(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Sperrung der Zone des lokalen Computers in Internet Explorer

Letzte Aktualisierung: Januar 2009

Betrifft: Windows Server 2003 with SP1

noteHinweis
Die verstärkte Sicherheitskonfiguration für Internet Explorer von Microsoft® Windows Server 2003 verringert die Anfälligkeit eines Servers gegenüber Angriffen aus Webinhalten, indem auf Ressourcen in der Internetsicherheitszone restriktivere Internet Explorer-Sicherheitseinstellungen angewendet werden, die Skripts, ActiveX-Komponenten und Dateidownloads deaktivieren. Viele der in der neuesten Version von Internet Explorer enthaltenen Sicherheitsverbesserungen werden daher in Windows Server 2003 Service Pack 1 nicht in vollem Umfang zum Tragen kommen. So werden beispielsweise die neue Benachrichtigungsleiste von Internet Explorer und die Popupblockerfunktionen nur dann verwendet, wenn die Site sich in einer Zone befindet, deren Sicherheitseinstellung die Verwendung von Skripts zulässt. Wenn Sie auf Ihrem Server die verstärkte Sicherheitskonfiguration nicht verwenden, werden diese Funktionen wie in Windows XP Service Pack 2 verwendet.

Welche Funktion hat die Sperrung der Zone des lokalen Computers?

Wenn Internet Explorer eine Webseite öffnet, werden anhand der Sicherheitszone von Internet Explorer Einschränkungen für die Verwendungsmöglichkeiten der Seite festgelegt. Es gibt mehrere mögliche Sicherheitszonen mit verschiedenen Einschränkungen. Die Sicherheitszone hängt davon ab, woher eine Seite stammt. Beispielsweise werden Seiten im Internet normalerweise der Internetsicherheitszone mit einer höheren Einschränkung zugeordnet. Bestimmte Operationen sind für diese Seiten nicht zulässig, wie z. B. der Zugriff auf das lokale Festplattenlaufwerk. Seiten im Firmennetzwerk werden normalerweise der Intranetsicherheitszone zugeordnet und weisen weniger Einschränkungen auf. Die jeweiligen Einschränkungen für die meisten dieser Zonen kann der Benutzer über Internetoptionen im Menü Extras konfigurieren.

Vor Windows XP Service Pack 2 wurden die Inhalte im lokalen Dateisystem neben den von Internet Explorer zwischengespeicherten Inhalten als sicher betrachtet und der Sicherheitszone Lokaler Computer zugewiesen. In dieser Sicherheitszone dürfen Inhalte in Internet Explorer gewöhnlich mit relativ wenigen Einschränkungen ausgeführt werden. Angreifer versuchen jedoch oft mithilfe der Zone Lokaler Computer die Berechtigungen anzuheben und gefährden so die Sicherheit des Computers.

Viele Sicherheitsrisiken im Zusammenhang mit der Zone des lokalen Computers wurden durch andere Änderungen an Internet Explorer in Windows XP SP2 abgeschwächt. Diese Änderungen wurden in Internet Explorer in Windows Server 2003 Service Pack 1 integriert. Angreifer finden jedoch möglicherweise trotzdem Wege, um die Sicherheit der Zone des lokalen Computers zu gefährden. Zurzeit bietet Internet Explorer einen höheren Schutz, indem die Zone des lokalen Computers standardmäßig gesperrt wird. Lokale HTML-Dateien, die in anderen Anwendungen gehostet werden, werden mit den weniger restriktiven früheren Standardeinstellungen der Zone des lokalen Computers ausgeführt, sofern die jeweilige Anwendung nicht die Sperrung der Zone des lokalen Computers verwendet.

Administratoren können mithilfe von Gruppenrichtlinien die Sperrung der Zone des lokalen Computers verwalten und auf einfachere Weise auf Computergruppen anwenden.

Für wen ist diese Funktion gedacht?

Alle Anwendungsentwickler sollten mit dieser Funktion vertraut sein. Anwendungen, die lokale HTML-Dateien in Internet Explorer hosten, sind möglicherweise betroffen. Entwickler von eigenständigen Anwendungen, die Internet Explorer hosten, sollten ihre Anwendungen ändern und die Sperrung der Zone des lokalen Computers verwenden.

Standardmäßig ist die Sperrung der Zone des lokalen Computers nur für Internet Explorer aktiviert. Entwickler müssen ihre Anwendungen registrieren, um die Änderungen zu nutzen. Anwendungsentwickler, die dies nicht verwenden, sollten ihre Anwendungen auf Angriffsmöglichkeiten über die Zone des lokalen Computers hin überprüfen.

Softwareentwickler mit Anwendungen, die Internet Explorer hosten, sollten diese Funktion verwenden, indem Sie wie weiter unten in diesem Dokument beschrieben den Prozessnamen der Registrierung hinzufügen. In Zukunft wird Microsoft diese Funktion möglicherweise so implementieren, dass sie standardmäßig aktiviert ist. Anwendungen, die Internet Explorer hosten, sollten getestet werden, um deren ordnungsgemäße Funktionsweise sicherzustellen, wenn die Sperrung der Zone des lokalen Computers für den Prozess aktiviert ist.

Netzwerkadministratoren verwenden möglicherweise lokale Skripts, die von diesen Einschränkungen betroffen sind. Die Administratoren sollten die verfügbaren Lösungen überprüfen, sodass durch ihre lokalen Skripts die Sicherheit der Clientcomputer ihrer Benutzer nicht gefährdet wird.

Entwickler von Websites, die im Internet oder im lokalen Intranet gehostet werden, sollten von den Änderungen an der Zone Lokaler Computer nicht betroffen sein. Es sei denn, die Dateien werden bei der Entwicklung vom lokalen Computer geladen.

Für Benutzer könnte es Beeinträchtigungen durch Anwendungen geben, die nicht mit diesen strengeren Einschränkungen kompatibel sind.

Welche vorhandene Funktionalität ändert sich in Windows Server 2003 Service Pack 1?

Änderungen an den Sicherheitseinstellungen für die Zone des lokalen Computers

Detaillierte Beschreibung

Die Zone des lokalen Computers ist jetzt stärker eingeschränkt als die Internetzone. Jedes Mal, wenn für diese Inhalte eine der folgenden Aktionen ausgeführt wird, wird in Internet Explorer die Informationsleiste mit folgender Meldung angezeigt:

Das Anzeigen aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen eingeschränkt. Klicken Sie hier, um Optionen anzuzeigen…

Der Benutzer kann auf die Informationsleiste klicken, um die Sperrung für eingeschränkte Inhalte zu entfernen.

Die Sicherheitseinstellungen, die die Berechtigungen für Inhalte steuern, die in der Zone des lokalen Computers ausgeführt werden, werden als URL-Aktionen bezeichnet. Wenn die Sperrung der Zone des lokalen Computers auf einen Prozess angewendet wird, wird das Verhalten von URL-Aktionen von der vorherigen Einstellung für die Zone des lokalen Computers von Aktiviert in Deaktiviert geändert. Deshalb werden Skripts und ActiveX-Steuerelemente nicht ausgeführt. Es gibt die folgenden geänderten Standard-URL-Aktionen:

  • URLACTION _SCRIPT_RUN

  • URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX

  • URLACTION_ACTIVEX_RUN

  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (auf Eingabeaufforderung, nicht Deaktiviert)

  • URLACTION_CLIENT_CERT_PROMPT

  • URLACTION_BEHAVIOR_RUN

  • URLACTION_JAVA_PERMISSIONS

  • URLACTION_BEHAVIOR_RUN (auf Vom Administrator genehmigt, nicht Deaktiviert)

  • URLACTION_FEATURE_MIME_SNIFFING

  • URLACTION_FEATURE_WINDOWS_RESTRICTIONS

  • URLACTION_AUTOMATIC_DOWNLOAD_UI

  • URLACTION_AUTOMATIC_ACTIVEX_UI

noteHinweis
URLACTION_FEATURE_ZONE_ELEVATION ist auf Deaktiviert in der Zone des lokalen Computers mit oder ohne diese Funktion eingestellt.

Für die Sperrung der Zone des lokalen Computers werden diese Einstellungen in einem separaten Registrierungsschlüssel gespeichert:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

Die standardmäßigen URL-Aktionseinstellungen für die Zone des lokalen Computers finden Sie unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Warum ist diese Änderung wichtig?

Durch diese Änderung wird verhindert, dass für Inhalte auf dem Computer eines Benutzers die Berechtigungen angehoben werden. Code mit einer angehobenen Berechtigung kann dann jeden Code über ein ActiveX-Steuerelement ausführen oder Informationen mit einem Skript lesen.

Worin bestehen die funktionalen Unterschiede?

Wenn für eine Webseite einer der weiter oben aufgeführten eingeschränkten Inhaltstypen verwendet wird, zeigt Internet Explorer wie bereits erwähnt die Informationsleiste an.

HTML-Dateien, die im res:-Protokoll auf dem lokalen Computer gehostet werden, werden automatisch unter diesen Sicherheitseinstellungen für die Internetzone ausgeführt. Weitere Informationen zu den Möglichkeiten, die diese Vorlagen bieten, finden Sie in der Einführung in URL-Sicherheitszonen auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=26003 (möglicherweise in englischer Sprache).

Wie kann ich diese Probleme beseitigen?

Sie können das Ausführen von ActiveX und Skripts auf Webseiten, die von einer CD gestartet werden, immer zulassen, indem Sie auf Ja klicken, wenn die folgende Meldung angezeigt wird:

Aktive Inhalte können auf dem Computer Schaden anrichten bzw. persönliche Informationen offen legen. Sind Sie sicher, dass Sie die Ausführung aktiver Inhalte auf CDs zulassen möchten?

Wenn für Ihre Webseite ActiveX oder Skripts ausgeführt werden müssen, können Sie einen Kommentar zur Webmarkierung im HTML-Code hinzufügen. Mit dieser Funktion von Internet Explorer können die HTML-Dateien einer anderen als der Zone des lokalen Computers zugeordnet werden. Dadurch können Sie das Skript oder den ActiveX-Code basierend auf der Sicherheitsvorlage ausführen, die auf den im Kommentar angegebenen URL angewendet würde. Wenn beispielsweise der URL www.contoso.com angegeben wurde und dieser URL in Ihrer Liste der vertrauenswürdigen Sites vorhanden ist, würde die Seite die Sicherheitsvorlage für die Zone der vertrauenswürdigen Sites verwenden. Diese Einstellung kann in Internet Explorer 4 und höher verwendet werden. Zum Einfügen eines Kommentars zur Webmarkierung in Ihrer HTML-Datei fügen Sie einen der folgenden Kommentare hinzu:

<!-- saved from url= (0022)http://www.example.com -->

Verwenden Sie diesen Kommentar, wenn Sie eine Webmarkierung auf einer Seite einfügen, deren Domäne identifiziert ist, und ersetzen Sie http://www.example.com durch den URL der Internet- oder Intranetdomäne, von der die Seite gehostet wird. Schließen Sie die Länge des URLs für die Webmarkierung in Klammern vor dem URL ein, also beispielsweise (0022).

Wenn die Webseite immer als Bestandteil der Internetzone behandelt werden soll, können Sie die folgende Webmarkierung verwenden:

<!-- saved from url=(0014)about:internet -->

Verwenden Sie diesen Kommentar, wenn Sie eine allgemeine Webmarkierung einfügen müssen. Der Abschnitt about:internet platziert die Seite in der Internetzone.

Mit Windows Server 2003 Service Pack 1 und Windows XP Service Pack 2 kann dieser HTML-Kommentar auch für MHT-Dateien verwendet werden, die auch als mehrteilige HTML- oder XML-Dateien bezeichnet werden. Die Webmarkierung wird für MHT- oder XML-Dateien aus früheren Internet Explorer-Versionen nicht berücksichtigt.

Darüber hinaus können Sie eine separate Anwendung erstellen, die die HTML-Inhalte im Web Object Control (WebOC) von Internet Explorer hostet. Die HTML-Inhalte sind dann nicht mehr an dieselben Regeln gebunden, die für in Internet Explorer ausgeführte Inhalte gelten. Wenn die HTML-Inhalte im anderen Prozess ausgeführt werden, sind dafür vollständige Rechte möglich, abhängig von der Definition des Entwicklers oder den Zonenrichtlinien für diesen Prozess.

Eine einfache Möglichkeit ist das Speichern der Inhalte als HTA-Datei (HTML-Anwendung) und das erneute Ausführen der Datei in der Zone des lokalen Computers. Eine HTA-Datei wird in einem anderen Prozess gehostet und ist deshalb nicht von dieser Abschwächung betroffen. HTA-Dateien werden jedoch mit vollständigen Berechtigungen ausgeführt. Deshalb sollte Code, der für diese Zweck nicht vertrauenswürdig ist, nicht auf diese Weise ausgeführt werden.

Muss ich den Code ändern, um mit Windows Server 2003 Service Pack 1 zu arbeiten?

Entwickler sollten ihre Anwendungen testen und die Sperrung aktivieren, um die Sicherheit zu optimieren. Entwickler von eigenständigen Anwendungen sollten diese Änderungen in ihren Anwendungen übernehmen, die Internet Explorer hosten.

Entwickler von ActiveX-Steuerelementen, die früher höhere Berechtigungen in der Zone des lokalen Computers zugelassen haben, sollten die Steuerelemente nicht ändern, um höhere Berechtigungen in einer anderen Zone zuzulassen. Stattdessen sollten diese Steuerelemente konvertiert werden, damit sie nur von einer HTML-Anwendung (HTA-Datei) oder einer eigenständigen Anwendung außerhalb der Sperrung der Zone des lokalen Computers ausgeführt werden.

Standardmäßig ist die Sperrung der Zone des lokalen Computers für andere als Internet Explorer-Prozesse nicht aktiviert. Entwickler müssen ihre Anwendungen explizit registrieren, um die Änderungen zu nutzen. Anwendungsentwickler, die dies nicht verwenden, sollten ihre Anwendungen auf Angriffsmöglichkeiten über die Zone des lokalen Computers hin überprüfen. Wechseln Sie zum folgenden Registrierungsschlüssel, um die Sperrung der Zone des lokalen Computers für Ihre Anwendung zu aktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Fügen Sie zu diesem Schlüssel einen REG_DWORD-Wert für die Anwendung hinzu (beispielsweise MeineAnwendung.exe), und legen Sie ihn auf 1 fest. Alle anderen Einstellungen für diesen Wert deaktivieren die Sperrung der Zone des lokalen Computers für die Anwendung.

Wählen Sie den folgenden Registrierungsschlüssel und -wert, um die Anwendung der Sperrung der Zone des lokalen Computers auf von einer CD gestarteten Webseiten zu steuern:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

Wird dieser Wert auf 1 eingestellt, wird die Funktion für Webseiten deaktiviert, die von einer CD auf dem Computer des Benutzers gestartet wurden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft