(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Ereignis 1023 - Einschränkungen der Zonenanhebung

Veröffentlicht: Juni 2010

Letzte Aktualisierung: Juni 2010

Betrifft: Windows 7, Windows Vista

Als Zonenanhebung wird der Versuch bezeichnet, aus einer Sicherheitszone mit niedriger Sicherheit auf eine Sicherheitszone mit höherer Sicherheit zuzugreifen. Webseiten auf dem Computer eines Benutzers werden in der Zone "Lokaler Computer" ausgeführt. Diese weist geringere Sicherheitseinschränkungen als Seiten im Internet auf. Deshalb richten sich Angriffe in erster Linie auf die Zone "Lokaler Computer".

Einschränkungen der Zonenanhebung verhindern, dass der allgemeine Sicherheitskontext eines Links auf einer Seite restriktiver ist als der Sicherheitskontext der Stamm-URL. Das bedeutet, dass z. B. eine Seite in der Zone "Internet" nicht zu einer Seite in der Zone "Lokales Internet" navigieren kann, es sei denn, diese Aktion wurde von einem Benutzer initiiert. Ein Skript kann diese Art der Navigation nicht automatisch vornehmen. Dazu ist die Interaktion eines Benutzers erforderlich, wie z. B. ein Mausklick oder eine Tastatureingabe. Durch Einschränkungen der Zonenanhebung wird auch die JavaScript-Navigation deaktiviert, falls kein Sicherheitskontext existiert.

noteHinweis
Die Rangfolge der Zonen, von der Zone mit der höchsten bis zur niedrigsten Sicherheit, lautet wie folgt: Zone "Eingeschränkte Sites", Zone "Internet", Zone "Lokales Intranet", Zone "Vertrauenswürdige Sites" und Zone "Lokaler Computer".

Wann wird dieses Ereignis protokolliert?

Dieses Ereignis wird protokolliert, wenn eine Zone mit einer niedrigeren Sicherheit versucht, auf eine Zone mit einer höheren Sicherheit zuzugreifen.

noteHinweis
Weitere Informationen und Beispiele finden Sie unter dem Thema Ereignis 1023 - Einschränkungen der Zonenanhebung in Anwendungskompatibilität von Internet Explorer (möglicherweise in englischer Sprache).

Wartung

Die Einschränkungen der Zonenanhebung können über einen Registrierungsschlüssel für Sicherheitsfeature-Steuerelemente (FEATURE_ZONE_ELEVATION) verwaltet werden. Windows® Internet Explorer® (Iexplore.exe) und Windows Explorer (Explorer.exe) werden standardmäßig unter diesem Featuresteuerelement ausgeführt. Nachfolgend werden die Registrierungsschlüssel und aktivierten Prozesse dargestellt:

  • HKEY_LOCAL_MACHINE (oder HKEY_CURRENT_USER)\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ZONE_ELEVATION\iexplore.exe= 0x00000001

  • HKEY_LOCAL_MACHINE (oder HKEY_CURRENT_USER)\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ZONE_ELEVATION\explorer.exe= 0x00000001

  • HKEY_LOCAL_MACHINE (oder HKEY_CURRENT_USER)\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ZONE_ELEVATION\process name.exe=0x00000001

Anwendungen, die als Host für das WebBrowser-Steuerelement fungieren, können das Sicherheitsfeature-Steuerelement nutzen, indem sie den Prozess zu denselben Registrierungspfaden hinzufügen. Dies ist programmgesteuert mithilfe der CoInternetSetFeatureEnabled-Funktion möglich.

noteHinweis
Wenn eine Anwendung nicht unter diesem Sicherheitsfeature-Steuerelement ausgeführt wird, verhält sich das WebBrowser-Steuerelement genauso wie unter früheren Versionen von Internet Explorer.

Anwendungen können auch mithilfe der CoInternetIsFeatureZoneElevationEnabled-Funktion bestimmen, ob die Navigation von einer URL zur nächsten aktiviert werden soll. Die Funktion gibt den HRESULT-Wert auf der Grundlage des Wertes der URL-Richtlinie für das URLACTION_FEATURE_ZONE_ELEVATION-Kennzeichen der URL-Aktion in der Zone der angegebenen URL zurück.

So ändern Sie die Einstellungen für die Sicherheitszone

  1. Klicken Sie in Internet Explorer auf Extras, auf Internetoptionen, und klicken Sie dann auf die Registerkarte Sicherheit.

  2. Wählen Sie die erforderliche Zone aus, und klicken Sie dann auf Stufe anpassen.

  3. Führen Sie unter Verschiedenes einen Bildlauf durch, und aktivieren Sie dann das Kontrollkästchen Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren.

Wie kann ich dieses Problem umgehen?

Wenn Sie eine lokale Datei aus den Zonen "Internet" oder "Lokales Intranet" öffnen müssen, können Sie dem HTML-Code einen Mark-of-the-Web-Kommentar (MOTW) hinzufügen. Dieses Feature von Internet Explorer zwingt Ihre HTML-Dateien, anhand der im Kommentar identifizierten URL, in eine andere Zone als "Lokaler Computer".

Wenn Sie einen Mark-of-the-Web-Kommentar in die HTML-Datei einfügen möchten, fügen Sie den folgenden Kommentar hinzu:

<!-- saved from url= <(0022)http://www.fabrikam.com>-->

Dabei ist http://www.fabrikam.com die URL der Internet- oder Intranetdomäne, die die Seite hostet, und 0022 ist die Länge der URL.

Sie können den Mark-of-the-Web-Kommentar (MOTW) für MHT-, XML- oder HTC-Dateien verwenden. Wenn Sie jedoch eine frühere Version als Internet Explorer 6 für Windows XP mit Service Pack 2 (SP2) verwenden, wird MOTW ignoriert.

Wenn Sie auf lokale Ressourcendateien wie DOC- oder XLS-Dateien zugreifen müssen, können Sie die Zonenanhebung für die Zone "Lokaler Computer" mithilfe des folgenden Registrierungsschlüssels deaktivieren:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0\2101 = 0

Was passiert, wenn ich dieses Sicherheitsfeature deaktiviere?

Böswillige Angriffe sind in erster Linie auf die Zone "Lokaler Computer" gerichtet, um so Zugang zu Zonen mit höherer Sicherheit zu erlangen. Durch das Deaktivieren dieses Features wird die Sicherheit der Zone "Lokaler Computer" geschwächt.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft