(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Sicherheitseinstellungen von Internet Explorer für die URL-Aktion und erweiterte Sicherheitseinstellungen in Gruppenrichtlinien

Betrifft: Windows Server 2003 with SP1

noteHinweis
Die verstärkte Sicherheitskonfiguration für Internet Explorer von Microsoft® Windows Server 2003 verringert die Anfälligkeit eines Servers gegenüber Angriffen aus Webinhalten, indem auf Ressourcen in der Internetsicherheitszone restriktivere Internet Explorer-Sicherheitseinstellungen angewendet werden, die Skripts, ActiveX-Komponenten und Dateidownloads deaktivieren. Viele der in der neuesten Version von Internet Explorer enthaltenen Sicherheitsverbesserungen werden daher in Windows Server 2003 Service Pack 1 nicht in vollem Umfang zum Tragen kommen. So werden beispielsweise die neue Benachrichtigungsleiste von Internet Explorer und die Popupblockerfunktionen nur dann verwendet, wenn die Site sich in einer Zone befindet, deren Sicherheitseinstellung die Verwendung von Skripts zulässt. Wenn Sie auf Ihrem Server die verstärkte Sicherheitskonfiguration nicht verwenden, werden diese Funktionen wie in Windows XP Service Pack 2 verwendet.

Welche Funktion haben die Einstellungen von Internet Explorer in Gruppenrichtlinien?

In Windows XP Service Pack 2 enthielt die Registerkarte Sicherheit von Internet Explorer erstmals echte Richtlinien für die konfigurierbaren Aktionen. Zusätzlich zum Einbetten dieser Richtlinien in Internet Explorer in Windows Server 2003 Service Pack 1 wurden weitere Richtlinien für ausgewählte konfigurierbare Aktionen in der Registerkarte Erweitert von Internet Explorer sowie für URL-Aktionsrichtlinien in gesperrten Zonen erstellt, die nur von der Sicherheitsfunktion Netzwerkprotokollsperrung verwendet werden. In der vorliegenden Version werden diese Sicherheitseinstellungen mithilfe der Gruppenrichtlinienkonsole verwaltet und können anschließend nur von einem Gruppenrichtlinienobjekt oder einem Administrator geändert werden.

Die aktualisierte Datei Inetres.adm enthält als Richtlinien eine Liste mit Einstellungen, einschließlich erweiterten Einstellungen, die auf der Benutzeroberfläche von Internet Explorer als Voreinstellungen vorhanden sind. Administratoren können die neuen Funktionssteuerungsrichtlinien mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) verwalten. Wenn Internet Explorer installiert wird, werden die HKEY_CURRENT_USER-Standardeinstellungen für diese Einstellungen wie in früheren Versionen auf dem Computer registriert. Der Administrator muss mit der Gruppenrichtlinienkonsole diese Einstellungen als Richtlinien hinzufügen.

Für wen ist diese Funktion gedacht?

Gruppenrichtlinienadministratoren können die neuen erweiterten Einstellungsrichtlinien von Internet Explorer sowie Richtlinien für gesperrte Sicherheitszonen für die verwalteten Computer und Benutzer einheitlich konfigurieren. Der Endbenutzer muss informiert werden, welche Aktionen durch Richtlinien gesteuert werden, da diese Aktionen die Benutzervoreinstellungen überschreiben.

noteHinweis
Über Internetoptionen in der Systemsteuerung werden Richtlinieneinstellungen angezeigt, und die Benutzer können durch Interaktion mit der Benutzeroberfläche scheinbar ihre Einstellungen ändern. Diese Einstellungen überschreiben jedoch nicht wirklich Gruppenrichtlinieneinstellungen, was den Benutzer verwirren könnte. Der Administrator kann außerdem eine Richtlinie festlegen, um die Benutzeroberfläche der Seite Erweitert zu deaktivieren, damit der Benutzer eindeutig weiß, dass diese Einstellungen nicht geändert werden können. Dies gilt nicht für die Einstellungen der gesperrten Zonen, da darauf nicht über die Benutzeroberfläche zugegriffen werden kann.

Welche vorhandene Funktionalität ändert sich in Windows Server 2003 Service Pack 1?

Erweiterte Gruppenrichtlinieneinstellungen für Internet Explorer

Detaillierte Beschreibung

Die folgenden Definitionen betreffen Internet Explorer-Einstellungen für Windows Server 2003 mit Service Pack 1:

  • Sicherheitszonen: Sperrung der Zone des Intranets, Sperrung der Zone für vertrauenswürdige Sites, Sperrung der Zone des Internets und Sperrung der Zone eingeschränkter Sites.

  • Vorlagen: Standardeinstellungen für alle URL-Aktionen in einer Sicherheitszone. Vorlagen können in jeder Zone angewendet werden, und eine Reihe von Einstellungen stehen zur Auswahl, die von sehr niedriger, niedriger, mittlerer bis hin zu hoher Sicherheit für die Zone reichen.

  • URL-Aktionen: Sicherheitseinstellungen in der Registrierung zur Identifizierung der Aktion, die für diese Funktion in der Sicherheitszone, in der sich der URL befindet, ausgeführt werden soll. Zu den URL-Aktionseinstellungen gehören Aktivieren, Deaktivieren, Eingabeaufforderung usw.

  • URL-Aktionsrichtlinien: URL-Aktionsrichtlinien können einzeln hinzugefügt werden, indem die gewünschte URL-Aktionsrichtlinie aktiviert und dann die Einstellung für den Registrierungsschlüsselwert der Richtlinie ausgewählt wird. Sie können auch mit der Zonenvorlage festgelegt werden.

Internet Explorer sucht in der folgenden Reihenfolge nach Richtlinien:

  • Richtlinienstruktur HKEY_LOCAL_MACHINE

  • Richtlinienstruktur HKEY_CURRENT_USER

  • Einstellungsstruktur HKEY_CURRENT_USER

  • Einstellungsstruktur HKEY_LOCAL_MACHINE

Falls Internet Explorer eine Richtlinie in der Richtlinienstruktur HKEY_LOCAL_MACHINE findet, wird der Vorgang unterbrochen und nicht fortgesetzt. Dies ist die Einstellung, die beachtet wird. Falls Internet Explorer keine Richtlinie in der Richtlinienstruktur HKEY_LOCAL_MACHINE findet, wird in der Richtlinienstruktur HKEY_CURRENT_USER gesucht usw. Der Administrator kann Richtlinien für eine oder mehrere URL-Aktionen in einer oder mehreren Zonen festlegen und dem Endbenutzer das Verwalten von Einstellungen für URL-Aktionen ermöglichen, die keine Sicherheitsverwaltung auf Richtlinienebene erfordern.

Richtlinienwerte für "URL-Aktion"

Die neuen URL-Aktionsrichtlinien weisen dieselben numerischen Werte wie die zugehörigen Einstellungsschlüssel auf. In der folgenden Tabelle sind diese URL-Aktionen beschrieben:

 

Name des URL-Aktionsflags Sicherheitseinstellungs-UI Numerischer Name

URLACTION_DOWNLOAD_SIGNED_ACTIVEX

Download von signierten ActiveX-Steuerelementen

1001

URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX

Download von unsignierten ActiveX-Steuerelementen

1004

URLACTION_ACTIVEX_RUN

ActiveX-Steuerelemente und Plugins ausführen

1200

URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY

ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind

1201

URLACTION_SCRIPT_RUN

Active Scripting

1400

URLACTION_SCRIPT_JAVA_USE

Scripting von Java-Applets

1402

URLACTION_SCRIPT_SAFE_ACTIVEX

ActiveX-Steuerelemente ausführen, die für Scripting sicher sind

1405

URLACTION_CROSS_DOMAIN_DATA

Auf Datenquellen über Domänengrenzen hinweg zugreifen

1406

URLACTION_SCRIPT_PASTE

Einfügeoperationen über ein Skript zulassen

1407

URLACTION_HTML_SUBMIT_FORMS

Unverschlüsselte Formulardaten übermitteln

1601

URLACTION_HTML_FONT_DOWNLOAD

Schriftartdownload

1604

URLACTION_HTML_USERDATA_SAVE

Dauerhaftigkeit der Benutzerdaten

1606

URLACTION_HTML_SUBFRAME_NAVIGATE

Subframes zwischen verschiedenen Domänen bewegen

1607

URLACTION_HTML_META_REFRESH

META REFRESH zulassen

1608

URLACTION_HTML_MIXED_CONTENT

Gemischte Inhalte anzeigen

1609

URLACTION_SHELL_INSTALL_DTITEMS

Installation von Desktopobjekten

1800

URLACTION_SHELL_MOVE_OR_COPY

Ziehen und Ablegen oder Kopieren und Einfügen von Dateien

1802

URLACTION_SHELL_FILE_DOWNLOAD

Dateidownload

1803

URLACTION_SHELL_VERB

Anwendungen und Dateien in einem IFRAME starten

1804

URLACTION_SHELL_POPUPMGR

Popupblocker verwenden

1809

URLACTION_NETWORK_MIN

Anmeldung

1A00

URLACTION_CLIENT_CERT_PROMPT

Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat vorhanden ist

1A04

URLACTION_JAVA_PERMISSIONS

Java-Berechtigungen

1C00

URLACTION_CHANNEL_SOFTDIST_PERMISSIONS

Zugriffsrechte für Softwarechannel

1E05

URLACTION_BEHAVIOR_RUN

Binär- und Skriptverhalten

2000

URLACTION_MANAGED_SIGNED

Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern

2001

URLACTION_MANAGED_UNSIGNED

Nicht mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern

2004

URLACTION_FEATURE_MIME_SNIFFING

Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen

2100

URLACTION_FEATURE_ZONE_ELEVATION

Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren

2101

URLACTION_FEATURE_WINDOW_RESTRICTIONS

Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen

2102

URLACTION_AUTOMATIC_DOWNLOAD_UI

Automatische Eingabeaufforderung für Dateidownloads

2200

URLACTION_AUTOMATIC_ACTIVEX_UI

Automatische Eingabeaufforderung für ActiveX-Steuerelemente

2201

URLACTION_ALLOW_RESTRICTEDPROTOCOLS

Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen

2300

Weitere Informationen zur Verwendung von URL-Aktionsflags finden Sie im Abschnitt zu den URL-Aktionsflags auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32776 (möglicherweise in englischer Sprache).

In der folgenden Tabelle sind die verfügbaren Einstellungen für die einzelnen URL-Aktionen beschrieben:

 

Numerischer Wert Optionen für die URL-Aktionsrichtlinieneinstellung

1001

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1004

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1200

"Vom Administrator genehmigt"=0x00010000

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1201

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1400

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1402

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1405

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1406

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1407

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1601

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1604

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1606

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

1607

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1608

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

1609

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1800

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1802

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1803

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

1804

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

1809

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

1A00

"Anonymous-Anmeldung"=0x00030000

"Automatisches Anmelden nur in der Intranetzone"=0x00020000

"Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort"=0x00000000

"Nach Benutzername und Kennwort fragen"=0x00010000

1A04

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

1C00

"Hohe Sicherheit"=0x00010000

"Mittlere Sicherheit"=0x00020000

"Niedrige Sicherheit"=0x00030000

"Benutzerdefiniert"=0x00800000

"Java deaktivieren"=0x00000000

1E05

"Hohe Sicherheit"=0x00010000

"Mittlere Sicherheit"=0x00020000

"Niedrige Sicherheit"=0x00030000

2000

"Aktivieren"=0x00000000

"Vom Administrator genehmigt"=0x00010000

"Deaktivieren"=0x00000003

2001

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

2004

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

2100

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

2101

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

2102

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

2200

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

2201

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

2300

"Aktivieren"=0x00000000

"Deaktivieren"=0x00000003

"Eingabeaufforderung"=0x00000001

Schlüssel für die numerische Übersetzung von URL-Richtlinieneinstellungen

Wert DWORD Einstellung

0

0x00000000

Aktivieren

1

0x00000001

Eingabeaufforderung

3

0x00000003

Deaktivieren

65536

0x00010000

Hohe Sicherheit

131072

0x00020000

Mittlere Sicherheit

196608

0x00030000

Niedrige Sicherheit

Beschreibungen der einzelnen URL-Richtlinieneinstellungen finden Sie im Abschnitt zu den URL-Aktionsflags auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32777 (möglicherweise in englischer Sprache).

Standardeinstellungen für die einzelnen URL-Aktionen in Zonen und Vorlagen

Für jede URL-Aktion gibt es einen Standardwert, der in den einzelnen Zonen und beim Anwenden einer bestimmten Vorlage festgelegt wird. Die Standardeinstellungen für die einzelnen Zonen werden in der folgenden Tabelle beschrieben:

Standardeinstellungen für die URL-Aktion

Numerischer Name der URL-Aktion Gesperrt Eingeschränkte Zone Gesperrt Internetzone Gesperrt Intranetzone Gesperrt Vertrauenswürdige Zone

1001

3

1

1

0

1004

3

3

3

3

1200

3

3

3

3

1201

3

3

3

3

1400

3

3

3

3

1402

3

0

0

0

1405

3

0

0

0

1406

3

3

1

0

1407

3

0

0

0

1601

1

1

0

0

1604

1

0

0

0

1606

3

0

0

0

1607

3

0

0

0

1608

3

0

0

0

1609

1

1

1

1

1800

3

1

1

0

1802

1

0

0

0

1803

3

0

0

0

1804

3

1

1

0

1809

0

0

3

3

1A00

65536

131072

131072

0

1A04

3

3

3

3

1C00

0

0

0

0

1E05

65536

131072

131072

196608

2000

3

65536

65536

65536

2001

3

3

3

3

2004

3

3

3

3

2100

3

3

3

3

2101

3

3

3

3

2102

3

3

3

3

2200

3

3

3

3

2201

3

3

3

3

2300

3

1

1

1

Pfade der Gruppenrichtlinieneinstellungen

Die folgenden Pfade definieren den Speicherort der verfügbaren erweiterten Einstellungen in der Gruppenrichtlinienkonsole:

  • HKEY_LOCAL_MACHINE-Richtlinien für erweiterte Einstellungen:

\Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page

  • HKEY_CURRENT_USER-Richtlinien für erweiterte Einstellungen:

\User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page

Die folgenden Pfade definieren den Speicherort der Sicherheitszoneneinstellungen in der Gruppenrichtlinienkonsole:

  • HKEY_LOCAL_MACHINE-Richtlinien nach Sicherheitszone für URL-Aktionen:

\Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page

  • HKEY_CURRENT_USER-Richtlinien nach Sicherheitszone für URL-Aktionen:

\User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page

Diese Pfade definieren den Speicherort der erweiterten Einstellungen in der Richtlinie und Voreinstellung in der Windows-Registrierung (entweder in HKEY_LOCAL_MACHINE oder in HKEY_CURRENT_USER):

 

UI für erweiterte Einstellungen Name des Einstellungschlüssels Name des Richtlinienschlüssels

Bei Bedarf installieren (Internet Explorer)

HKCU\Software\Microsoft\Internet Explorer\Main\NoJITSetup

Software\Policies\Microsoft\Internet Explorer\Main\NoJITSetup

Bei Bedarf installieren (andere)

HKCU\Software\Microsoft\Internet Explorer\Main\NoWebJITSetup

Software\Policies\Microsoft\Internet Explorer\Main\NoJITSetup

Browsererweiterungen von Drittanbietern

HKCU\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions

Software\Policies\Microsoft\Internet Explorer\Main\Enable Browser Extensions

Automatische Überprüfung auf Aktualisierungen von Internet Explorer

HKCU\Software\Microsoft\Internet Explorer\Main\NoUpdateCheck

Software\Policies\Microsoft\Internet Explorer\Main\NoUpdateCheck

Animationen in Webseiten wiedergeben

HKCU\Software\Microsoft\Internet Explorer\Main\Play_Animations

Software\Policies\Microsoft\Internet Explorer\Main\Play_Animations

Sound in Webseiten wiedergeben

HKCU\Software\Microsoft\Internet Explorer\Main\Play_Background_Sounds

Software\Policies\Microsoft\Internet Explorer\Main\Play_Background_Sounds

Videos in Webseiten wiedergeben

HKCU\Software\Microsoft\Internet Explorer\Main\Display Inline Videos

Software\Policies\Microsoft\Internet Explorer\Main\Display Inline Videos

Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist

HKCU\Software\Microsoft\Internet Explorer\Download\RunInvalidSignatures

Software\Policies\Microsoft\Internet Explorer\Download\RunInvalidSignatures

Ausführung aktiver Inhalte von CDs auf Computern zulassen

HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl \FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LocalMachine_CD_Unlock

\Software\Policies\Microsoft\Internet Explorer\Main \FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LocalMachine_CD_Unlock

Auf gesperrte Serverzertifikate überprüfen

HKCU\Software\Microsoft\Internet Explorer\Download\CertificateRevocation

Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation

Signaturen von übertragenen Programmen überprüfen

HKCU\Software\Microsoft\Internet Explorer\Main\CheckExeSignatures

Software\Policies\Microsoft\Internet Explorer\Main\CheckExeSignatures

Verschlüsselte Seiten nicht auf der Festplatte speichern

HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings\DisableCachingOfSSLPages

Software\Policies\Microsoft\Windows\CurrentVersion \InternetSettings\DisableCachingOfSSLPages

Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers

HKCU\Software\Microsoft\Internet Explorer\Cache\Persistent

Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\Cache\Persistent

Diese Pfade definieren den Speicherort der Sicherheitszoneneinstellungen in der Richtlinie und Voreinstellung in der Windows-Registrierung (entweder in HKEY_LOCAL_MACHINE oder in HKEY_CURRENT_USER):

  • Speicherort der Richtlinienwerte der für Sperrung der Zone des Intranets:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1

  • Speicherort der Richtlinienwerte für Vertrauenswürdige Sites:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2

  • Speicherort der Richtlinienwerte der für Sperrung der Zone des Internets:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3

  • Speicherort der Sperrung der Zone eingeschränkter Sites:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4

  • Speicherort der Vorlage für Sperrung der Zone des Intranets:

Software\Policies\Microsoft\Windows\CurrentVersion\Intranet Lockdown Settings

  • Speicherort der Vorlage für Vertrauenswürdige Sites:

Software\Policies\Microsoft\Windows\CurrentVersion\Trusted Sites Lockdown Settings

  • Speicherort der Vorlage für Sperrung der Zone des Internets:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Lockdown Settings

  • Speicherort der Vorlage für Sperrung der Zone eingeschränkter Sites:

Software\Policies\Microsoft\Windows\CurrentVersion\Restricted Sites Lockdown Settings

Konfigurieren von Richtlinien und Voreinstellungen

Gruppenrichtlinien werden zum Verwalten von Internet Explorer für Clientcomputer in einem Firmennetzwerk empfohlen. Internet Explorer unterstützt die Gruppenrichtlinienverwaltung für alle neuen Internet Explorer-Funktionssteuerungen in Windows Server 2003 Service Pack 1 sowie für Sicherheitsseiteneinstellungen oder URL-Aktionen. Administratoren von Gruppenrichtlinien können diese neuen Richtlinieneinstellungen in der Erweiterung Administrative Vorlagen der Gruppenrichtlinienkonsole verwalten.

Beim Implementieren von Richtlinieneinstellungen empfiehlt es sich, Vorlagenrichtlinieneinstellungen in einem Gruppenrichtlinienobjekt zu konfigurieren und zugehörige individuelle Richtlinieneinstellungen in einem separaten Gruppenrichtlinienobjekt. Mit den Funktionen der Gruppenrichtlinienverwaltung (z. B. Reihenfolge, Vererbung oder Erzwingen) können Sie individuelle Einstellungen auf bestimmte Clientcomputer anwenden.

Richtlinien können zwar von den Benutzern gelesen, aber nur von der Gruppenrichtlinienverwaltung oder einem Administrator geändert werden. Voreinstellungen können programmgesteuert, durch Bearbeiten der Registrierung oder im Fall von URL-Aktionen mithilfe von Internet Explorer geändert werden. Die mit Gruppenrichtlinien definierten Einstellungen haben Vorrang vor mit Voreinstellungen definierten Einstellungen.

Warum ist diese Änderung wichtig?

Durch Hinzufügen der neuen Richtlinien für erweiterte Einstellungen und gesperrte Sicherheitszonen zu Gruppenrichtlinien können Administratoren diese echten Richtlinien verwalten, um Standardeinstellungen für alle Computer, die sie konfigurieren, zu erstellen. Der Administrator kann diese Einstellungen so steuern, dass sie nur über Gruppenrichtlinien oder von einem Benutzer mit Administratorberechtigungen geändert werden können. Dadurch wird sichergestellt, dass bestimmte erweiterte Einstellungen nicht von Endbenutzern festgelegt werden.

Muss ich den Code ändern, um mit Windows Server 2003 Service Pack 1 zu arbeiten?

Windows Server 2003 Service Pack 1 fügt Gruppenrichtlinien neue Richtlinien hinzu, ändert jedoch die Verwaltungsart der Richtlinien nicht. Entwickler müssen darauf achten, wie die einzelnen Funktionssteuerungs- und URL-Aktionseinstellungen oder Einstellungskombinationen das sicherheitsbezogene Verhalten für die Anwendungen in den verschiedenen Sicherheitszonen beeinflussen.

Zur Optimierung der Sicherheit sollte der Administrator Richtlinien für alle Zonen aktivieren, sodass eine bekannte, mit Richtlinien festgelegte Konfiguration vorhanden ist und keine unbekannte Einstellung aus den Voreinstellungen von HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER abgerufen wird, die nicht durch Richtlinien festgelegt wurde. Wenn der Administrator Richtlinien für alle Zonen festlegt, wird empfohlen, die Richtlinie zum Deaktivieren der Seite Sicherheit zu aktivieren, wodurch die Benutzeroberfläche in Internet Explorer nicht verfügbar ist.

Funktionssteuerungsrichtlinien

Der Administrator sollte auch die Einstellungen für die Funktionssteuerungsrichtlinien kennen. Manche URL-Aktionseinstellungen sind nur gültig, wenn die entsprechenden Funktionssteuerungsrichtlinien aktiviert sind. Internet Explorer überprüft, ob die Funktion aktiviert ist. Falls dies der Fall ist, wird anhand der Sicherheitszone des URLs nach der Einstellung für die Aktion gesucht.

Zonenzuordnungsrichtlinien

Die aktuelle Methode zum Hinzufügen von Zonenzuordnungsschlüsseln zu den Richtlinien sieht folgendermaßen aus:

  1. Wählen Sie zum Festlegen der Computerrichtlinie \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite in den Gruppenrichtlinien. Wählen Sie zum Festlegen der Benutzerrichtlinie \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite in den Gruppenrichtlinien.

  2. Wählen Sie die Richtlinie Liste der Site zu Zonenzuweisungen aus.

  3. Wählen Sie Aktiviert aus, und klicken Sie auf Anzeigen...

  4. Ordnen Sie für jede Site Folgendes zu:

    1. Klicken Sie auf Hinzufügen....

    2. Geben Sie den Namen, die IP-Adresse oder den IP-Bereich der zuzuordnenden Site ein (beispielsweise http://www.contoso.com, www.contoso.com, 127.0.0.1, 127.0.0.1-10).

    3. Geben Sie den Wert zum Identifizieren der Zone ein, der die Site zugeordnet wird. Die Auswahl ist (1) Intranetzone, (2) Vertrauenswürdige Sites, (3) Internetzone oder (4) Eingeschränkte Sites.

    4. Klicken Sie auf OK.

    5. Der Sitename und Wertname werden in der Liste angezeigt.

  5. Klicken Sie im Fenster Inhalt anzeigen auf OK.

  6. Klicken Sie nochmals auf OK, und schließen Sie das Eigenschaftenfenster Liste der Site zu Zonenzuweisungen.

    noteHinweis
    Gemäß diesen Anweisungen erstellte Richtlinien werden von Computern ignoriert, auf denen die verstärkte Sicherheitskonfigurationskomponente für Internet Explorer von Microsoft® Windows Server 2003 installiert ist. Verwenden Sie zum Festlegen der Zonenzuordnungsrichtlinie auf einem Computer mit installierter verstärkter Sicherheitskonfigurationskomponente für Internet Explorer von Windows Server 2003 das Internet Explorer Maintenance (IEM)-Snap-In für Gruppenrichtlinien. Beim Erstellen eines Gruppenrichtlinienobjekts mithilfe von IEM, das auf einem Computer mit installierter verstärkter Sicherheitskonfigurationskomponente für Internet Explorer von Windows Server 2003 angewendet werden soll, muss ein Computer mit installierter verstärkter Sicherheitskonfigurationskomponente für Internet Explorer von Windows Server 2003 verwendet werden.

noteHinweis
Weitere Informationen zum Verwenden von Gruppenrichtlinien finden Sie in "Implementing Registry-based Group Policy" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=28188 (möglicherweise in englischer Sprache). Weitere Informationen zur Sicherheitszone und zu Datenschutzeinstellungen von Internet Explorer finden Sie in "Description of Internet Explorer Security Zones Registry Entries" auf der Microsoft Knowledge Base-Website unter http://go.microsoft.com/fwlink/?LinkId=28195 (möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft