Planen von Einstellungen für Internet Explorer-Featuresteuerelemente in 2007 Office System
Letzte Aktualisierung: Februar 2009
Betrifft: Office Resource Kit
Letztes Änderungsdatum des Themas: 2015-03-09
Mithilfe von Einstellungen für Internet Explorer-Featuresteuerelemente können Sie Gefährdungen abwenden, die auftreten können, wenn eine Anwendung Funktionen von Internet Explorer programmgesteuert nutzt. Es ist wichtig, Bedrohungen für Internet Explorer entgegenzusteuern, da alle Bedrohungen für Internet Explorer auch die Anwendung betreffen, von der Internet Explorer gehostet wird.
Sie können in 2007 Office System 15 Einstellungen für Internet Explorer-Featuresteuerelemente konfigurieren. Weitere Informationen zu den Einstellungen für Internet Explorer-Featuresteuerelemente finden Sie unter Einstellungen für Internet Explorer-Featuresteuerelemente. Mit jeder Einstellung wird ein bestimmter Verhaltens- oder Funktionstyp von Internet Explorer eingeschränkt. Sie aktivieren das eingeschränkte Verhalten bzw. die eingeschränkte Funktionalität für eine bestimmte Einstellung, indem Sie Anwendungen bestätigen. Wenn eine Anwendung für eine bestimmte Einstellung für Internet Explorer-Featuresteuerelemente bestätigt wird, werden die restriktiveren Verhaltensweisen, die durch die Einstellung angegeben werden, immer dann durchgesetzt, wenn die Anwendung Internet Explorer hostet. Wenn eine Anwendung hingegen für eine bestimmte Einstellung widerrufen wird, werden die restriktiveren Verhaltensweisen, die durch die Einstellung angegeben werden, immer dann nicht durchgesetzt, wenn die Anwendung Internet Explorer hostet.
Zum Planen der Einstellungen für Internet Explorer-Featuresteuerelemente müssen Sie folgendermaßen vorgehen:
Identifizieren der Anwendungen, die Internet Explorer hosten
Bestimmen der Einstellungen für Internet Explorer-Featuresteuerelemente, die implementiert werden müssen
Identifizieren potenzieller Konflikte mit früheren Versionen von Office System
Identifizieren der Anwendungen, die Internet Explorer hosten
Eine Anwendung hostet Internet Explorer dann, wenn eine beliebige Art von aktivem Inhalt, z. B. ActiveX-Steuerelemente, Add-Ins oder VBA-Makros (Visual Basic für Applikationen) Funktionen von Internet Explorer programmgesteuert nutzt. Ein typisches Beispiel wäre, wenn ein Benutzer ein Microsoft Office Word 2007-Dokument öffnet, das ein ActiveX-Steuerelement enthält, und das ActiveX-Steuerelement programmgesteuert Internet Explorer zum Rendern des HTML-Inhalts aufruft. In diesem Fall ist Office Word 2007 der Host für Internet Explorer.
Standardmäßig sind Office Groove 2007, Office Outlook 2007 und Office SharePoint Designer 2007 für alle 15 Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt. Microsoft Office InfoPath 2007 ist ebenfalls für diese Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt, ebenso wie drei Office InfoPath 2007-Komponenten: Dokumentinformationsbereich, Workflowformulare und Drittanbieterhosting. Diese Anwendungen sind bestätigt, weil sie Internet Explorer hosten oder mit hoher Wahrscheinlichkeit hosten werden.
Ermitteln Sie anhand der folgenden Richtlinien andere Anwendungen, die Internet Explorer hosten oder potenziell hosten können.
Anwendungen, die Benutzern das Ausführen von nicht vertrauenswürdigen ActiveX-Steuerelementen, Add-Ins oder Makros ermöglichen, können Internet Explorer potenziell hosten.
Anwendungen, mit denen Benutzer ActiveX-Steuerelemente, Add-Ins oder Makros ausführen können, die HTML-Inhalte rendern oder Browserfunktionalität bereitstellen, hosten in der Regel Internet Explorer.
Anwendungen, die Sie zum Rendern von HTML-Inhalten oder Bereitstellen von Browserfunktionalität konfiguriert haben, hosten in der Regel Internet Explorer.
Anwendungen, die Benutzern den Zugriff auf VBA-Projekte oder das Erstellen von VBA-Makros ermöglichen, können Internet Explorer potenziell hosten.
Anwendungen, die Benutzern den Zugriff auf externe Dokumente und Daten ermöglichen, können Internet Explorer potenziell hosten.
Es wird empfohlen, alle Anwendungen zu bestätigen, die Internet Explorer hosten oder potenziell hosten können. Achten Sie darauf, den Anwendungsnamen und den Namen der entsprechenden ausführbaren Datei in Ihren Sicherheitsplanungsdokumenten zu erfassen. Sie benötigen den Namen der ausführbaren Datei, um Einstellungen für Internet Explorer-Featuresteuerelemente mithilfe des Office-Anpassungstools (OAT) oder mithilfe von Gruppenrichtlinien zu konfigurieren.
In der folgenden Tabelle sind die Namen der ausführbaren Dateien für die Anwendungen aufgelistet, die Sie für die Einstellungen für Internet Explorer-Featuresteuerelemente für 2007 Office System bestätigen können.
| Anwendung | Name der ausführbaren Datei |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (standardmäßig bestätigt) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (standardmäßig bestätigt) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007 (standardmäßig bestätigt) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Microsoft Office PowerPoint Viewer |
Pptview.exe |
Microsoft Script Editor |
Mse7.exe |
Bestimmen der Einstellungen für Internet Explorer-Featuresteuerelemente, die implementiert werden müssen
Anwendungen können für einzelne oder für alle 15 Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt werden, durch die die Funktionalität von Internet Explorer umfassend eingeschränkt wird. In den meisten Fällen sollte eine Anwendung, die Internet Explorer hostet oder potenziell hosten kann, für alle 15 Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt werden. Durch das Bestätigen einer Anwendung für alle 15 Einstellungen ist sichergestellt, dass das restriktivste Sicherheitsmodell von Internet Explorer implementiert wird, wenn die Anwendung Internet Explorer hostet.
Es wird zwar empfohlen, in Anwendungen für alle 15 Einstellungen für Internet Explorer-Featuresteuerelemente zu bestätigen, in einzelnen Fällen müssen Sie die Bestätigung jedoch möglicherweise widerrufen. Sie müssen die Bestätigung für eine Einstellung möglicherweise in folgenden Fällen widerrufen:
Die Einschränkungen einer bestimmten Einstellung verhindern das erwartete Anwendungsverhalten. Wenn Sie beispielsweise wissen, dass von einer Anwendung Dateien mithilfe von Internet Explorer ohne Benutzereingriff heruntergeladen werden, müssen Sie möglicherweise die Einstellung Dateidownload einschränken widerrufen.
Die Einschränkungen einer bestimmten Einstellung sind unnötig, da die spezifische Bedrohung, die von dieser Einstellung abgewehrt wird, in Ihrer Organisation wenig oder keine Risiken birgt. Wenn beispielsweise Benutzer nicht auf öffentliche Netzwerke wie das Internet zugreifen können, müssen Sie die Einstellung zum Blocken von Popups möglicherweise nicht bestätigen.
Die Einschränkungen einer bestimmten Einstellung verursachen Leistungseinbußen. Beispielsweise kann die Einstellung Gespeichert von URL eine Abnahme der Leistung verursachen. Wenn die Leistungseinbußen zu groß sind, müssen Sie die Bestätigung dieser Einstellung möglicherweise widerrufen.
Notieren Sie in Ihren Sicherheitsplanungsdokumenten unbedingt die Anwendungen, die Sie für alle 15 Einstellungen für Internet Explorer-Featuresteuerelemente bestätigen möchten. Erfassen Sie auch alle Einstellungen für Internet Explorer-Featuresteuerelemente, für die Sie die Bestätigung widerrufen müssen.
.gif "Note") Hinweis: |
|---|
| Office InfoPath 2007 ist ein Sonderfall und kann nicht für einzelne Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt oder widerrufen werden. Sie können nur konfigurieren, welche Office InfoPath 2007-Komponenten für die gesamte Gruppe von Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt oder widerrufen werden sollen. Erfassen Sie unbedingt in Ihren Sicherheitsplanungsdokumenten alle Office InfoPath 2007-Komponenten, für die die Bestätigung widerrufen werden soll. Es wird empfohlen, die Standardeinstellungen zu übernehmen und alle Office InfoPath 2007-Komponenten zu bestätigen. Weitere Informationen zu den Office InfoPath 2007-Einstellungen finden Sie unter Einstellungen für Internet Explorer-Featuresteuerelemente. |
Identifizieren von Konflikten mit früheren Versionen von Office
Es wird zwar empfohlen, alle Anwendungen zu bestätigen, die Internet Explorer hosten oder potenziell hosten können, es gibt aber einige Fälle, in denen das Bestätigen einer Anwendung unerwartetes Verhalten in früheren Versionen von Office System verursachen kann. Dieses unerwartete Verhalten tritt aufgrund der Art und Weise auf, wie Einstellungen für Internet Explorer-Featuresteuerelemente in der Registrierung gespeichert werden. Es kann nur bei parallelen Installationen von 2007 Office System und früheren Office-Versionen auftreten.
Wenn eine Anwendung für eine Einstellung für Internet Explorer-Featuresteuerelemente bestätigt oder widerrufen wird, wird der Name der ausführbaren Datei der Anwendung in der Registrierung gespeichert und auf den Wert 1 (bestätigt) oder 0 (widerrufen) festgelegt. Wenn Sie beispielsweise Office Word 2007 für die Einstellung ActiveX-Installation einschränken für Internet Explorer-Featuresteuerelemente bestätigen, wird unter dem Registrierungsschlüssel FEATURE_RESTRICT_ACTIVEXINSTALL ein Registrierungsschlüsseleintrag namens Winword.exe hinzugefügt und der Eintrag Winword.exe auf den Wert 1 festgelegt.
Jedes Mal, wenn Internet Explorer programmgesteuert aufgerufen wird, wird ermittelt, ob die Anwendung Internet Explorer in Prozessen, DLLs (Dynamic Link Librarys) oder ausführbaren Dateien gehostet wird. Außerdem wird die Registrierung überprüft, um festzustellen, welche Prozesse, DLLs oder ausführbaren Dateien für die einzelnen Einstellungen für Internet Explorer-Featuresteuerelemente bestätigt sind und welche nicht. Wenn Internet Explorer von einem Prozess, einer DLL oder einer ausführbaren Datei gehostet wird und aus den Registrierungseinstellungen hervorgeht, dass der Prozess, die DLL oder die ausführbare Datei für eine Einstellung für Internet Explorer-Featuresteuerelemente bestätigt wurde, wird in Internet Explorer das restriktivere Verhalten der Einstellung für Internet Explorer-Featuresteuerelemente aktiviert. Wenn Internet Explorer beispielsweise von Winword.exe gehostet wird und der Eintrag Winword.exe unter dem Registrierungsschlüssel FEATURE_RESTRICT_ACTIVEXINSTALL den Wert 1 hat, wird in Internet Explorer das restriktivere Verhalten übernommen, das durch die Einstellung ActiveX-Installation einschränken für Internet Explorer-Featuresteuerelemente vorgegeben wird.
Winword.exe ist jedoch der Name der ausführbaren Datei für Office Word 2007 und für Microsoft Office Word 2003. Bei parallelen Installationen von Office Word 2007 und Office Word 2003 kann Internet Explorer daher nicht feststellen, ob bestätigte Einstellungen für Internet Explorer-Featuresteuerelemente für Office Word 2007 auf Office Word 2007 oder auf Office Word 2003 angewendet werden sollen. Dieses Problem tritt bei Anwendungen auf, bei denen der Name der ausführbaren Datei in aufeinander folgenden Versionen von Office System gleich ist. In der folgenden Tabelle sind die Namen der ausführbaren Dateien aufgeführt, die in 2007 Office System und in früheren Versionen von Office System gleich sind.
| Name der ausführbaren Datei | Anwendungen |
|---|---|
Excel.exe |
Office Excel 2007, Office Excel 2003 |
Msaccess.exe |
Office Access 2007, Office Access 2003 |
Mspub.exe |
Office Publisher 2007, Publisher 2003 |
Outlook.exe |
Office Outlook 2007, Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007, Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007, Office Visio 2003 |
Winproj.exe |
Office Project 2007, Office Project 2003 |
Winword.exe |
Office Word 2007, Office Word 2003 |
Um potenzielle Probleme bei parallelen Installationen zu erkennen, wird empfohlen, jede Einstellung für Internet Explorer-Featuresteuerelemente mit den früheren Versionen der Anwendungen zu testen, die in der obigen Tabelle aufgeführt sind. Die Einstellungen für Internet Explorer-Featuresteuerelemente werden nur von 2007 Office System unterstützt. Die Einstellungen für Internet Explorer-Featuresteuerelemente werden von früheren Office-Versionen nicht unterstützt und verursachen möglicherweise ein unvorhersehbares Verhalten von Anwendungen in früheren Office-Versionen.
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Herunterladbare Bücher für das 2007 Office Resource Kit.