(0) exportieren Drucken
Alle erweitern

Verwaltung des ActiveX-Installationsdiensts in Windows 7

Letzte Aktualisierung: Juli 2009

Betrifft: Windows 7, Windows Server 2008 R2

Mit dem ActiveX-Installationsdienst können IT-Professionals die Bereitstellung von ActiveX-Steuerelementen anhand von Gruppenrichtlinien auf den Computern in einer Organisation verwalten. ActiveX-Steuerelemente sind selbst-registrierende COM-Objekte, mit denen die Benutzeroberfläche in Internet Explorer interaktiver gestaltet werden kann. ActiveX-Steuerelemente werden häufig in CAB-Dateien verteilt. Standardbenutzerkonten verfügen nicht standardmäßig über die Berechtigung zum Installieren von ActiveX-Steuerelementen. Mithilfe dieses Dokuments können Sie sich mit der Implementierung und Verwaltung des ActiveX-Installationsdiensts unter Windows® 7 vertraut machen.

noteHinweis
Der ActiveX-Installationsdienst ist in Windows Server® 2008 R2 nicht enthalten. Bei dem Versuch, ein ActiveX-Steuerelement im Webbrowser auf einem Computer unter Windows Server 2008 R2 zu installieren, wird ein Dialogfeld Benutzerkontensteuerung mit einer gelben Leiste und der Warnung angezeigt, dass der Herausgeber unbekannt ist.

Starten des ActiveX-Installationsdiensts

Auf Computern unter Windows 7 wird der ActiveX-Installationsdienst standardmäßig aktiviert und so konfiguriert, dass er bei einer Anforderung durch Websites gestartet werden kann, die ActiveX-Steuerelemente bereitstellen.

Konfigurieren des ActiveX-Installationsdiensts

Die vom ActiveX-Installationsdienst verwendeten Optionen und Websites werden durch Gruppenrichtlinieneinstellungen konfiguriert. Diese Einstellungen können mit der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder dem Editor für lokale Gruppenrichtlinien geändert werden. Für den ActiveX-Installationsdienst stehen zwei Richtlinieneinstellungen zur Verfügung: Genehmigte Installationsorte für ActiveX-Steuerelemente und ActiveX-Installationsrichtlinie für Sites in vertrauenswürdigen Zonen. Die Richtlinieneinstellung Genehmigte Installationsorte für ActiveX-Steuerelemente umfasst eine Liste von genehmigten Installationswebsites. Anhand dieser Liste wird vom ActiveX-Installationsdienst geprüft, ob ein ActiveX-Steuerelement installiert werden darf. Mit der Richtlinieneinstellung ActiveX-Installationsrichtlinie für Sites in vertrauenswürdigen Zonen werden die Methoden identifiziert, mit denen Vertrauenswürdige Sites-Zonen zum Installieren von ActiveX-Steuerelementen verwendet werden können. Bei dem Versuch einer Website, ein ActiveX-Steuerelement zu installieren, wird vom ActiveX-Installationsdienst überprüft, ob die URL der Website in der Liste der genehmigten Installationsorte enthalten oder Bestandteil der Zone Vertrauenswürdige Sites ist. Ist eines von beiden der Fall, wird vom ActiveX-Installationsdienst sichergestellt, ob die Website die in der Richtlinie definierten Anforderungen erfüllt. Erfüllen die Website und das ActiveX-Steuerelement alle Anforderungen der Richtlinieneinstellungen, wird das Steuerelement installiert.

ImportantWichtig
Sie müssen unter einem Konto angemeldet sein, das zur Gruppe Administratoren gehört, um Gruppenrichtlinieneinstellungen ändern zu können.

So konfigurieren Sie Richtlinieneinstellungen für genehmigte Installationsorte des ActiveX-Installationsdiensts

  1. Klicken Sie auf Start, geben Sie gpedit.msc im Feld Programme/Dateien durchsuchen ein, und drücken Sie die EINGABETASTE.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten auf ActiveX-Installationsdienst.

  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf Genehmigte Installationsorte für ActiveX-Steuerelemente, und klicken Sie dann auf Bearbeiten, um die Richtlinieneinstellung zu öffnen.

  5. Klicken Sie im Dialogfeld Genehmigte Installationsorte für ActiveX-Steuerelemente auf Aktiviert, und klicken Sie dann unter Optionen auf Anzeigen.

  6. Geben Sie im Dialogfeld Inhalt anzeigen im Textfeld Wertname den Namen für die URL ein, unter der Sie die Installation von ActiveX-Steuerelementen zulassen möchten ein. Geben Sie anschließend die Werte für die Einstellungen der vier Host-URLs des ActiveX-Installationsdiensts ein. Beim Hinzufügen einer ULR können Sie durch Kommas getrennte Werte angeben, die die Einstellungen für den ActiveX-Installationsdienst darstellen. Sie können vier Werte konfigurieren:

    noteHinweis
    Informationen zur Verwendung der jeweiligen Werte finden Sie im Abschnitt Beispielkonfigurationen.

  7. Wenn Sie alle URLs hinzugefügt haben, klicken Sie auf OK, um die Änderungen anzuwenden.

Konfigurieren der ActiveX-Installationsrichtlinie für die Zone "Vertrauenswürdige Sites"

Sie können der Zone Vertrauenswürdige Sites Websites hinzufügen, denen Ihr Organisation vertraut, um diesen Websites die Installation von ActiveX-Steuerelementen ohne Genehmigung durch den Administrator zu ermöglichen. Websites in der Zone Vertrauenswürdige Sites können mit Platzhalterzeichen zusammen mit einer untergeordneten Domäne angegeben werden. Angenommen, Sie fügen die Website https://*.contoso.com der Zone Vertrauenswürdige Sites hinzu und konfigurieren dann die Richtlinieneinstellung ActiveX-Installationsrichtlinie für Sites in vertrauenswürdigen Zonen. In diesem Fall können alle Websites in der Domäne contoso.com ActiveX-Steuerelemente auf Computern in der Organisation installieren. Dies kann hilfreich sein, wenn mehrere vertrauenswürdige Gesamtstrukturen in der Organisation vorhanden sind.

Wenn Sie diese Richtlinieneinstellung verwenden möchten, müssen Sie auch die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer aktivieren. Außerdem muss die Liste der vertrauenswürdigen Websites gefüllt sein, die Sie mit Gruppenrichtlinien unter Computerkonfiguration\Administrative Vorlagen\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite in der Richtlinieneinstellung Liste der Site zu Zonenzuweisungen bereitstellen.

securitySicherheit Hinweis
Wenn Sie dieses Feature verwenden, mit dem Installationen durch vertrauenswürdige Websites zugelassen werden, muss die Gruppenrichtlinieneinstellung Liste der Site zu Zonenzuweisungen mindestens einen Eintrag für die vertrauenswürdigen Websites enthalten, damit Standardbenutzer nicht willkürlich ActiveX-Steuerelemente installieren können.

Die Angabe von untergeordneten Domänen mit Platzhalterzeichen ermöglicht es einem Standardbenutzer, Programme und Anwendungen – und somit auch Schadsoftware und möglicherweise unerwünschte Software – von einen beliebigen Server in der untergeordneten Domäne aus zu installieren, der Platzhalterzeichen verwendet. Stellen Sie vor dem Aktivieren dieses Features sicher, dass alle Server der untergeordneten Domäne vollständig vertrauenswürdig sind.

So konfigurieren Sie die ActiveX-Installationsrichtlinie für Websites in der Zone "Vertrauenswürdige Sites"

  1. Klicken Sie auf Start, geben Sie gpedit.msc im Feld Programme/Dateien durchsuchen ein, und drücken Sie die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten auf ActiveX-Installationsdienst.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf ActiveX-Installationsrichtlinie für Sites in vertrauenswürdigen Zonen, und klicken Sie dann auf Bearbeiten, um die Richtlinieneinstellung zu öffnen.

  4. Klicken Sie im Dialogfeld ActiveX-Installationsrichtlinie für Sites in vertrauenswürdigen Zonen auf Aktiviert.

  5. Wählen Sie unter Optionen die Richtlinieneinstellung aus, die auf Websites in der Zone Vertrauenswürdige Sites basierend auf dem ActiveX-Steuerelement angewendet werden soll, das die Installation auszuführen versucht.

    • Wählen Sie Automatisch installieren aus, wenn die Installation automatisch ohne erforderliche Genehmigung durch den Benutzer ausgeführt werden soll.

    • Wählen Sie Benutzer zur Eingabe auffordern aus, wenn der Benutzer entscheiden soll, ob das Steuerelement installiert werden darf.

    • Wählen Sie Nicht installieren aus, wenn den Kriterien entsprechende Steuerelemente nicht installiert werden sollen.

    Sie können die Richtlinie für folgende Steuerelementtypen konfigurieren:

    • Von einem vertrauenswürdigen Herausgeber signierte ActiveX-Steuerelemente

    • Signierte ActiveX-Steuerelemente

    • Unsignierte ActiveX-Steuerelemente

  6. Wenn die Websites in der Zone Vertrauenswürdige Sites eine Serverüberprüfung (HTTPS) einschließen, können Sie die Richtlinie auch zum Steuern der Verbindung mit vertrauenswürdigen Websites bei Zertifikatfehlern konfigurieren. Alle HTTPS-Verbindungen müssen standardmäßig ein Serverzertifikat aufweisen, das alle Überprüfungskriterien erfüllt. Geben Sie nur dann Ausnahmen an, wenn Sie in Bezug auf die Echtheit der vertrauenswürdigen Website und den Grund der Fehlerbedingung absolut sicher sind.

  7. Klicken Sie auf OK, um die Änderungen anzuwenden.

Installieren von ActiveX-Steuerelementen von vertrauenswürdigen Herausgebern

Diese Einstellung beschreibt das Verhalten des Diensts beim Installieren eines ActiveX-Steuerelements, das mit einem Zertifikat im Speicher Vertrauenswürdige Herausgeber für den Computer oder das Unternehmen signiert wurde. Tabelle 1 enthält mögliche Werte für diese Einstellung.

Tabelle 1: Werte zum Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen

Wert Beschreibung

0

ActiveX-Steuerelemente mit vertrauenswürdigen Signaturen dürfen vom Benutzer nicht installiert werden.

1

Fordert den Benutzer vor dem Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen zum Bestätigen auf.

2

Installiert ActiveX-Steuerelemente mit vertrauenswürdigen Signaturen, ohne den Benutzer zu benachrichtigen. Dies ist der Standardwert.

Installieren von signierten ActiveX-Steuerelementen

Diese Einstellung bestimmt das Verhalten des Diensts beim Installieren eines ActiveX-Steuerelements, das mit einem Zertifikat signiert wurde, das sich nicht im Speicher Vertrauenswürdige Herausgeber für den Computer oder das Unternehmen befindet.

Tabelle 2: Werte zum Installieren von signierten ActiveX-Steuerelementen

Wert Beschreibung

0

Signierte ActiveX-Steuerelemente dürfen vom Benutzer nicht installiert werden.

1

Fordert den Benutzer vor dem Installieren von signierten ActiveX-Steuerelementen zum Bestätigen auf. Dies ist der Standardwert.

2

Installiert signierte ActiveX-Steuerelemente, ohne den Benutzer zu benachrichtigen.

Installieren von unsignierten ActiveX-Steuerelementen

Diese Einstellung bestimmt das Verhalten des Diensts beim Installieren eines unsignierten ActiveX-Steuerelements. Tabelle 3 enthält mögliche Werte für diese Einstellung.

Tabelle 3: Werte zum Installieren von unsignierten ActiveX-Steuerelementen

Wert Beschreibung

0

Unsignierte ActiveX-Steuerelemente dürfen vom Benutzer nicht installiert werden. Dies ist der Standardwert.

1

Installiert unsignierte ActiveX-Steuerelemente, ohne den Benutzer zu benachrichtigen.

HTTPS-Fehlerausnahmen

Dieser Wert steuert, wie Fehler vom ActiveX-Installationsdienst behandelt werden, die in einer HTTPS-Verbindung erkannt werden. Standardmäßig wird vom ActiveX-Installationsdienst bei erkannten Fehlern die Installation eines ActiveX-Steuerelements nicht zugelassen.

Tabelle 4: Werte für HTTPS-Fehlerausnahmen

Wert Beschreibung

0

Gibt an, dass die Verbindung erfolgreich überprüft werden muss.

0x00000100

Gibt an, dass der ActiveX-Installationsdienst Fehler ignorieren soll, die durch unbekannte Zertifizierungsstellen hervorgerufen werden.

0x00001000

Gibt an, dass der ActiveX-Installationsdienst Fehler ignorieren soll, die durch ungültige gemeinsame Namen hervorgerufen werden. Ein gemeinsamer Name ist ein Namensattribut, aus dem ein definierter Name (Distinguished Name, DN) gebildet wird.

0x00002000

Gibt an, dass der ActiveX-Installationsdienst Fehler ignorieren soll, die durch das Datum eines Zertifikats hervorgerufen werden.

0x00000200

Gibt an, dass der ActiveX-Installationsdienst Fehler ignorieren soll, die durch falsche Zertifikatsverwendung hervorgerufen werden.

noteHinweis
Sie können das ODER-Zeichen (|) verwenden, um mehrere Fehlerausnahmen für den ActiveX-Installationsdienst anzugeben.

Beispielkonfigurationen

Die folgenden Beispielkonfigurationen veranschaulichen, wie Sie den ActiveX-Installationsdienst konfigurieren können. Diese Beispielkonfigurationen stellen jedoch keine Empfehlungen dar.

Standardeinstellungen

Wenn Sie keine Werte angeben, erzwingt der ActiveX-Installationsdienst die Standardwerte. Die Standardwerte lauten 2, 1, 0 und 0. Bei diesen Einstellungen verhält sich der ActiveX-Installationsdienst wie folgt:

  • Die Installation von unsignierten ActiveX-Steuerelementen wird verhindert.

  • Der Benutzer wird aufgefordert, die Installation eines signierten ActiveX-Steuerelements zu genehmigen.

  • Es werden automatisch ActiveX-Steuerelemente installiert, die mit einem Zertifikat aus dem Speicher Vertrauenswürdige Herausgeber signiert wurden, ohne den Benutzer zu einer Bestätigung aufzufordern.

Einstellungen für hohe Sicherheit

Die Konfiguration des ActiveX-Installationsdiensts ist am sichersten, wenn der Administrator den Dienst folgendermaßen konfiguriert:

  • Eine HTTPS-Website wird als Host-URL verwendet.

  • Nur ActiveX-Steuerelemente dürfen installiert werden, die mit einem Zertifikat aus dem Speicher Vertrauenswürdige Herausgeber signiert wurden.

Die Werte für diese Konfiguration lauten 2, 0, 0 und 0.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft