveX-Steuerelemente und Plug-ins ausführen ................................................................. 47 2010 Microsoft Corporation. All rights reserved. Seite 5 Zone Settings in Deep Inhaltsverzeichnis Stats: .............................................................................................................................................. 47 Erklärung: ...................................................................................................................................... 47 Beispiel: ......................................................................................................................................... 47 Mögliche Werte: ............................................................................................................................ 48 Standardwerte:.............................................................................................................................. 48 Empfehlung: .................................................................................................................................. 48 17. ActiveX-Steuerelmente ausführen, die für Scripting sicher sind........................................... 49 Stats: .............................................................................................................................................. 49 Erklärung: ...................................................................................................................................... 49 Mögliche Werte: ............................................................................................................................ 50 Standardwerte:.............................................................................................................................. 50 Empfehlung: .................................................................................................................................. 50 Downloads ............................................................................................................................................. 51 18. Automatische Eingabeaufforderung für Dateidownloads .................................................... 51 Stats: .............................................................................................................................................. 51 Erklärung: ...................................................................................................................................... 51 Beispiel: ......................................................................................................................................... 51 Mögliche Werte: ............................................................................................................................ 52 Standardwerte:.............................................................................................................................. 52 Empfehlung: .................................................................................................................................. 52 19. Dateidownload ...................................................................................................................... 53 Stats: .............................................................................................................................................. 53 Erklärung: ...................................................................................................................................... 53 Beispiel: ......................................................................................................................................... 53 Mögliche Werte: ............................................................................................................................ 54 Standardwerte:.............................................................................................................................. 54 Empfehlung: .................................................................................................................................. 54 20. Schriftartdownload................................................................................................................ 55 Stats: .............................................................................................................................................. 55 Erklärung: ...................................................................................................................................... 55 Mögliche Werte: ............................................................................................................................ 55 Standardwerte:.............................................................................................................................. 56 Empfehlung: .................................................................................................................................. 56 Enable .NET Framework setup .............................................................................................................. 57 2010 Microsoft Corporation. All rights reserved. Seite 6 Zone Settings in Deep 21. Inhaltsverzeichnis .NET Framework Setup aktivieren ......................................................................................... 57 Stats: .............................................................................................................................................. 57 Erklärung: ...................................................................................................................................... 57 Mögliche Werte: ............................................................................................................................ 58 Standardwerte:.............................................................................................................................. 58 Empfehlung: .................................................................................................................................. 58 Verschiedenes ....................................................................................................................................... 59 22. Auf Datenquellen über Domänengrenzen hinweg zugreifen................................................ 59 Stats: .............................................................................................................................................. 59 Erklärung: ...................................................................................................................................... 59 Beispiel: ......................................................................................................................................... 59 Mögliche Werte: ............................................................................................................................ 60 Standardwerte:.............................................................................................................................. 60 Empfehlung: .................................................................................................................................. 60 23. META Refresh zulassen ......................................................................................................... 61 Stats: .............................................................................................................................................. 61 Erklärung: ...................................................................................................................................... 61 Beispiel: ......................................................................................................................................... 61 Mögliche Werte: ............................................................................................................................ 62 Standardwerte:.............................................................................................................................. 62 Empfehlung: .................................................................................................................................. 62 24. Skripting des Microsoft-Browsersteuerelements zulassen ................................................... 63 Stats: .............................................................................................................................................. 63 Erklärung: ...................................................................................................................................... 63 Beispiel: ......................................................................................................................................... 63 Mögliche Werte: ............................................................................................................................ 63 Standardwerte:.............................................................................................................................. 64 Empfehlung: .................................................................................................................................. 64 25. Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen ................ 65 Stats: .............................................................................................................................................. 65 Erklärung: ...................................................................................................................................... 65 Beispiel: ......................................................................................................................................... 66 Mögliche Werte: ............................................................................................................................ 66 Standardwerte:.............................................................................................................................. 66 2010 Microsoft Corporation. All rights reserved. Seite 7 Zone Settings in Deep Inhaltsverzeichnis Empfehlung: .................................................................................................................................. 66 26. Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen...... 67 Stats: .............................................................................................................................................. 67 Erklärung: ...................................................................................................................................... 67 Mögliche Werte: ............................................................................................................................ 68 Standardwerte:.............................................................................................................................. 68 Empfehlung: .................................................................................................................................. 68 27. Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen ..................... 69 Stats: .............................................................................................................................................. 69 Erklärung: ...................................................................................................................................... 69 Beispiel: ......................................................................................................................................... 69 Mögliche Werte: ............................................................................................................................ 70 Standardwerte:.............................................................................................................................. 70 Empfehlung: .................................................................................................................................. 70 28. Gemischte Inhalte anzeigen .................................................................................................. 71 Stats: .............................................................................................................................................. 71 Erklärung: ...................................................................................................................................... 71 Beispiel: ......................................................................................................................................... 72 Mögliche Werte: ............................................................................................................................ 72 Standardwerte:.............................................................................................................................. 72 Empfehlung: .................................................................................................................................. 73 29. Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat vorhanden ist..................................................................................................................................... 74 Stats: .............................................................................................................................................. 74 Erklärung: ...................................................................................................................................... 74 Beispiel: ......................................................................................................................................... 74 Mögliche Werte: ............................................................................................................................ 75 Standardwerte:.............................................................................................................................. 75 Empfehlung: .................................................................................................................................. 75 30. Ziehen und Ablegen oder Kopieren und Einfügen von Dateien ............................................ 76 Stats: .............................................................................................................................................. 76 Erklärung: ...................................................................................................................................... 76 Beispiel: ......................................................................................................................................... 76 Mögliche Werte: ............................................................................................................................ 77 2010 Microsoft Corporation. All rights reserved. Seite 8 Zone Settings in Deep Inhaltsverzeichnis Standardwerte:.............................................................................................................................. 77 Empfehlung: .................................................................................................................................. 77 31. Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen .. 78 Stats: .............................................................................................................................................. 78 Erklärung: ...................................................................................................................................... 78 Mögliche Werte: ............................................................................................................................ 78 Standardwerte:.............................................................................................................................. 79 Empfehlung: .................................................................................................................................. 79 32. Installation von Desktopobjekten ......................................................................................... 80 Stats: .............................................................................................................................................. 80 Erklärung: ...................................................................................................................................... 80 Mögliche Werte: ............................................................................................................................ 80 Standardwerte:.............................................................................................................................. 81 Empfehlung: .................................................................................................................................. 81 33. Anwendungen und unsichere Dateien starten ..................................................................... 82 Stats: .............................................................................................................................................. 82 Erklärung: ...................................................................................................................................... 82 Beispiel: ......................................................................................................................................... 82 Mögliche Werte: ............................................................................................................................ 83 Standardwerte:.............................................................................................................................. 83 Empfehlung: .................................................................................................................................. 84 34. Programme und Dateien in einem IFRAME starten .............................................................. 85 Stats: .............................................................................................................................................. 85 Erklärung: ...................................................................................................................................... 85 Beispiel: ......................................................................................................................................... 86 Mögliche Werte: ............................................................................................................................ 86 Standardwerte:.............................................................................................................................. 86 Empfehlung: .................................................................................................................................. 87 35. Fenster und Frames zwischen verschiedenen Domänen bewegen ...................................... 88 Stats: .............................................................................................................................................. 88 Erklärung: ...................................................................................................................................... 88 Beispiel: ......................................................................................................................................... 89 Mögliche Werte: ............................................................................................................................ 89 Standardwerte:.............................................................................................................................. 89 2010 Microsoft Corporation. All rights reserved. Seite 9 Zone Settings in Deep Inhaltsverzeichnis Empfehlung: .................................................................................................................................. 90 36. Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen ......................... 91 Stats: .............................................................................................................................................. 91 Erklärung: ...................................................................................................................................... 91 Mögliche Werte: ............................................................................................................................ 92 Standardwerte:.............................................................................................................................. 92 Empfehlung: .................................................................................................................................. 92 37. Zugriffsrechte für Softwarechannel ...................................................................................... 93 Stats: .............................................................................................................................................. 93 Erklärung: ...................................................................................................................................... 93 Mögliche Werte: ............................................................................................................................ 94 Standardwerte:.............................................................................................................................. 94 Empfehlung: .................................................................................................................................. 94 38. Unverschlüsselte Formulardaten übermitteln ...................................................................... 95 Stats: .............................................................................................................................................. 95 Erklärung: ...................................................................................................................................... 95 Beispiel: ......................................................................................................................................... 96 Mögliche Werte: ............................................................................................................................ 96 Standardwerte:.............................................................................................................................. 96 Empfehlung: .................................................................................................................................. 97 39. Phishingfilter verwenden ...................................................................................................... 98 Stats: .............................................................................................................................................. 98 Erklärung: ...................................................................................................................................... 98 Beispiel: ......................................................................................................................................... 98 Mögliche Werte: ............................................................................................................................ 98 Standardwerte:.............................................................................................................................. 99 Empfehlung: .................................................................................................................................. 99 40. Popupblocker verwenden ................................................................................................... 100 Stats: ............................................................................................................................................ 100 Erklärung: .................................................................................................................................... 100 Beispiel: ....................................................................................................................................... 100 Mögliche Werte: .......................................................................................................................... 100 Standardwerte:............................................................................................................................ 101 Empfehlung: ................................................................................................................................ 101 2010 Microsoft Corporation. All rights reserved. Seite 10 Zone Settings in Deep 41. Inhaltsverzeichnis SmartScreen-Filter verwenden............................................................................................ 102 Stats: ............................................................................................................................................ 102 Erklärung: .................................................................................................................................... 102 Beispiel: ....................................................................................................................................... 102 Mögliche Werte: .......................................................................................................................... 102 Standardwerte:............................................................................................................................ 103 Empfehlung: ................................................................................................................................ 103 42. Dauerhaftigkeit der Benutzerdaten .................................................................................... 104 Stats: ............................................................................................................................................ 104 Erklärung: .................................................................................................................................... 104 Mögliche Werte: .......................................................................................................................... 104 Standardwerte:............................................................................................................................ 105 Empfehlung: ................................................................................................................................ 105 43. Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren ............................................................................................................................... 106 Stats: ............................................................................................................................................ 106 Erklärung: .................................................................................................................................... 106 Beispiel: ....................................................................................................................................... 106 Mögliche Werte: .......................................................................................................................... 107 Standardwerte:............................................................................................................................ 107 Empfehlung: ................................................................................................................................ 107 Scripting ............................................................................................................................................... 108 44. Active Scripting .................................................................................................................... 108 Stats: ............................................................................................................................................ 108 Erklärung: .................................................................................................................................... 108 Beispiel: ....................................................................................................................................... 108 Mögliche Werte: .......................................................................................................................... 109 Standardwerte:............................................................................................................................ 109 Empfehlung: ................................................................................................................................ 109 45. Programmatischen Zugriff auf die Zwischenablage zulassen.............................................. 110 Stats: ............................................................................................................................................ 110 Erklärung: .................................................................................................................................... 110 Beispiel: ....................................................................................................................................... 110 Mögliche Werte: .......................................................................................................................... 111 2010 Microsoft Corporation. All rights reserved. Seite 11 Zone Settings in Deep Inhaltsverzeichnis Standardwerte:............................................................................................................................ 111 Empfehlung: ................................................................................................................................ 111 46. Statuszeilenaktualisierung über Skript zulassen ................................................................. 112 Stats: ............................................................................................................................................ 112 Erklärung: .................................................................................................................................... 112 Beispiel: ....................................................................................................................................... 112 Mögliche Werte: .......................................................................................................................... 112 Standardwerte:............................................................................................................................ 112 Empfehlung: ................................................................................................................................ 113 47. Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen 114 Stats: ............................................................................................................................................ 114 Erklärung: .................................................................................................................................... 114 Beispiel: ....................................................................................................................................... 114 Mögliche Werte: .......................................................................................................................... 115 Standardwerte:............................................................................................................................ 115 Empfehlung: ................................................................................................................................ 115 48. XSS-Filter aktivieren............................................................................................................. 116 Stats: ............................................................................................................................................ 116 Erklärung: .................................................................................................................................... 116 Beispiel: ....................................................................................................................................... 116 Mögliche Werte: .......................................................................................................................... 116 Standardwerte:............................................................................................................................ 116 Empfehlung: ................................................................................................................................ 117 49. Scripting von Java-Applets................................................................................................... 118 Stats: ............................................................................................................................................ 118 Erklärung: .................................................................................................................................... 118 Mögliche Werte: .......................................................................................................................... 118 Standardwerte:............................................................................................................................ 119 Empfehlung: ................................................................................................................................ 119 Benutzerauthentifizierung .................................................................................................................. 120 50. Anmeldung .......................................................................................................................... 120 Stats: ............................................................................................................................................ 120 Erklärung: .................................................................................................................................... 120 2010 Microsoft Corporation. All rights reserved. Seite 12 Zone Settings in Deep Inhaltsverzeichnis Mögliche Werte: .......................................................................................................................... 121 Standardwerte:............................................................................................................................ 121 Empfehlung: ................................................................................................................................ 121 2010 Microsoft Corporation. All rights reserved. Seite 13 Zone Settings in Deep Links Links Blog des Internet Explorer Support Team Deutschland: http://blogs.technet.com/b/iede Blog des IE Entwicklerteams: http://blogs.msdn.com/b/ie/ How to use security zones in Internet Explorer: http://support.microsoft.com/kb/174360 Internet Explorer security zones registry entries for advanced users: http://support.microsoft.com/kb/182569 ActiveX Security: Improvements and Best Practices: http://msdn.microsoft.com/en-us/library/bb250471(VS.85).aspx About URL Security Zone Templates: http://msdn.microsoft.com/en-us/library/ms537186(VS.85).aspx Chapter 4 Security Zones IE Resource Kit http://technet.microsoft.com/en-us/library/dd361896.aspx Anmerkung: 1. Die allgemeine Empfehlung für die Settings entspricht IMMER dem default Setting der jeweiligen Zone. Bei den Empfehlungen für die einzelnen Settings wird versucht gewisse Überlegungen miteinzubeziehen. Sofern der Leser sich diese Überlegungen zu eigen macht, trägt er die alleinige Verantwortung für die Konsequenzen des Veränderns der Settings. Der Autor oder die Microsoft Deutschland GmbH bzw. Microsoft Corporation schließen jegliche Haftung für entstandene Schäden aus, die durch eine Veränderung der Standard Einstellungen entstanden sind oder zukünftig entstehen. 2. Nicht zu jedem Zonensetting wurde ein Beispiel verlinkt/erstellt. Dies ist immer dann der Fall, wenn es durch mangelnde Verbreitung, nicht mehr (häufig) verwendete Settings oder erheblichen (externen) Aufwand nicht sinnvoll ist, dies im Rahmen dieses Dokuments zu tun. 3. Jegliche Änderung der Settings muss entsprechend der eingesetzten internen wie externen Anwendungen getestet und verifiziert werden, so dass keine (ungewollten) Einschränkungen entstehen oder Ausfälle auftreten. 2010 Microsoft Corporation. All rights reserved. Seite 14 Zone Settings in Deep Loose XAML Zonen Settings .NET Framework 1. Loose XAML Stats: GUI Name: Loose XAML / Loose XAML Policy Name: Loose XAML-Dateien Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2402 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=710 Erklärung: Dies sind Dateien im Format ´eXtensible Application Markup Language´ (XAML). XAML ist eine deklarative Markupsprache auf XML-Grundlage. Sie wird gewöhnlich zum Erstellen intelligenter Benutzeroberflächen und von Grafiken verwendet, die die Windows Presentation Foundation nutzen. Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden XAML-Dateien automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von XAML-Dateien zu bestätigen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XAML-Dateien nicht in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob XAML-Dateien in Internet Explorer geladen werden sollen. "Loose XAML" and "XAML browser applications" Q: What is the meaning of the two options? How does Internet Explorer differentiate between "loose XAML" and "XAML browser applications"? 2010 Microsoft Corporation. All rights reserved. Seite 15 Zone Settings in Deep Loose XAML A: Loose XAML refers to a .xaml file. These files can be navigated to and viewed in the browser. XAML browser applications are called XBAPs, and have a .xbap extension. The options let the user specify which of these .NET Framework content types are enabled or disabled, or whether to prompt for user consent to run in a particular security zone; for example, in Internet zone, prompt for user consent to run XBAPs, whereas in Intranet zone, simply enable them to run. XBAPs are online-only WPF applications that run in the browser in a security sandbox. They provide much of the richness and power of WPF with the ease of deployment and navigation-style user experience of being hosted in the browser. XBAPs typically have C# or Visual Basic code behind them. Loose XAML are .xaml files without code behind them that can be run within the browser without compilation. Loose XAML are .xaml files without code behind them that can be run within the browser without compilation. Links: XAML Overview (WPF) Wikipedia: Extensible Application Markup Language Frequently Asked Questions (FAQ) about the structure of .NET Framework-specific configuration options in Internet Explorer Mögliche Werte: 0 => Aktivieren 3 => Deaktivieren 1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren Internet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 16 Zone Settings in Deep Loose XAML Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die Rechte des hostenden IE Prozesses beschränken. Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“ zu setzen. 2010 Microsoft Corporation. All rights reserved. Seite 17 Zone Settings in Deep XAML-Browseranwendungen 2. XAML-Browseranwendungen Stats: GUI Name: XAML-Browseranwendungen / XAML browser applications Policy Name: XAML-Browseranwendungen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2400 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=704 Erklärung: Hierbei handelt es sich um im Browser ausgeführte, mit ClickOnce bereitgestellte Anwendungen, die mithilfe von WinFX erstellt wurden. Diese Anwendungen werden in einem eigenen Sicherheitsbereich ("Sandbox") ausgeführt und machen die Möglichkeiten der Plattform von Windows Presentation Foundation für das Web nutzbar. Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden XBAPs automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von XBAPs zu bestätigen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XBAPs nicht in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob XBAPs in Internet Explorer geladen werden sollen. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 18 Zone Settings in Deep XAML-Browseranwendungen Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die Rechte des hostenden IE Prozesses beschränken. Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“ zu setzen. 2010 Microsoft Corporation. All rights reserved. Seite 19 Zone Settings in Deep XPS Dokumente 3. XPS Dokumente Stats: GUI Name: XPS-Dokumente / XPS documents Policy Name: XPS-Dateien Supported on: Mindestens Internet Explorer 7.0 (auf Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008) Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2401 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=712 Erklärung: Diese Dateien wurden mit dem XML Paper Specification-Dokumentformat erstellt und enthalten in Seiten aufgeteilten Inhalt in einem festen Layout. Dieses Format ist über Plattformen, Geräte und Anwendungen hinweg portierbar. Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden xps-Dateien automatisch in Internet Explorer 7.0 geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von xps-Dateien zu bestätigen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden xps-Dateien nicht in Internet Explorer 7 geladen. Benutzer können dieses Verhalten nicht ändern. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob xpsDateien in Internet Explorer 7.0 geladen werden sollen. Hinweis: Diese Einstellung wirkt sich nicht auf den stand-alone XPS Viewer aus dem Essential Pack und daher auch nicht auf Windows 7 und höher aus. 2010 Microsoft Corporation. All rights reserved. Seite 20 Zone Settings in Deep XPS Dokumente Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Dem Setzen des default Settings spricht nichts entgegen. 2010 Microsoft Corporation. All rights reserved. Seite 21 Zone Settings in Deep Berechtigungen für Komponenten mit Manifesten Auf .NET Framework basierende Komponenten 4. Berechtigungen für Komponenten mit Manifesten Stats: GUI Name: Berechtigungen für Komponenten mit Manifesten / Permissions for components with manifest Supported on: Mindestens Internet Explorer 7.0 Registry key: [HKLM|HKCU]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2007 "Permissions for components with manifests" Q: This option may be confusing, as the execution of a managed piece of code requires a manifest. Does this refer only to published ClickOnce applications where a user launches the (native code based) setup by browsing to a URL with the .application extension? What does "High Safety" mean? A: This section refers to a new feature added in the .NET Framework 3.5. It allows you to add a ClickOnce-style manifest to a control in the browser. It does not apply to ClickOnce applications. More information is available in the blog post at http://blogs.msdn.com/shawnfa/archive/2008/01/24/manifested-controls-redux.aspx . That post also includes links to a series of posts covering the feature. Mögliche Werte: 65535 => Hohe Sicherheit 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Hoch; IE8: Hoch; 2010 Microsoft Corporation. All rights reserved. Seite 22 Zone Settings in Deep Berechtigungen für Komponenten mit Manifesten Vertrauenswürdigen Seiten: IE6: N/A; IE7: Hoch; IE8: Hoch ; Lokales Intranet: IE6: N/A; IE7: Hoch; IE8: Hoch; Empfehlung: Da es eher selten vorkommt, dass ClickOnce Anwendungen in einem Unternehmensumfeld aus dem Internet gestartet werden, könnte hier zumindest für die Internet Zone das Setting „Deaktivieren“ gewählt werden. 2010 Microsoft Corporation. All rights reserved. Seite 23 Zone Settings in Deep Berechtigungen für Komponenten mit Manifesten 5. Ausführen von Komponenten, die nicht mit Authenticode signiert sind Stats: GUI Name: Ausführen von Komponenten, die nicht mit Authenticode signiert sind / Run components not signed with Authenticode Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2001 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=776 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete ausführbare Dateien, auf die von einem Link verwiesen wird. Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen. Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete Komponenten nicht aus. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete Komponenten aus. "Run components not signed with Authenticode" Q: What does this option mean? What does "components" refer to? When is the Authenticode evidence check performed? Is it done by Fusion or by Internet Explorer internal code? When does Internet Explorer perform an Authenticode specific evidence check? When does a custom CAS with publisher based trust come into play? 2010 Microsoft Corporation. All rights reserved. Seite 24 Zone Settings in Deep Berechtigungen für Komponenten mit Manifesten Does this apply for Authenticode signed setup packages (like MSI or CAB) or to the signature(s) of contained components? What is the difference when a managed component is deployed by OBJECT tag using the overloaded managed syntax for the classid attribute vs. the 'classic' ActiveX approach with components compiled with ComInterop? A: These settings apply only to managed controls (referenced by an object tag using the overloaded managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link). The Authenticode signature check is done by the CLR and is only checking whether or not the executable referenced by the object tag or link is signed with any Authenticode signature (not a specific Authenticode signature). Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die Internet Zone sinnvoll sein. 2010 Microsoft Corporation. All rights reserved. Seite 25 Zone Settings in Deep Ausführen von Komponenten, die mit Authenticode signiert sind 6. Ausführen von Komponenten, die mit Authenticode signiert sind Stats: GUI Name: Ausführen von Komponenten, die mit Authenticode signiert sind / Run components signed with Authenticode Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\InternetsystemsteueRung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2001 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=777 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete ausführbare Dateien, auf die von einem Link verwiesen wird. Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen. Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete Komponenten nicht aus. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete Komponenten aus. "Run components signed with Authenticode" Q: What are the underpinnings (same questions as in Q2.2) for this option? A: These settings apply only to managed controls (referenced by an object tag using the overloaded managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link). The Authenticode signature check is done by the CLR and is only checking whether or not the executable referenced by the object tag or link is signed with any Authenticode signature (not a specific Authenticode signature). 2010 Microsoft Corporation. All rights reserved. Seite 26 Zone Settings in Deep Ausführen von Komponenten, die mit Authenticode signiert sind Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da die Verwendung dieses Setting betreffender Anwendungen in der Internet Zone einer gemanagten Umgebung eher selten sind, könnte das Setzen „Deaktivieren“ zumindest für die Internet Zone sinnvoll sein. 2010 Microsoft Corporation. All rights reserved. Seite 27 Zone Settings in Deep Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne… ActiveX-Steuerelemente und Plugins 7. Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderungen zulassen Stats: GUI Name: Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderungen zulassen/ Allow previously unused ActiveX controls to run without prompt Policy Name: Anmeldung bei erster Ausführung deaktivieren / Turn Off First-Run Opt-In Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1208 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=691 Erklärung: Diese Richtlinieneinstellung steuert auf Zonenbasis das Verhalten bei der ersten Ausführung eines Steuerelements. Wenn ein Benutzer auf ein neues Steuerelement stößt, das zuvor noch nicht in Internet Explorer ausgeführt wurde, wird er möglicherweise aufgefordert, das Steuerelement zu genehmigen. Diese Funktion bestimmt, ob diese Aufforderung angezeigt wird. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die "Gold Bar"-Benachrichtigung in der entsprechenden Zone deaktiviert. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die "Gold Bar"-Benachrichtigung in der entsprechenden Zone aktiviert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die Bestätigungsaufforderung bei der ersten Ausführung standardmäßig deaktiviert. === Detailed values: === enum: Id: IZ_Partname1208; ValueName: 1208 item: decimal: 0 => Aktivieren item: decimal: 3 => Deaktivieren Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 28 Zone Settings in Deep Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne… Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sind durchweg sinnvoll. Da die Kontrolle von ActiveX Komponenten dem Administrator (Team) obliegt und ungewollte Controls nicht von normalen Usern installiert werden können, sollte ein normaler User einen derartigen Dialog eh nicht zu sehen bekommen. Dieses Setting sollte zusammen mit „Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen“ betrachtet werden. Vgl. hierzu ActiveX Security: Improvements and Best Practices 2010 Microsoft Corporation. All rights reserved. Seite 29 Zone Settings in Deep Skriptlets zulassen 8. Skriptlets zulassen Stats: GUI Name: Skriptlets zulassen / Allow Scriptlets Policy Name: Skriptlets zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1209 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=688 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skriptlets zugelassen sind. Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Skriptlets ausführen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Skriptlets ausführen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer ein Skriptlet aktivieren oder deaktivieren. Scriptlets: Internet Explorer 7 disables Dynamic HTML (DHTML) scriptlets, by default. (Scriptlets were deprecated in Internet Explorer 5). System administrators can re-enable scriptlets by changing URL Actions with the Internet Control Panel (INetCPl). The INetCPl text should read "Allow Scriptlets." If your programs currently rely on scriptlets, you should modify the prograpms to use DHTML behaviors, which are more efficient. Disabling scriptlets is part of the continuing work to ensure that unsupported technology is deemphasized in Internet Explorer. Vgl.: Dynamic HTML (DHTML) Scriptlets Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 30 Zone Settings in Deep Skriptlets zulassen Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden, ggf. kann sogar für das lokale Intranet das Setting „Deaktivieren“ gewählt werden, wenn sichergestellt ist, dass keine Skriptlets mehr verwendet werden. 2010 Microsoft Corporation. All rights reserved. Seite 31 Zone Settings in Deep Automatische Eingabeaufforderung für ActiveX-Steuerelemente 9. Automatische Eingabeaufforderung für ActiveX-Steuerelemente Stats: GUI Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente / Automatic prompting for ActiveX controls Policy Name: Automatische Eingabeaufforderung für ActiveX-Steuerelemente Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2201 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=764 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer automatisch zur Installation von ActiveX-Steuerelementen aufgefordert werden. Wenn Sie diese Richtlinieneinstellung aktivieren, wird eine Aufforderung angezeigt, wenn eine Site ein ActiveX-Steuerelement instanziiert, das die Benutzer nicht installiert haben. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Installation von ActiveXSteuerelementen unter Verwendung der Informationsleiste blockiert. Benutzer können auf die Informationsleiste klicken, um die Eingabeaufforderung für das ActiveX-Steuerelement zuzulassen. Beginnend mit Windows XP Service Pack 2 (SP2) wurde Internet Explorer ein neues visuelles Feature mit der Bezeichnung "Informationsleiste" hinzugefügt. Sie werden feststellen, dass die Informationsleiste Sie über für den Download gesperrte Dateien informiert, wenn Sie eine Website besuchen. Vgl.: http://support.microsoft.com/kb/883255/de 2010 Microsoft Corporation. All rights reserved. Seite 32 Zone Settings in Deep Automatische Eingabeaufforderung für ActiveX-Steuerelemente Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den Administratoren obliegt, kann nach entsprechenden Tests das Setting für alle Zonen auf „Deaktivieren“ gesetzt werden. Vgl: Implementing and Administering the ActiveX Installer Service 2010 Microsoft Corporation. All rights reserved. Seite 33 Zone Settings in Deep 10. Binär- und Skriptverhalten Binär- und Skriptverhalten Stats: GUI Name: Binär- und Skriptverhalten/ Binary and script behaviors Policy Name: Binär- und Skriptverhalten zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2000 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=732 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen, dynamische Binär- und Skriptverhalten zu verwalten: Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt wurden. Wenn Sie diese Richtlinieneinstellung aktivieren, stehen Binär- und Skriptverhalten zur Verfügung. Wenn Sie "Vom Administrator genehmigt" in der Dropdownliste auswählen, sind nur in der Liste "Vom Administrator zugelassenes Verhalten" der Richtlinie "Sicherheitseinschränkung für Binärverhalten" aufgeführte Verhalten verfügbar. Wenn Sie diese Richtlinieneinstellung deaktivieren, stehen Binär- und Skriptverhalten nicht zur Verfügung, es sei denn, Anwendungen haben einen benutzerdefinierten Sicherheits-Manager implementiert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, stehen Binär- und Skriptverhalten zur Verfügung. What does binary behaviors security setting do? Internet Explorer contains dynamic binary behaviors: components that encapsulate specific functionality for HTML elements to which they were attached. These binary behaviors are not controlled by any Internet Explorer security setting, allowing them to work on Web pages in the Restricted Sites zone. In Windows Server 2003 Service Pack 1, there is a new Internet Explorer security setting for binary behaviors. This new setting disables binary behaviors in the Restricted Sites zone by default. In combination with the Local Machine Lockdown security feature, it also requires administrative approval for binary behaviors to run in the Local Machine zone by default. This new 2010 Microsoft Corporation. All rights reserved. Seite 34 Zone Settings in Deep Binär- und Skriptverhalten binary behaviors security setting provides a general mitigation to vulnerabilities in Internet Explorer binary behaviors. For more information about binary behaviors, such as how they work and how to implement them, see "Cutting Edge: Binary Behaviors in Internet Explorer 5.5" on the Microsoft Web site at http://msdn.microsoft.com/en-us/magazine/cc301528.aspx. Note that binary behaviors, which are defined in C++ and compiled, are different from attached behaviors and element behaviors, which are defined in script. Vgl.: http://technet.microsoft.com/en-us/library/cc776248(WS.10).aspx Bsp.: <a href="http://www.microsoft.com" style="behavior:url(mouseover.htc)"> Visit my Web site </a> Wobei “mouseover.htc” folgendem entspricht: <PUBLIC:HTC> <PUBLIC:ATTACH event="onmouseover" handler="fnOver"/> <PUBLIC:ATTACH event="onmouseout" handler="fnOut"/> <script LANGUAGE="jscript"> function fnOver(){element.style.color="red";} function fnOut(){element.style.color="";} </script> </PUBLIC:HTC> (aus: http://msdn.microsoft.com/en-us/magazine/bb985631.aspx ) Mögliche Werte: 0x0 => Aktivieren 0x10000 => Vom Administrator genehmigt 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 35 Zone Settings in Deep Binär- und Skriptverhalten Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da die Verwendung von Behaviors mittlerweile selten geworden ist, könnte das Setzen von „Deaktivieren“ auch in der Internet Zone sinnvoll sein. Ggf. sollte die Möglichkeit der Administrativ erlaubten Behaviors genutzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 36 Zone Settings in Deep Videos und Animationen auf einer Webseite anzeigen, die keine… 11. Videos und Animationen auf einer Webseite anzeigen, die keine externe Medienwiedergabe verwendet Stats: GUI Name: Videos und Animationen auf einer Webseite anzeigen, die keine externe Medienwiedergabe verwendet / Display video animation on a webpage that does not use external media player Policy Name: Video und Animationen auf Webseiten ohne externen Mediaplayer (über das dynsrcAttribut) zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 120A Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=686 Erklärung: Mit dieser Richtlinieneinstellung können Sie in einer angegebenen Zone Video und Animationen über das dynsrc/img-Tag abspielen. Das bedeutet, dass Videoclips und Animationen, die DirectShow verwenden, mithilfe dieser Richtlinie aktiviert bzw. deaktiviert werden. Beachten Sie, dass die videound Animationswiedergabe über das Objekttag immer noch zugelassen sein kann, da hierbei externe Steuerelemente oder Media-Player verwendet werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Video und Animationen in den ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Video und Animationen in den ausgewählten Zonen nicht über das "img/dynsrc"-Tag abgespielt werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Video und Animationen in den ausgewählten Zonen über das "img/dynsrc"-Tag abgespielt werden. Vgl.: http://msdn.microsoft.com/en-us/library/aa235212(VS.60).aspx Bsp.: <IMG dynsrc=Clock.avi loop=infinite> Beispiel: http://gps.cloudapp.net/zones/120A.html 2010 Microsoft Corporation. All rights reserved. Seite 37 Zone Settings in Deep Videos und Animationen auf einer Webseite anzeigen, die keine… 120A.html Sofern das Setting auf „Deaktivieren“ steht wird anstelle des Videos folgendes Symbol dargestellt: Da ein anzuzeigendes Video erst gecacht wird, wird dieses Zeichen während dieses Cachings ebenfalls verwendet, allerdings wird während dessen in der Statuszeile der Fortschritt angezeigt: Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Lokales Intranet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Empfehlung: Mittlerweile werden die meisten Videos mittels Silverlight oder Flash abgespielt und fallen daher nicht unter diese Security Einstellung. Daher sollten die default Settings beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 38 Zone Settings in Deep 12. Signierte ActiveX-Steuerelemente herunterladen Signierte ActiveX-Steuerelemente herunterladen Stats: GUI Name: Signierte ActiveX-Steuerelemente herunterladen / Download signed ActiveX controls Policy Name: Download von signierten ActiveX-Steuerelementen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1001 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=738 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen. Wenn Sie diese Richtlinie aktivieren, können signierte Steuerelemente ohne Benutzereingriff heruntergeladen werden. Wenn Sie "Eingabeaufforderung" in der Dropdownliste auswählen, werden Benutzer gefragt, ob Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen werden sollen. Von vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage heruntergeladen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können signierte Steuerelemente nicht heruntergeladen werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob Steuerelemente von nicht vertrauenswürdigen Herausgebern heruntergeladen werden sollen. Von vertrauenswürdigen Herausgebern signierter Code wird ohne Nachfrage heruntergeladen. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 39 Zone Settings in Deep Signierte ActiveX-Steuerelemente herunterladen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Empfehlung: Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den Administratoren obliegt, kann das Setting für alle Zonen auf „Deaktivieren“ gesetzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 40 Zone Settings in Deep 13. Unsignierte ActiveX-Steuerelemente herunterladen Unsignierte ActiveX-Steuerelemente herunterladen Stats: GUI Name: Unsignierte ActiveX-Steuerelemente herunterladen / Download unsigned ActiveX controls Policy Name: Download von unsignierten ActiveX-Steuerelementen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1004 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=740 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer nicht signierte ActiveXSteuerelemente von einer Seite in dieser Zone herunterladen dürfen. Code dieser Art kann gefährlich sein, vor allem wenn er einer nicht vertrauenswürdigen Zone entstammt. Wenn Sie diese Richtlinie aktivieren, können nicht signierte Steuerelemente ohne Benutzereingriff ausgeführt werden. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob nicht signierte Steuerelemente ausgeführt werden dürfen. Wenn Sie diese Richtlinie deaktivieren, können nicht signierte Steuerelemente nicht ausgeführt werden. Wenn Sie diese Richtlinie nicht konfigurieren, können nicht signierte Steuerelemente nicht ausgeführt werden. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 41 Zone Settings in Deep Unsignierte ActiveX-Steuerelemente herunterladen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Lokales Intranet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Empfehlung: Da die Pflege und Installation von ActiveX Steuerelementen in Unternehmensumgebungen den Administratoren obliegt, kann und sollte das Setting für alle Zonen auf „Deaktivieren“ gesetzt bleiben. 2010 Microsoft Corporation. All rights reserved. Seite 42 Zone Settings in Deep ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind 14. ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind Stats: GUI Name: ActiveX-Steuerelemente ausführen, die nicht für Skripting sicher sind / Initialize and script ActiveX controls not marked safe for scripting Policy Name: ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1201 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=772 Erklärung: Mit dieser Richtlinieneinstellung können Sie ActiveX-Steuerelemente verwalten, die nicht für das Scripting sicher sind. Wenn Sie diese Richtlinieneinstellung aktivieren, werden ActiveX-Steuerelemente ausgeführt, mit Parametern geladen und von Skripts verarbeitet, ohne die Objektsicherheit für nicht vertrauenswürdige Daten oder Skripts festzulegen. Diese Einstellung wird außer für sichere und verwaltete Zonen nicht empfohlen. Durch diese Einstellung können sowohl unsichere als auch sichere Steuerelemente initialisiert ausgeführt werden, ohne die Option "ActiveX-Steuerelemente ausführen, die für Scripting sicher sind" zu beachten. Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob das Steuerelement mit Parametern geladen oder ausgeführt werden darf. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden ActiveX-Steuerelemente, die nicht sicher sind, nicht mit Parametern geladen oder ausgeführt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden ActiveX-Steuerelemente, die nicht sicher sind, nicht mit Parametern geladen oder ausgeführt. ==== 2010 Microsoft Corporation. All rights reserved. Seite 43 Zone Settings in Deep ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind Die Einschätzung, ob ein Control safe for scripting ist, oder ob nicht, obliegt dem Ersteller des Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren. VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx “Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting (7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).” Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Lokales Intranet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 44 Zone Settings in Deep Die Verwendung von ActiveX ohne Zustimmung nur… 15. Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen Stats: GUI Name: Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen / Only allow approved domains to use ActiveX without prompt Policy Name: Die Verwendung von ActiveX-Steuerelementen ohne Zustimmung nur für genehmigte Domänen zulassen Supported on: Mindestens Internet Explorer 8.0 Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 120b Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=718 Erklärung: Mithilfe dieser Richtlinieneinstellung können Sie steuern, ob die Benutzer aufgefordert werden, die Ausführung von ActiveX-Steuerelementen auf anderen Websites als der, die das ActiveXSteuerelement installiert hat, zuzulassen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Benutzer gefragt, bevor die Ausführung von ActiveX-Steuerelementen für Websites in dieser Zone zugelassen wird. Die Benutzer können die Ausführung des Steuerelements wahlweise für die aktuelle Site oder für alle Sites zulassen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Benutzer nicht pro Site zum Zulassen von ActiveX aufgefordert, und ActiveX-Steuerelemente dürfen für alle Sites in dieser Zone ausgeführt werden. ==== Allerdings ist es so, dass verschiedene Controls bei der Installation bereits den Registry Key * für die Berechtigung setzen, z.B.: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{%GUID%}\iexplore\ AllowedDomains\* Vgl: http://blogs.technet.com/b/iede/archive/2010/05/27/activex-per-site-ausunternehmenssicht.aspx D.b., dass sofern dieser Key nicht explizit entfernt wird, das Control trotz des Settings auf jeder Seite geladen wird. Sofern das Control nicht für alle Seiten aktiviert wurde, erscheint folgende Goldbar: 2010 Microsoft Corporation. All rights reserved. Seite 45 Zone Settings in Deep Die Verwendung von ActiveX ohne Zustimmung nur… Mögliche Werte: 0x3 => Aktivieren 0x0 => Deaktivieren !!! Diese Werte sind umgekehrt zu den normalen Werten! Die Policy hingegen verwendet die normale Reihenfolge! Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: N/A; IE8: Aktivieren; Internet: IE6: N/A; IE7: N/A; IE8: Aktivieren Vertrauenswürdigen Seiten: IE6: N/A; IE7: N/A; IE8: Deaktivieren; Lokales Intranet: IE6: N/A; IE7: N/A; IE8: Deaktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 46 Zone Settings in Deep 16. ActiveX Steuerelemente und Plug-ins ausführen ActiveX-Steuerelemente und Plug-ins ausführen Stats: GUI Name: ActiveX-Steuerelemente und Plug-ins ausführen / Run ActiveX controls and plug-ins Policy Name: ActiveX-Steuerelemente und Plugins ausführen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1200 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=768 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob ActiveX-Steuerelemente und Plug-Ins auf Seiten der angegebenen Zone ausgeführt werden können. Wenn Sie diese Richtlinie aktivieren, können Steuerelemente und Plug-Ins ohne Benutzereingriff ausgeführt werden. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Steuerelemente und Plug-Ins ausgeführt werden dürfen. Wenn Sie diese Richtlinie deaktivieren, können Steuerelemente und Plug-Ins nicht ausgeführt werden. Wenn Sie diese Richtlinie nicht konfigurieren, können Steuerelemente und Plug-Ins ohne Benutzereingriff ausgeführt werden. Beispiel: Jede Seite, die ein ActiveX Control lädt, z.B. http://www.microsoft.com [dies mag sich u.U. ändern] 2010 Microsoft Corporation. All rights reserved. Seite 47 Zone Settings in Deep ActiveX Steuerelemente und Plug-ins ausführen Mögliche Werte: 0x10000 => Vom Administrator genehmigt 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Sofern generell ActiveX Controls zugelassen sind, muss das Setting auf „Aktivieren“ stehen. Sollten ActiveX Controls nur für berechtigte Seiten zugelassen werden, so kann das Setting der Internet Zone auf „Deaktivieren“ geändert werden. „Bestätigen“ sollte nach Möglichkeit nicht genutzt werden, da mittlerweile insb. Flashanwendungen sehr weit verbreitet sind und damit auf den meisten Webseiten ein Popupdialog erscheinen würde. „Vom Administrator genehmigt“ stellt die beste Wahl da, erfordert allerdings einigen zusätzlichen Aufwand, da sehr viele Controls administrativ freigegeben werden müssen. 2010 Microsoft Corporation. All rights reserved. Seite 48 Zone Settings in Deep 17. ActiveX Steuerelemente ausführen, die für Scripting sicher sind ActiveX-Steuerelmente ausführen, die für Scripting sicher sind Stats: GUI Name: ActiveX-Steuerelmente ausführen, die für Scripting sicher sind / Script ActiveX controls marked safe for scripting Policy Name: ActiveX-Steuerelemente ausführen, die für Scripting sicher sind Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1405 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=770 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob ein ActiveX-Steuerelement, das für Scripting sicher ist, mit einem Skript interagieren kann. Wenn Sie diese Richtlinie aktivieren, wird die Skriptinteraktion ohne Benutzereingriff ausgeführt. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Skriptinteraktion zulässig ist. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptinteraktion verhindert. Wenn Sie diese Richtlinie nicht konfigurieren, kann die Skriptinteraktion automatisch ohne Benutzereingriff ausgeführt werden. ==== Die Einschätzung, ob ein Control safe for scripting ist oder ob nicht, obliegt dem Ersteller des Controls. D.h., dieses Setting ist KEIN Security Mechanismus um unbekannte, ggf. gefährliche Controls zu verhindern, sondern, bekannte (und installierte) Controls, die ggf. durch Scripting missbraucht werden könnten, für gegebene Zonen zu (de)aktivieren. VGL: http://msdn.microsoft.com/en-us/library/aa751977(VS.85).aspx “Because the control is safe for scripting and initialization, it marks itself in the registry as safe for scripting (7DD95801-9882-11CF-9FA9-00AA006C42C4) and safe for initializing from persistent data (7DD958029882-11CF-9FA9-00AA006C42C4).” 2010 Microsoft Corporation. All rights reserved. Seite 49 Zone Settings in Deep ActiveX Steuerelemente ausführen, die für Scripting sicher sind Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings können i.d.R. beibehalten werden. Ggf. ist es eher sinnvoll ActiveXSteuerelemente für eine Zone komplett zu deaktivieren (=> „ActiveX-Steuerelemente und Plug-ins ausführen“). 2010 Microsoft Corporation. All rights reserved. Seite 50 Zone Settings in Deep Automatische Eingabeaufforderung für Dateidownloads Downloads 18. Automatische Eingabeaufforderung für Dateidownloads Stats: GUI Name: Automatische Eingabeaufforderung für Dateidownloads / Automatic prompting for file downloads Policy Name: Automatische Eingabeaufforderung für Dateidownloads Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 bis incl. IE8 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2200 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=766 Erklärung: Diese Richtlinie legt fest, ob Benutzern bei nicht vom Benutzer initiierten Dateidownloads eine Aufforderung angezeigt wird. Unabhängig von dieser Einstellung werden Downloaddialogfelder für vom Benutzer ausgelöste Downloadvorgänge angezeigt. Wenn Sie diese Einstellung aktivieren, werden Downloaddialogfelder für automatische Downloadversuche angezeigt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden nicht vom Benutzer ausgelöste Downloadvorgänge blockiert. Anstelle des Downloaddialogfeldes wird die Informationsleiste angezeigt. Benutzer können auf die Informationsleiste klicken, um die Dateidownloadaufforderung zuzulassen. Bei „Deaktivieren“ erscheint folgende Goldbar: Wenn das Setting auf „Aktivieren“ gesetzt ist, so startet der Download direkt mit dem gewohnten Ausführen/Speichern/Abbrechen Dialog. Beispiel: http://ie.microsoft.com/testdrive/Default.html => „Install the preview“ 2010 Microsoft Corporation. All rights reserved. Seite 51 Zone Settings in Deep Automatische Eingabeaufforderung für Dateidownloads Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden, ggf. für die Vertrauenswürdigen Seiten auf „Deaktivieren“ gesetzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 52 Zone Settings in Deep 19. Dateidownload Dateidownload Stats: GUI Name: Dateidownload / File download Policy Name: Dateidownloads zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1803 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=744 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Dateidownloads von der Zone zugelassen sind. Für diese Option ist die Zone der Seite entscheidend, auf der sich der Link für den Download befindet, nicht die Zone, von der aus die Datei bereitgestellt wird. Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Dateien von dieser Zone herunterladen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Dateien von dieser Zone herunterladen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Dateien von dieser Zone herunterladen. Beispiel: Einfach einen beliebigen Download starten, z.B.: http://download.microsoft.com/download/5/5/0/550EEF47-F937-4056-BA89B043CA2CB8A1/iepreview.msi Deaktivieren: 2010 Microsoft Corporation. All rights reserved. Seite 53 Zone Settings in Deep Dateidownload Aktivieren: Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Es kann u.U. sinnvoll sein, dieses Setting für die Internetzone auf „Deaktivieren“ zu setzen, damit Dateidownloads aus der Internetzone generell nicht möglich sind. 2010 Microsoft Corporation. All rights reserved. Seite 54 Zone Settings in Deep 20. Schriftartdownload Schriftartdownload Stats: GUI Name: Schriftartdownload / Font download Policy Name: Schriftartdownloads zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1604 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=746 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Seiten dieser Zone HTML-Schriftarten herunterladen können. Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten automatisch heruntergeladen werden. Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob HTML-Schriftarten heruntergeladen werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können HTML-Schriftarten nicht heruntergeladen werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können HTML-Schriftarten automatisch heruntergeladen werden. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 55 Zone Settings in Deep Schriftartdownload Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da normale User nicht die nötige Berechtigung haben, um Fonts zu installieren, kann das Setting i.d.R. für alle Zonen auf „Deaktiviert“ gestellt werden. 2010 Microsoft Corporation. All rights reserved. Seite 56 Zone Settings in Deep .NET Framework Setup aktivieren Enable .NET Framework setup 21. .NET Framework Setup aktivieren Stats: GUI Name: .NET Framework Setup aktivieren / Enable .NET Framework setup Policy Name: Setup für WinFX-Laufzeitkomponenten deaktivieren Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2600 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=709 Erklärung: Diese Funktion steht für das Setup von WinFX-Laufzeitkomponenten. WinFX ist die Plattform der neuen Generation für Windows. Sie nutzt die Common Language Runtime (.NET 2.0) und enthält Unterstützung von einer Reihe von Entwicklertools. WinFX ist die Spezifikation für die neuen APIs mit verwaltetem Code für Windows. Es löst Win32 ab und bildet die Obermenge der APIs im .NET Framework. Mit dieser Richtlinieneinstellung wird der Benutzercomputer daran gehindert, WinFX-Setup zu starten, wenn in IE7 WinFX-Inhalte aufgesucht werden. Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Setup der WinFX-Lautzeitkomponenten deaktiviert. Benutzer können dieses Verhalten nicht ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird das Setup der WinFX-Lautzeitkomponenten aktiviert. Benutzer können dieses Verhalten nicht ändern. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird das Setup der WinFXLautzeitkomponenten standardmäßig aktiviert. Benutzer können dieses Verhalten ändern. "Enable .NET Framework setup" Q: What does this option mean? What practical use does this setting provide? 2010 Microsoft Corporation. All rights reserved. Seite 57 Zone Settings in Deep .NET Framework Setup aktivieren A: The “Enable .NET Framework setup” setting controls the bootstrapper that will kick off .NET install when users navigate to .xaml/.xbap/.xps/.application content in Internet Explorer, but do not have .NET already installed on their computers. Mögliche Werte: 0x3 => Aktivieren 0x0 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da normale User nicht die nötige Berechtigung haben, um das .NET Framework zu installieren, kann das Setting für alle Zonen auf „Deaktiviert“ gestellt werden. 2010 Microsoft Corporation. All rights reserved. Seite 58 Zone Settings in Deep Auf Datenquellen über Domänengrenzen hinweg zugreifen Verschiedenes 22. Auf Datenquellen über Domänengrenzen hinweg zugreifen Stats: GUI Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen / Access data sources across domains Policy Name: Auf Datenquellen über Domänengrenzen hinweg zugreifen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1406 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=714 Erklärung: Mit diesen Richtlinieneinstellungen können Sie festlegen, ob Internet Explorer mithilfe von Microsoft XML Parser (MSXML) oder ActiveX data Objects (ADO) auf Daten aus anderen Sicherheitszonen zugreifen kann. Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer eine Seite in der Zone laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob das Laden einer Seite in der Zone zugelassen wird, die MSXML oder ADO verwendet, um auf Daten einer anderen Site in der Zone zuzugreifen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Seite in der Zone laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer keine Seite in der Zone laden, die MSXML oder ADO verwendet, um auf Daten von anderen Sites in der Zone zuzugreifen. Beispiel: http://gps.cloudapp.net/zones/1406.html 2010 Microsoft Corporation. All rights reserved. Seite 59 Zone Settings in Deep Auf Datenquellen über Domänengrenzen hinweg zugreifen 1406.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Bestätigen; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Empfehlung: In einem Unternehmensumfeld kann es sinnvoll sein das Setting für alle Zonen auf „Deaktivieren“ zu stellen, da einerseits die Zonen entsprechend gepflegt sein sollten, dass ein solcher Zugriff nicht erfolgt und andererseits die User nicht durch einen entsprechenden Dialog verunsichert werden. 2010 Microsoft Corporation. All rights reserved. Seite 60 Zone Settings in Deep 23. META Refresh zulassen META Refresh zulassen Stats: GUI Name: META Refresh zulassen / Allow META Refresh Policy Name: META Refresh zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1608 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=728 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob ein Benutzerbrowser auf eine andere Webseite umgeleitet werden darf, wenn der Autor der Webseite das META Refresh-Tag verwendet hat, um Browser auf eine andere Webseite umzuleiten. Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Browser, der eine Seite mit einer aktiven META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden. Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Browser, der eine Seite mit einer aktiven META Refresh-Einstellung lädt, nicht zu einer anderen Webseite umgeleitet werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Browser, der eine Seite mit einer aktiven META Refresh-Einstellung lädt, zu einer anderen Webseite umgeleitet werden. META Refresh auf Wikipedia: Weiterleitung durch „refresh“ Um beim Aufruf einer Seite zu einer anderen URL weiterzuleiten (engl. forwarding), kann der refresh-Wert genutzt werden. Über das content-Attribut kann weiterhin eine Zeit gesetzt werden, bis die Weiterleitung erfolgt, z. B. um den Anwender noch auf den Grund für die Weiterleitung hinzuweisen: <meta http-equiv="refresh" content="5; URL=http://www.microsoft.com/" /> Beispiel: http://gps.cloudapp.net/zones/1608.html 2010 Microsoft Corporation. All rights reserved. Seite 61 Zone Settings in Deep META Refresh zulassen 1608.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Obwohl heutzutage i.d.R. andere Mechanismen verwendet werden, um ein Umleiten auf eine andere Seite durchzuführen, kann es grade bei älteren Anwendungen noch genutzt werden. Daher sollten die default Settings beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 62 Zone Settings in Deep 24. Skripting des Microsoft-Browsersteuerelements zulassen Skripting des Microsoft-Browsersteuerelements zulassen Stats: GUI Name: Skripting des Microsoft-Browsersteuerelements zulassen / Allow scripting of Microsoft web browser control Policy Name: Skripting für Internet Explorer-webbrowser-steuerelement zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1206 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=706 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob eine Seite eingebettete webbrowsersteuerelemente über Sktipting steuern kann. Wenn Sie diese Richtlinieneinstellung aktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement zulässig. Wenn Sie diese Richtlinieneinstellung deaktivieren, ist der Skriptzugriff auf das webbrowsersteuerelement nicht zulässig. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Skriptzugriff auf das Webbrowser-Steuerelement vom Benutzer aktiviert oder deaktiviert werden. Der Skriptzugriff auf das Webbrowser-Steuerelement ist nur in den Zonen "Lokaler Computer" und "Intranet" zulässig. Beispiel: Vgl.: http://msdn.microsoft.com/en-us/library/aa752041(v=VS.85).aspx Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 63 Zone Settings in Deep Skripting des Microsoft-Browsersteuerelements zulassen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Deaktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Das WebBrowser Control sollte i.d.R. nicht von Webseiten im Internet genutzt werden. Daher sollten die default Settings beibehalten werden, ggf. auch für die Vertrauenswürdigen Seiten auf „Deaktivieren“ setzen. 2010 Microsoft Corporation. All rights reserved. Seite 64 Zone Settings in Deep Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen 25. Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen Stats: GUI Name: Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen / Allow script-initiated windows without size or position constraints Policy Name: Skriptinitiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\windowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2102 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=796 Erklärung: Mit dieser Richtlinieneinstellung können Sie Einschränkungen für skriptinitiierte Popupfenster und Fenster verwalten, die Titel- und Statusleisten enthalten. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Fenstereinschränkungssicherheit in dieser Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur Verfügung gestellte zusätzliche Sicherheitsstufe ausgeführt. Wenn Sie diese Richtlinieneinstellung deaktivieren, können die möglicherweise schädlichen Aktionen in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die möglicherweise schädlichen Aktionen in skriptinitiierten Popupfenstern und Fenstern, die Titel- und Statusleisten enthalten, nicht ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone laut der Steuerungseinstellung der Sicherheitseinschränkungen für Skriptfenster aktiviert. === Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das Verhalten des Fensters von der aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B. eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen). 2010 Microsoft Corporation. All rights reserved. Seite 65 Zone Settings in Deep Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet. Dieses Setting verhindert, dass das mittels window.open() geöffnete Fenster durch window.moveTo() ausserhalb des sichtbaren Bereichs bewegt wird, was zu einem Sicherheitsproblem führen könnte. Beispiel: http://gps.cloudapp.net/zones/2102.html Wichtig: das Verhalten funktioniert natürlich nur dann, wenn das Popup nicht in einem neuen Tab, sondern in einem neuen Window geöffnet wird. 2102.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden, bei der Verwendung von IE6 sollte der Wert wie bei IE7/8 für die Internetzone auf „Deaktivieren“ gesetzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 66 Zone Settings in Deep Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen 26. Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen Stats: GUI Name: Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen / Allow webpages to use restricted protocols for active content Policy Name: Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2300 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=760 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob eine Ressource, die von einem durch den Administrator eingeschränkten Protokoll in der Intranetzone gehostet wird, aktive Inhalte wie Skripts, ActiveX, Java und Binärverhalten ausführen darf. Die Liste der eingeschränkten Protokolle kann im Abschnitt "Eingeschränkte Protokolle der Intranetzone" der Sperrungsrichtlinie für das Netzwerkprotokoll festgelegt werden. Wenn Sie diese Richtlinie aktivieren, sind keine Inhalte der Intranetzone betroffen, auf die zugegriffen wird. Dies gilt auch für eingeschränkte Protokolle auf der Liste. Wenn Sie "Bestätigen" in der Dropdownliste auswählen, wird die Informationsleiste angezeigt, um die Handhabung fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird. Inhalte, auf die über andere Protokolle zugegriffen wird, sind nicht betroffen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden alle Versuche blockiert, über die eingeschränkten Protokolle auf Inhalte dieser Art zuzugreifen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren und die Sicherheitsfunktion zur Sperrung des Netzwerkprotokolls aktiviert ist, wird die Informationsleiste angezeigt, um die Handhabung fragwürdiger Inhalte zu steuern, auf die über eingeschränkte Protokolle zugegriffen wird. 2010 Microsoft Corporation. All rights reserved. Seite 67 Zone Settings in Deep Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen Das Setting ist nur dann sinnvoll , wenn Internet Explorer Network Protocol Lockdown konfiguriert worden ist. Typische Protokolle zum Blocken sind: local:// file:// shell:// hcp:// ftp:// Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Empfehlung: Um User nicht durch einen entsprechenden Dialog zu verunsichern kann das Setting für alle Zonen auf „Deaktivieren“ gesetzt werden oder je nach Verwendung für Lokales Intranet oder sogar die vertrauenswürdigen Sites auf „Aktivieren“. 2010 Microsoft Corporation. All rights reserved. Seite 68 Zone Settings in Deep Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen 27. Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen Stats: GUI Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen / Allow websites to open windows without address or status bars Policy Name: Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2104 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=684 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob für Websites neue Internet Explorer-Fenster ohne Adress- und Statusleisten geöffnet werden können. Wenn Sie diese Richtlinieneinstellung aktivieren, können für Websites neue Internet Explorer-Fenster ohne Adress- und Statusleisten geöffnet werden. Wenn Sie diese Richtlinieneinstellung deaktivieren, können für Websites keine neuen Internet Explorer-Fenster ohne Adress- und Statusleisten geöffnet werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob für Websites neue Internet Explorer-Websites ohne Adress- und Statusleisten geöffnet werden können. === Bei dem Aufruf eines Popupfensters, z.B. mittels „window.open()“, kann festgelegt werden, ob das Verhalten des Fensters von der Aufrufenden Anwendung beeinflusst wird. Es ist dabei möglich z.B. eine Fixe Größe vorzugeben und die Statuszeile auszublenden (Vgl. Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen). Für IE6 bedeutet das auch, dass die Anzeige der besuchten Domäne nicht erscheint. Mit IE7 wurde dies geändert, so dass der User immer sehen kann, „wo“ er sich befindet. Beispiel: http://gps.cloudapp.net/zones/2104.html 2010 Microsoft Corporation. All rights reserved. Seite 69 Zone Settings in Deep Öffnen von Fenstern ohne Adress- oder Statusleiste für Websites zulassen 2104.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 70 Zone Settings in Deep 28. Gemischte Inhalte anzeigen Gemischte Inhalte anzeigen Stats: GUI Name: Gemischte Inhalte anzeigen / Display mixed content Policy Name: Gemischte Inhalte anzeigen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1609 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=736 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Benutzer nicht sichere Elemente anzeigen können und ob bei der Anzeige von Seiten, die sowohl sichere als auch nicht sichere Elemente enthalten, eine Meldung mit Sicherheitsinformationen erscheint. Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktivieren" ausgewählt ist, wird Benutzern keine Meldung mit einer Sicherheitsinformation angezeigt ("Diese Seite enthält sowohl sichere als auch nicht sichere Objekte. Möchten Sie die nicht sicheren Objekte anzeigen?"). Nicht sichere Inhalte können angezeigt werden. Wenn im Dropdownfeld "Bestätigen" ausgewählt ist, erhalten die Benutzer eine Meldung mit Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://) Inhalte enthält. Wenn Sie diese Richtlinieneinstellung deaktivieren, erhalten die Benutzer keine Meldung mit Sicherheitsinformationen. Nicht sichere Inhalte können nicht angezeigt werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erhalten die Benutzer eine Meldung mit Sicherheitsinformationen zu Webseiten, die sowohl sichere (https://) als auch nicht sichere (http://) Inhalte enthält. === „Sichere Inhalte“ sind Daten, die mittels SSL/HTTPS übermittelt werden. D.b. z.B., dass wenn eine Webseite mittels https:// aufgerufen wird, aber z.B. Bilder über <img src=“http://...“> aufruft, von diesem Setting betroffen wäre. Sofern das Setting auf „Deaktivieren“ konfiguriert wurde, würde das 2010 Microsoft Corporation. All rights reserved. Seite 71 Zone Settings in Deep Gemischte Inhalte anzeigen Bild aus dem obigen Beispiel nicht angezeigt, anstelle dessen würde der typische Platzhalter für ein fehlendes Bild dargestellt. Dies gilt auch für Scripte und andere in der Webseite benötigte Dateien. Beispiel: https://www.microsoft.com/en/us/default.aspx (es mag sein, dass dies in Zukunft nicht mehr funktioniert, sofern kein http Kontent auf der Seite verlinkt ist) Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Internet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; 2010 Microsoft Corporation. All rights reserved. Seite 72 Zone Settings in Deep Gemischte Inhalte anzeigen Empfehlung: Um die User nicht zu verunsichern, könnten die Settings auf „Deaktivieren“ gesetzt werden. Webseiten, die gemischten Content verwenden, sind nicht dediziert dafür geschaffen um über SSL/https aufgerufen zu werden. Demnach sind die Inhalte normalerweise auch nicht notwendigerweise über SSL/https abzurufen und daher sollte es auch kein Problem darstellen die Seite über http aufzurufen. „Aktivieren“ jedoch sollte nicht verwendet werden, da z.B. wenn auf einer angegriffenen Webseite Schadcode über http nachgeladen werden soll, dieser nicht geladen werden könnte. 2010 Microsoft Corporation. All rights reserved. Seite 73 Zone Settings in Deep Keine Aufforderung zur Clientzertifikatauswahl, wenn… 29. Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat vorhanden ist Stats: GUI Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat vorhanden ist / Don't prompt for client certificate selection when no certificate or only one certificate exists Policy Name: Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat vorhanden ist Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1A04 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=762 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer zur Auswahl eines Zertifikats aufgefordert werden, wenn kein oder nur ein Zertifikat vorhanden ist. Wenn Sie diese Richtlinieneinstellung aktivieren, wird den Benutzern keine Aufforderung zur Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder nur ein Zertifikat hat. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird den Benutzern eine Aufforderung zur Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder nur ein Zertifikat hat. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird den Benutzern eine Aufforderung zur Clientauthentifizierung angezeigt, wenn sie die Verbindung zu einer Website herstellen, die kein oder nur ein Zertifikat hat. Beispiel: Bei dem Besuch einer Webseite, die ein Clientzertifikat verlangt, wird entweder der u.g. Dialog gezeigt, wenn das Setting auf „Deakivieren“ steht oder mehr als ein Zertifikat zur Auswahl steht, oder aber direkt das richtige Zertifikat ohne Userzutun ausgewählt und verwendet. 2010 Microsoft Corporation. All rights reserved. Seite 74 Zone Settings in Deep Keine Aufforderung zur Clientzertifikatauswahl, wenn… Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 75 Zone Settings in Deep 30. Ziehen und Ablegen oder Kopieren und Einfügen von Dateien Ziehen und Ablegen oder Kopieren und Einfügen von Dateien Stats: GUI Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien / Drag and drop or copy and paste files Policy Name: Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1802 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=742 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Benutzer Dateien aus einer Quelle innerhalb der Zone ziehen oder kopieren und einfügen dürfen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer automatisch Dateien aus dieser Zone ziehen oder kopieren und einfügen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Dateien aus dieser Zone gezogen oder kopiert werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Dateien aus dieser Zone weder ziehen noch kopieren und einfügen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer automatisch Dateien aus dieser Zone ziehen oder kopieren und einfügen. Beispiel: http://i.microsoft.com/global/en/publishingimages/sitebrand/microsoft.gif Linksclick auf das Bild und dann auf den Desktop ziehen. Sofern das Setting auf „Aktivieren“ steht, verändert sich der Mauszeiger und das Bild kann auf dem Desktop abgelegt werden. Remark: 1. Dieses Setting ist nicht zu verwechseln mit Programmatischen Zugriff auf die Zwischenablage zulassen 2010 Microsoft Corporation. All rights reserved. Seite 76 Zone Settings in Deep Ziehen und Ablegen oder Kopieren und Einfügen von Dateien 2. Für IE8 gibt es nur noch „Aktivieren“ und „Deaktivieren“, obwohl „Bestätigen“ als Auswahl im GUI zur Verfügung steht. Sofern „Bestätigen“ ausgewählt wurde, ist das Verhalten identisch zu „Deaktivieren“ Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings können beibehalten werden, ggf. das Setting für die restricted Sites auf „Deaktivieren“ setzen, um Eingabeaufforderungen zu vermeiden. 2010 Microsoft Corporation. All rights reserved. Seite 77 Zone Settings in Deep Enable MIME Sniffing 31. Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen Stats: GUI Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen / Include local directory path when uploading files to a server Policy Name: Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server einbeziehen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 160A Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=692 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob die lokalen Pfadinformationen beim Hochladen einer Datei über ein HTML-Formular übermittelt werden. Bei der Übermittlung der lokalen Pfadinformationen werden möglicherweise einige Informationen für den Server offen gelegt. Beispielsweise können Dateien, die vom Desktop eines Benutzers aus gesendet werden, den Benutzernamen als Teil des Pfads enthalten. Wenn Sie diese Richtlinieneinstellung aktivieren, werden beim Hochladen einer Datei über ein HTMLFormular Pfadinformationen übermittelt. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Pfadinformationen beim Hochladen einer Datei über ein HTML-Formular entfernt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer wählen, ob beim Hochladen einer Datei Pfadinformationen übermittelt werden. Standardmäßig werden Pfadinformationen übermittelt. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 78 Zone Settings in Deep Enable MIME Sniffing Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Aktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Wenigstens für die Internetzone sollte das Setting auf „Deaktivieren“ gesetzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 79 Zone Settings in Deep 32. Installation von Desktopobjekten Installation von Desktopobjekten Stats: GUI Name: Installation von Desktopobjekten / Installation of desktop items Policy Name: Installation von Desktopelementen zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 bis incl. IE8 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1800 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=748 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Benutzer Active Desktop-Elemente aus dieser Zone installieren dürfen. Die Einstellungen für diese Option sind die folgenden: Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer Desktopelemente aus dieser Zone automatisch installieren. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Desktopelemente aus dieser Zone installiert werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer keine Desktopelemente aus dieser Zone installieren. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Benutzer aufgefordert, zu wählen, ob Desktopelemente aus dieser Zone installiert werden. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 80 Zone Settings in Deep Installation von Desktopobjekten Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Empfehlung: Da es seit Windows Vista keinen Active Desktop mehr gibt, kann dieses Setting gefahrlos überall auf „Deaktivieren“ gestellt werden, sofern Windows Vista oder Windows 7 verwendet wird. 2010 Microsoft Corporation. All rights reserved. Seite 81 Zone Settings in Deep 33. Anwendungen und unsichere Dateien starten Anwendungen und unsichere Dateien starten Stats: GUI Name: Anwendungen und unsichere Dateien starten / Launching applications and unsafe files Policy Name: Programme und unsichere Dateien starten Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1806 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=702 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob die Eingabeaufforderung "Datei öffnen Sicherheitswarnung" beim Starten von ausführbaren oder unsicheren Dateien angezeigt wird. Wenn ein Benutzer beispielsweise eine ausführbare Datei mithilfe von Windows Explorer von einer Intranetdateifreigabe startet, wird mit dieser Einstellung gesteuert, ob vor dem Öffnen der Datei eine Eingabeaufforderung angezeigt wird. Wenn Sie diese Richtlinieneinstellung aktivieren und im Dropdownfeld der Wert "Aktivieren" festgelegt ist, werden die Dateien ohne Sicherheitshinweis geöffnet. Wenn im Dropdownfeld der Wert "Eingabeaufforderung" festgelegt ist, wird vor dem Öffnen der Dateien ein Sicherheitshinweis angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Dateien nicht geöffnet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer das Verhalten der Eingabeaufforderung konfigurieren. Standardmäßig ist die Ausführung ist in der Zone "Eingeschränkte Sites" deaktiviert, in den Zonen "Intranet" und "Lokaler Computer" aktiviert und in den Zonen "Internet" und "Vertrauenswürdige Sites" auf "Eingabeaufforderung" festgelegt. Beispiel: Dieses Setting kann leicht anhand des eigenen Systems getestet werden: Mittels Windows Explorer auf \\localhost\c$\windows navigieren und z.B. notepad.exe aufrufen. Die Einstellungen in der Zone „local intranet“ werden in diesem Fall angewendet und die Ergebnisse sehen je nach Einstellung wie folgt aus: 2010 Microsoft Corporation. All rights reserved. Seite 82 Zone Settings in Deep Anwendungen und unsichere Dateien starten Bestätigen: Disabled: Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Bestätigen; IE8: Bestätigen; 2010 Microsoft Corporation. All rights reserved. Seite 83 Zone Settings in Deep Anwendungen und unsichere Dateien starten Vertrauenswürdigen Seiten: IE6: N/A; IE7: Bestätigen; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Je nach Sicherheitsvorgabe kann es sinnvoll sein, zumindest für die Internetzone das Setting auf „Deaktivieren“ zu setzen. Wichtig dabei ist jedoch, dass die Zonenkonfiguration insb. für Shares, die über FQDN zugegriffen werden, korrekt gesetzt ist, denn dieses Zonensetting wirkt sich auch auf den Windows Explorer aus! Vgl. hierzu: http://blogs.technet.com/b/iede/archive/2010/06/11/befinde-ich-mich-im-internetlokalen-intranet-oder-wo-wie-entscheidet-der-internet-explorer-und-das-betriebssystem-welchezone-genommen-wird.aspx 2010 Microsoft Corporation. All rights reserved. Seite 84 Zone Settings in Deep 34. Programme und Dateien in einem IFRAME starten Programme und Dateien in einem IFRAME starten Stats: GUI Name: Programme und Dateien in einem IFRAME starten / Launching programs and files in an IFRAME Policy Name: Anwendungen und Dateien in einem IFRAME starten Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1804 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=752 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob von einem IFRAME-Verweis im HTMLCode der Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen werden dürfen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer von IFRAMEs auf den Seiten in dieser Zone ohne Benutzereingriff Anwendungen ausführen und Dateien herunterladen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob von IFRAMEs auf den Seiten dieser Zone Anwendungen ausgeführt und Dateien heruntergeladen werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer von IFRAMEs auf den Seiten in dieser Zone aus keine Anwendungen ausführen und keine Dateien herunterladen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob von IFRAMEs auf den Seiten in dieser Zone aus Anwendungen ausgeführt und Dateien heruntergeladen werden dürfen. === Ein „normaler“ Download wird durch dieses Setting nicht verhindert. Dafür ist File Download verantwortlich. Hingegen wenn ein Laufwerk, z.B. mittels <iframe src=“file://myserver/myshare“ /> aus einer Webseite zugegriffen wird, so wäre von dort eine Dateiausführung möglich. Dies kann mittels dieses Setting verhindert werden. 2010 Microsoft Corporation. All rights reserved. Seite 85 Zone Settings in Deep Programme und Dateien in einem IFRAME starten Der Dialog wird auch bei der Benutzung der rechten Maustaste ausgelöst, sofern „Deaktivieren“ bzw. „Prompt“ eingestellt sind. Beispiel: http://gps.cloudapp.net/zones/1804.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; 2010 Microsoft Corporation. All rights reserved. Seite 86 Zone Settings in Deep Programme und Dateien in einem IFRAME starten Empfehlung: IFRAMES können Inhalt darstellen, der nicht von der aufrufenden Webseite/Domain stammt und daher u.U. von einem nicht vertrauenswürdigen Anbieter stammen. Daher ist es denkbar die Werte für die Internet und evtl. Vertrauenswürdigen Seiten auf „Deaktiviert“ zu setzen um User nicht zu verunsichern. 2010 Microsoft Corporation. All rights reserved. Seite 87 Zone Settings in Deep Fenster und Frames zwischen verschiedenen Domänen bewegen 35. Fenster und Frames zwischen verschiedenen Domänen bewegen Stats: GUI Name: Fenster und Frames zwischen verschiedenen Domänen bewegen / Navigate windows and frames across different domains Policy Name: Subframes zwischen verschiedenen Domänen bewegen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1607 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=758 Erklärung: Mit dieser Richtlinieneinstellung können Sie das Öffnen von Subframes und den Zugriff auf Anwendungen über Domänen hinweg verwalten. Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer Subframes von anderen Domänen öffnen und auf Anwendungen anderer Domänen zugreifen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Subframes geöffnet werden dürfen und ein Zugriff auf Anwendungen aus anderen Domänen zugelassen ist. Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer keine Subframes öffnen und nicht auf Anwendungen anderer Domänen zugreifen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer Subframes von anderen Domänen öffnen und auf Anwendungen anderer Domänen zugreifen. === Durch dieses Setting wird nicht verhindert, dass z.B. IFRAMES mit SRC aus einer anderen Zone gestartet werden können. Allerdings verhindert es, dass ein Frameset, welches in einem Frame X ein Dokument der aktuellen Domain A öffnet und in einem anderen Frame Y ein Dokument von Domain B und anschließend aus der Domain B das erste Frame navigieren will (z.B. mittels: <a target=“frameX“>) 2010 Microsoft Corporation. All rights reserved. Seite 88 Zone Settings in Deep Fenster und Frames zwischen verschiedenen Domänen bewegen Beispiel: http://gps.cloudapp.net/zones/1607.html 1607_1.html 1607_2.html 1607.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 89 Zone Settings in Deep Fenster und Frames zwischen verschiedenen Domänen bewegen Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Zumindest für die Internetzone sollte „Deaktivieren“ konfiguriert werden, ggf. sogar auch für die Vertrauenswürdigen Seiten. 2010 Microsoft Corporation. All rights reserved. Seite 90 Zone Settings in Deep Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen 36. Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen Stats: GUI Name: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen / Open files based on content, not file extension / IE9: Enable MIME Sniffing Policy Name: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2100 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=756 Erklärung: Diese Richtlinieneinstellung ermöglicht die Verwaltung der MIME-Ermittlung zum Heraufstufen einer Datei von einem Typ in einen anderen. Bei der MIME-Ermittlung wird der Dateityp aufgrund einer Bitsignatur von Internet Explorer erkannt. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Sicherheitsfunktion der MIME-Ermittlung für diese Zone nicht angewendet. Die Sicherheitszone wird ohne die durch diese Funktion zur Verfügung gestellte zusätzliche Sicherheitsstufe ausgeführt. Wenn Sie diese Richtlinieneinstellung deaktivieren, können möglicherweise schädliche Aktionen nicht ausgeführt werden. Diese Internet Explorer-Sicherheitsfunktion wird in dieser Zone nach der entsprechenden Einstellung für diesen Prozess aktiviert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Sicherheitsfunktion der MIMEErmittlung für diese Zone nicht angewendet. === Wenn dieses Setting auf „Aktivieren“ gestellt ist, so wird bei einem Dateidownload nicht der default Vorgang über die Endung in der Registry gesucht, sondern anhand des MIME Types. D.b., dass z.B. für „.zip“ anstelle von „HKEY_CLASSES_ROOT\.zip“ das Verhalten unter „HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-zip-compressed“ nachgeschaut. Wichtig: dieses Setting überprüft nicht anhand des Dateiheaders, was für ein Typ die Datei hat, sondern einzig am vom Server gesendeten MIME Type oder der Endung. 2010 Microsoft Corporation. All rights reserved. Seite 91 Zone Settings in Deep Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Das Setting kann in jeder Zone auf “Aktivieren” gesetzt werden. 2010 Microsoft Corporation. All rights reserved. Seite 92 Zone Settings in Deep 37. Zugriffsrechte für Softwarechannel Zugriffsrechte für Softwarechannel Stats: GUI Name: Zugriffsrechte für Softwarechannel / Software channel permissions Policy Name: Zugriffsrechte für Softwarechannel Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1E05 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=778 Erklärung: Mit dieser Richtlinieneinstellung können Sie Berechtigungen für Softwarechannels verwalten. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die folgenden Optionen aus dem Dropdownfeld auswählen. "Niedrige Sicherheit". Hierbei werden die Benutzer per E-Mail über Softwareaktualisierungen informiert. Softwarepakete werden automatisch auf die Computer der Benutzer heruntergeladen und automatisch installiert. "Mittlere Sicherheit". Hierbei werden die Benutzer per E-Mail über Softwareaktualisierungen informiert. Softwarepakete werden automatisch auf die Computer der Benutzer heruntergeladen, aber nicht installiert. "Hohe Sicherheit". Hierbei können die Benutzer nicht per E-Mail über Softwareaktualisierungen informiert werden. Softwarepakete werden weder automatisch auf die Computer der Benutzer heruntergeladen noch installiert. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Berechtigungen auf hohe Sicherheit festgelegt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Berechtigungen auf mittlere Sicherheit festgelegt. 2010 Microsoft Corporation. All rights reserved. Seite 93 Zone Settings in Deep Zugriffsrechte für Softwarechannel Mögliche Werte: 0x10000 => Hohe Sicherheit 0x20000 => Mittlere Sicherheit 0x30000 => Niedrige Sicherheit Standardwerte: Eingeschränkte Seiten: IE6: Hohe Sicherheit; IE7: Hohe Sicherheit; IE8: N/A; Internet: IE6: Mittlere Sicherheit; IE7: Mittlere Sicherheit; IE8: N/A; Vertrauenswürdigen Seiten: IE6: Mittlere Sicherheit; IE7: Mittlere Sicherheit; IE8: N/A; Lokales Intranet: IE6: Mittlere Sicherheit; IE7: Mittlere Sicherheit; IE8: N/A; Empfehlung: Da Softwarechannels nicht mehr genutzt werden, sollten alle Zonnen auf „Hohe Sicherheit“ konfiguriert werden, bzw. für IE8 kann das Setting ignoriert werden. 2010 Microsoft Corporation. All rights reserved. Seite 94 Zone Settings in Deep 38. Unverschlüsselte Formulardaten übermitteln Unverschlüsselte Formulardaten übermitteln Stats: GUI Name: Unverschlüsselte Formulardaten übermitteln / Submit non-encrypted form data Policy Name: Unverschlüsselte Formulardaten übermitteln Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1601 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=780 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Daten in HTML-Formularen auf Seiten in der Zone übermittelt werden dürfen. Mit SSL-Verschlüsselung (Secure Sockets Layer) gesendete Formulare sind immer zugelassen. Diese Einstellung betrifft nur die Übertragung von nicht mit SSL verschlüsselten Formulardaten. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Informationen aus HTML-Formularen auf Seiten in der Zone automatisch übertragen. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob Informationen aus HTML-Formularen auf Seiten in der Zone übertragen werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Informationen aus HTML-Formularen auf Seiten in der Zone nicht übertragen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Benutzer gefragt, ob Informationen aus HTML-Formularen auf Seiten in der Zone übertragen werden dürfen. 2010 Microsoft Corporation. All rights reserved. Seite 95 Zone Settings in Deep Unverschlüsselte Formulardaten übermitteln Beispiel: http://gps.cloudapp.net/zones/1601.html 1601.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Bestätigen; IE7: Bestätigen; IE8: Bestätigen; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 96 Zone Settings in Deep Unverschlüsselte Formulardaten übermitteln IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Es sollte in Erwägung gezogen werden das Setting für Eingeschränkte Seiten und die Internet Zone auf „Deaktivieren“ zu setzen, da bei der Nutzung nicht über SSL/HTTPS u.U. Credentials im Klartext über das Netz geschickt werden und dadurch die Sicherheit beeinträchtigt werden könnte. 2010 Microsoft Corporation. All rights reserved. Seite 97 Zone Settings in Deep 39. Phishingfilter verwenden Phishingfilter verwenden Stats: GUI Name: Phishingfilter verwenden / Use Phishing Filter Policy Name: Phishingfilter verwenden Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2301 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=694 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob der Phishingfilter die Seiten in dieser Zone auf Phishing überprüft. Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft der Phishingfilter die Seiten in dieser Zone auf Phishing. Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft der Phishingfilter die Seiten in dieser Zone nicht auf Phishing. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer diese Einstellung konfigurieren. Beispiel: Vgl. Beispiel des Smartscreenfilters: http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“ Vgl.: Verwalten von SmartScreen-Filter deaktivieren und Umgehung der SmartScreenFilterwarnungen verhindern Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 98 Zone Settings in Deep Phishingfilter verwenden Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Aktivieren; IE8: N/A; Internet: IE6: N/A; IE7: Aktivieren; IE8: N/A; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: N/A; Lokales Intranet: IE6: N/A; IE7: Deaktivieren; IE8: N/A; Empfehlung: Das Setting sollte für alle IE7 Installationen bis auf die „Lokales Intranet Zone“ auf „Aktivieren“ gesetzt werden. Für IE8 sollte der Smartscreen Filter verwendet werden, IE6 bietet keinen Phishingschutz. 2010 Microsoft Corporation. All rights reserved. Seite 99 Zone Settings in Deep 40. Popupblocker verwenden Popupblocker verwenden Stats: GUI Name: Popupblocker verwenden / Use Pop-up Blocker Policy Name: Popupblocker verwenden Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1809 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=734 Erklärung: Mit dieser Richtlinieneinstellung kann festgelegt werden, ob unerwünschte Popupfenster angezeigt werden sollen. Popupfenster, die geöffnet werden, wenn der Endbenutzer auf einen Link klickt, werden nicht blockiert. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die meisten unerwünschten Popupfenster nicht angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Popupfenster angezeigt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die meisten unerwünschten Popupfenster nicht angezeigt. Beispiel: http://gps.cloudapp.net/zones/1809.html 1809.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 100 Zone Settings in Deep Popupblocker verwenden Standardwerte: Eingeschränkte Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 101 Zone Settings in Deep 41. SmartScreen-Filter verwenden SmartScreen-Filter verwenden Stats: GUI Name: SmartScreen-Filter verwenden / Use Smartscreen filter Policy Name: SmartScreen-Filter verwenden Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: User Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Internetzone\ Registry key: HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 Registry value: 2301 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=694 Erklärung: Mit dieser Richtlinieneinstellung können Sie steuern, ob der SmartScreen-Filter die Seiten in dieser Zone auf bösartige Inhalte überprüft. Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft der SmartScreen-Filter die Seiten in dieser Zone auf bösartige Inhalte. Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft der SmartScreen-Filter die Seiten in dieser Zone nicht auf bösartige Inhalte. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer diese Einstellung konfigurieren. Hinweis: In Internet Explorer 7 steuert diese Richtlinieneinstellung, ob der Phishingfilter Seiten in dieser Zone auf bösartige Inhalte überprüft. Beispiel: http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“ Vgl.: Verwalten von SmartScreen-Filter deaktivieren und Umgehung der SmartScreenFilterwarnungen verhindern Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 102 Zone Settings in Deep SmartScreen-Filter verwenden Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: N/A; IE8: Aktivieren; Internet: IE6: N/A; IE7: N/A; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: N/A; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: N/A; IE8: Deaktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 103 Zone Settings in Deep 42. Dauerhaftigkeit der Benutzerdaten Dauerhaftigkeit der Benutzerdaten Stats: GUI Name: Dauerhaftigkeit der Benutzerdaten / Userdata persistence Policy Name: Dauerhaftigkeit der Benutzerdaten Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1606 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=794 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen, das Beibehalten von Informationen im Verlauf des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte gespeicherten Webseite zu verwalten. Wenn Benutzer zu einer dauerhaften Seite zurückkehren, kann der Status der Seite wiederhergestellt werden, falls diese Richtlinieneinstellung korrekt konfiguriert wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer Informationen im Verlauf des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte gespeicherten Webseite beibehalten. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Informationen im Verlauf des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte gespeicherten Webseite nicht beibehalten. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer Informationen im Verlauf des Browsers, bei den Favoriten, in einem XML-Speicher oder direkt in einer auf der Festplatte gespeicherten Webseite beibehalten. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 2010 Microsoft Corporation. All rights reserved. Seite 104 Zone Settings in Deep Dauerhaftigkeit der Benutzerdaten Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden. Da dieses Vorgehen i.d.R. nicht mehr verwendet wird, dürfte auch ein generelles „Deaktivieren“ möglich sein. 2010 Microsoft Corporation. All rights reserved. Seite 105 Zone Settings in Deep Websites, die sich in Webinhaltszonen niedriger Berechtigung… 43. Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren Stats: GUI Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren / Websites in less privileged web content zone can navigate into this zone Policy Name: Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2101 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=798 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Websites aus Zonen mit geringeren Berechtigungen, z. B. eingeschränkte Sites, in diese Zone wechseln dürfen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Websites von Zonen mit weniger Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln. Die Sicherheitszone wird ohne die durch die Funktion zum Schutz vor Zonenanhebung zur Verfügung gestellte zusätzliche Sicherheitsstufe ausgeführt. Wenn Sie "Bestätigen" in der Dropdownliste auswählen, wird eine Warnung angezeigt, die den Benutzer über diese potenziell gefährliche Aktion informiert. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden möglicherweise schädliche Wechsel verhindert. Die Internet Explorer-Sicherheitsfunktion wird in dieser Zone aktiviert, wie in der Funktion zum Schutz vor Zonenanhebung festgelegt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Websites von Zonen mit weniger Berechtigungen ein neues Fenster in dieser Zone öffnen oder in diese Zone wechseln. Beispiel: http://gps.cloudapp.net/zones/2101.html 2010 Microsoft Corporation. All rights reserved. Seite 106 Zone Settings in Deep Websites, die sich in Webinhaltszonen niedriger Berechtigung… 2101.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 107 Zone Settings in Deep Active Scripting Scripting 44. Active Scripting Stats: GUI Name: Active Scripting / Active Scripting Policy Name: Active Scripting zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1400 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=716 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skriptcode auf Seiten in der Zone ausgeführt werden darf. Wenn Sie diese Richtlinieneinstellung aktivieren, wird Skriptcode auf Seiten in der Zone automatisch ausgeführt. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Skriptcode auf Seiten in der Zone ausgeführt werden darf. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Skriptcode auf Seiten in der Zone nicht ausgeführt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird Skriptcode auf Seiten in der Zone automatisch ausgeführt. Beispiel: http://gps.cloudapp.net/zones/2103.html => Die Zeitupdates auf der Demopage werden bei abgeschaltetem Active Scripting nicht mehr funktionieren. 2010 Microsoft Corporation. All rights reserved. Seite 108 Zone Settings in Deep Active Scripting 2103.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Da mittlerweile Active Scripting (z.B. mittels Javascript) auf vielen Webseiten notwendig ist, sollten die default Settings beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 109 Zone Settings in Deep 45. Programmatischen Zugriff auf die Zwischenablage zulassen Programmatischen Zugriff auf die Zwischenablage zulassen Stats: GUI Name: Programmatischen Zugriff auf die Zwischenablage zulassen / Allow paste operations via script / Allow Programmatic clipboard access Policy Name: Skriptbasierte Ausschneide-, Kopier- oder Einfügeoperationen von der Zwischenablage zulassen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1407 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=730 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripts in einer angegebenen Region Zwischenablageoperationen (z. B. Ausschneiden, Kopieren und Einfügen) durchführen dürfen. Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein Skript eine Zwischenablagenoperation durchführen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob Zwischenablagenoperationen ausgeführt werden dürfen. Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Skript keine Zwischenablagenoperation durchführen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Skript eine Zwischenablagenoperation durchführen. === Beispiel: eine beliebige Policy auf der GPS auswählen und über „Copy“ Inhalte in die Zwischenablage kopieren. Beispiel: http://gps.cloudapp.net/zones/1407.html 2010 Microsoft Corporation. All rights reserved. Seite 110 Zone Settings in Deep Programmatischen Zugriff auf die Zwischenablage zulassen 1407.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Bestätigen; IE8: Bestätigen; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Bestätigen; IE8: Bestätigen; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Um den User nicht zu verwirren kann es sinnvoll sein das Setting für die Internet Zone auf „Deaktiviert“ zu setzen und für die Vertrauenswürdigen Seiten auf „Aktivieren“. 2010 Microsoft Corporation. All rights reserved. Seite 111 Zone Settings in Deep 46. Statuszeilenaktualisierung über Skript zulassen Statuszeilenaktualisierung über Skript zulassen Stats: GUI Name: Statuszeilenaktualisierung über Skript zulassen / Allow status bar updates via script Policy Name: Statuszeilenaktualisierung über Skript zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2103 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=698 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Skripts in dieser Zone die Statusleiste aktualisieren dürfen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Skripts die Statusleiste aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts die Statusleiste nicht aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren, sind Aktualisierungen der Statusleiste über Skripts deaktiviert. Beispiel: http://gps.cloudapp.net/zones/2103.html Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 112 Zone Settings in Deep Statuszeilenaktualisierung über Skript zulassen Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 113 Zone Settings in Deep Statuszeilenaktualisierung über Skript zulassen 47. Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen Stats: GUI Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen / Allow websites to prompt for information using scripted windows Policy Name: Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen Supported on: Mindestens Internet Explorer 7.0 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 2105 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=696 Erklärung: Mit dieser Richtlinieneinstellung können Sie festlegen, ob Skripteingabeaufforderungen automatisch angezeigt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Skripteingabeaufforderungen angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren, müssen Benutzer Skripteingabeaufforderungen mithilfe der informationsleiste anzeigen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann der Benutzer das Verhalten der informationsleiste aktivieren oder deaktivieren. == Mit „Skripteingabeaufforderung“ sind Popups gemeint, die mittels „window.prompt()“ geöffnet werden. Beispiel: http://gps.cloudapp.net/zones/2105.html 2105.html 2010 Microsoft Corporation. All rights reserved. Seite 114 Zone Settings in Deep Statuszeilenaktualisierung über Skript zulassen Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: N/A; IE7: Deaktivieren; IE8: Deaktivieren; Vertrauenswürdigen Seiten: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: N/A; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings sollten beibehalten werden oder sogar für die Vertrauenswürdigen Seiten auf „Deaktivieren“ gestellt werden. 2010 Microsoft Corporation. All rights reserved. Seite 115 Zone Settings in Deep 48. XSS-Filter aktivieren XSS-Filter aktivieren Stats: GUI Name: XSS-Filter aktivieren / Enable XSS filter Policy Name: XSS-Filter aktivieren Supported on: Mindestens Internet Explorer 8.0 Kategorie Pfad: Computer Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\Zone des lokalen Computers\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1409 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=782 Erklärung: Mithilfe dieser Richtlinie können Sie steuern, ob mit dem XSS-Filter (Cross-Site Scripting, siteübergreifendes Skripting) die siteübergreifende Skripteinschleusung in Websites in dieser Zone erkannt und verhindert wird. Wenn Sie diese Richtlinieneinstellung aktivieren, wird der XSS-Filter für Sites in dieser Zone aktiviert, um die siteübergreifende Skripteinschleusung zu blockieren. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird der XSS-Filter für Sites in dieser Zone deaktiviert, und Internet Explorer lässt die siteübergreifende Skripteinschleusung zu. Beispiel: http://www.ie8demos.com/tryit/ => „Cross Site Scripting Filter“ Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren Standardwerte: Eingeschränkte Seiten: IE6: N/A; IE7: N/A; IE8: Aktivieren; Internet: IE6: N/A; IE7: N/A; IE8: Aktivieren; 2010 Microsoft Corporation. All rights reserved. Seite 116 Zone Settings in Deep XSS-Filter aktivieren Vertrauenswürdigen Seiten: IE6: N/A; IE7: N/A; IE8: Deaktivieren; Lokales Intranet: IE6: N/A; IE7: N/A; IE8: Deaktivieren; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 117 Zone Settings in Deep 49. Scripting von Java Applets Scripting von Java-Applets Stats: GUI Name: Scripting von Java-Applets / Scripting of Java applets Policy Name: Scripting von Java-Applets Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1402 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=774 Erklärung: Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Applets in dieser Zone für Skripts bereitgestellt werden. Wenn Sie diese Richtlinie aktivieren, können Skripts automatisch und ohne Benutzereingriff auf Applets zugreifen. Wenn Sie im Dropdownfeld "Bestätigen" auswählen, werden die Benutzer gefragt, ob ein Skript auf Applets zugreifen darf. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Skripts nicht auf Applets zugreifen. Wenn Sie diese Richtlinie nicht konfigurieren, können Skripts automatisch und ohne Benutzereingriff auf Applets zugreifen. Mögliche Werte: 0x0 => Aktivieren 0x3 => Deaktivieren 0x1 => Bestätigen 2010 Microsoft Corporation. All rights reserved. Seite 118 Zone Settings in Deep Scripting von Java Applets Standardwerte: Eingeschränkte Seiten: IE6: Deaktivieren; IE7: Deaktivieren; IE8: Deaktivieren; Internet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Vertrauenswürdigen Seiten: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Lokales Intranet: IE6: Aktivieren; IE7: Aktivieren; IE8: Aktivieren; Empfehlung: Die default Settings können beibehalten werden, u.U. mag es sinnvoll sein auch die Internet Zone auf „Deaktivieren“ zu konfigurieren. 2010 Microsoft Corporation. All rights reserved. Seite 119 Zone Settings in Deep Anmeldung Benutzerauthentifizierung 50. Anmeldung Stats: GUI Name: Anmeldung / Logon options Policy Name: Anmeldungsoptionen Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1 Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\WindowsKomponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\ Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID% Registry value: 1A00 Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=754 Erklärung: Mit dieser Richtlinieneinstellung können Sie Berechtigungen für Anmeldeoptionen verwalten. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die folgenden Anmeldeoptionen auswählen. Mit "Anonyme Anmeldung" wird die HTTP-Authentifizierung deaktiviert und das Gastkonto nur für das CIFS-Protokoll (Common Internet File System) verwendet. Mit "Nach Benutzername und Kennwort fragen" werden die Benutzer nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. Mit "Automatisches Anmelden nur in der Intranetzone" werden die Benutzer in anderen Zonen nach ihren Benutzer-IDs und Kennwörtern gefragt. Nach der Abfrage beim Benutzer können diese Werte im weiteren Verlauf der Sitzung ohne weitere Nachfrage verwendet werden. Mit "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" wird eine Anmeldung mithilfe der NTLM-Authentifizierung (Windows NT Challenge Response) versucht. Wenn der Server Windows NT Challenge Response unterstützt, werden der Netzwerkbenutzername des Benutzers und das zugehörige Kennwort für die Anmeldung verwendet. Falls der Server Windows NT Challenge 2010 Microsoft Corporation. All rights reserved. Seite 120 Zone Settings in Deep Anmeldung Response nicht unterstützt, wird der Benutzer aufgefordert, Benutzernamen und Kennwort anzugeben. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Anmeldeoption "Automatisches Anmelden nur in der Intranetzone" festgelegt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die Anmeldeoption "Automatisches Anmelden nur in der Intranetzone" festgelegt. Mögliche Werte: 0x30000 => Anonyme Anmeldung 0x20000 => Automatisches Anmelden nur in der Intranetzone 0x00000 => Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort 0x10000=> Nach Benutzername und Kennwort fragen Standardwerte: Eingeschränkte Seiten: IE6: Nach Benutzername und Kennwort fragen; IE7: Nach Benutzername und Kennwort fragen; IE8: Nach Benutzername und Kennwort fragen; Internet: IE6: Automatisches Anmelden nur in der Intranetzone; IE7: Automatisches Anmelden nur in der Intranetzone; IE8: Automatisches Anmelden nur in der Intranetzone; Vertrauenswürdigen Seiten: IE6: Automatisches Anmelden nur in der Intranetzone; IE7: Automatisches Anmelden nur in der Intranetzone; IE8: Automatisches Anmelden nur in der Intranetzone; Lokales Intranet: IE6: Automatisches Anmelden nur in der Intranetzone; IE7: Automatisches Anmelden nur in der Intranetzone; IE8: Automatisches Anmelden nur in der Intranetzone; Empfehlung: Die default Settings sollten beibehalten werden. 2010 Microsoft Corporation. All rights reserved. Seite 121