(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Ereignis 1047 - Intranet auf mittlerer Integritätsebene

Veröffentlicht: Juni 2010

Letzte Aktualisierung: Juni 2010

Betrifft: Windows 7, Windows Vista

Unter Windows Vista® und neueren Betriebssystemen werden die Windows® Internet Explorer® 8-Prozesse im geschützten Modus, also mit stark eingeschränkten Berechtigungen ausgeführt. Dies trägt dazu bei, die Benutzer vor Angriffen zu schützen. Der geschützte Modus bietet zwar keinen Schutz vor allen Arten von Angriffen, doch er macht es sehr viel schwieriger, bei einem Angriff Daten auf den Benutzercomputer zu schreiben, vorhandene Daten zu ändern bzw. zu löschen oder bösartigen Code zu installieren.

Bislang, also in Internet Explorer 7, wurden Intranetwebsites mit den Berechtigungen eines nicht vertrauenswürdigen Systems angezeigt, und deshalb konnten die Seiten nur in bestimmte Speicherorte mit niedriger Integrität schreiben. Bei Internet Explorer 8 erfolgt das Browsen im Intranet auf mittlerer Integritätsebene, sodass Prozesse über Systemberechtigungen auf Benutzerebene verfügen und in benutzerspezifische Bereiche der Registrierung schreiben können.

Die meisten Internet Explorer-Sicherheitsfeatures stehen in Internet Explorer für Windows XP-Betriebssysteme zur Verfügung. Die oben erläuterte Funktion ist jedoch nur unter Windows Vista oder neueren Betriebssystemen verfügbar, da sie auf Sicherheitsfeatures basiert, die in Windows Vista neu eingeführt wurden.

Grundlegendes zum Integritätsmechanismus

Im Windows-Betriebssystem werden Prozesse und andere sicherungsfähige Objekte mit Labeln für die Integritätsebene versehen. Hierbei handelt es sich um eine Ergänzung der Zugriffssteuerung, eines Sicherheitsmechanismus von Windows. Die Integritätsebene definiert, welche netzwerkfähigen Programme höheren Risiken durch Exploits ausgesetzt sind, weil sie nicht vertrauenswürdige Inhalte von unbekannten Quellen herunterladen. Die Gefahr von Änderungen am System oder Beschädigungen an Benutzerdatendateien durch Exploits lässt sich dadurch verringern, dass Programme, bei denen ein erhöhtes Risiko besteht, mit stärker eingeschränkten Berechtigungen bzw. auf einer niedrigeren Integritätsebene als andere Programme ausgeführt werden.

Im geschützten Modus wird der Internet Explorer-Prozess mithilfe des Integritätsmechanismus von Windows Vista auf niedriger Integritätsebene ausgeführt. Der Integritätsmechanismus weist die folgenden Hauptfunktionen auf:

  • Sicherungsfähige Objekte wie Dateien und Registrierungsschlüssel enthalten Sicherheitsbeschreibungen. Diese definieren die für den Schreibzugriff auf das Objekt erforderliche Integritätsebene bzw. Berechtigungsebene. Die Integritätsebene wird durch einen neuen obligatorischen Zugriffssteuerungseintrag (Access Control Entry, ACE) in der Systemzugriffssteuerungsliste (System Access Control List, SACL), ein so genanntes verbindliches Label, definiert. Für Objekte ohne verbindliche Label gilt standardmäßig die mittlere Integritätsebene.

  • Die Integritätsebene von Prozessen ist im Sicherheitszugriffstoken definiert. Im geschützten Modus gilt für Internet Explorer die niedrige Integritätsebene, für Anwendungen, die über das Menü Start gestartet werden, gilt die mittlere Integritätsebene, und Anwendungen, für die Administratorrechte erforderlich sind, werden auf hoher Integritätsebene ausgeführt.

  • Prozesse mit niedriger Integrität erhalten keinen Schreibzugriff auf Objekte auf einer höheren Integritätsebene. Dies gilt selbst dann, wenn die Sicherheits-ID (SID) des Benutzers in der besitzerverwalteten Zugriffssteuerungsliste (Discretionary Access Control List, DACL) über Schreibzugriff verfügt. Das Windows-Betriebssystem überprüft die Integritätsebene vor den Benutzerzugriffsberechtigungen.

Für alle Dateien und Registrierungsschlüssel in den Windows-Betriebssystemversionen nach Windows Vista gilt standardmäßig die mittlere Integritätsebene. Wenn ein Prozess mit niedriger Integrität, wie z. B. Internet Explorer im geschützten Modus, versucht, vorhandene Dateien zu ändern, wird der Zugriff verweigert, und es kommt zu einem entsprechenden Fehler.

Manche Ordner weisen ein verbindliches Label für niedrige Integrität auf. In Ordnern mit niedriger Integrität kann ein Prozess mit niedriger Integrität Dateien erstellen und ändern. Der Ordner Temporary Internet Files enthält beispielsweise einen Ordner mit dem Namen Low. Hierbei handelt es sich um einen Ordner mit niedriger Integrität. Außerdem weist der Integritätsmechanismus sicherungsfähigen Objekten, Dateien sowie anderen von Prozessen mit niedriger Integrität erstellten Objekten automatisch verbindliche Label für niedrige Integrität zu. Standardmäßig werden untergeordnete Prozesse, die von einem Prozess mit niedriger Integrität gestartet werden, ebenfalls auf niedriger Integritätsebene ausgeführt.

In der folgenden Tabelle sind die unterstützten Integritätsebenen und die damit verbundenen Berechtigungen aufgeführt.

 

Integritätsebene (IL) Systemberechtigungen

Hoch

Administrativ. Der Prozess kann Dateien im Ordner Programme installieren und in sicherheitsrelevante Registrierungsbereiche wie HKEY_LOCAL_MACHINE schreiben.

Mittel

Benutzer. Der Prozess kann Dateien im Ordner Dokumente des Benutzers erstellen und ändern und in benutzerspezifische Bereiche der Registrierung wie HKEY_CURRENT_USER schreiben.

Niedrig

Nicht vertrauenswürdig. Der Prozess kann lediglich an Speicherorte mit niedriger Integritäts schreiben, wie z. B. in den Ordner Temporary Internet Files\Low oder den Registrierungsschlüssel HKEY_CURRENT_USER\Software\LowRegistry.

Wann wird dieses Ereignis protokolliert?

Das Ereignis wird protokolliert, wenn ein Benutzer auf einer Intranetwebseite auf einen Link klickt, der zu einer Internetwebseite führt.

noteHinweis
Weitere Informationen und Beispiele finden Sie im Thema Ereignis 1047 - Intranet auf mittlerer Integritätsebene (möglicherweise in englischer Sprache) unter Anwendungskompatibilität bei Internet Explorer (möglicherweise in englischer Sprache).

Wartungsmaßnahmen

Sie können dieses Sicherheitsfeature deaktivieren, indem Sie in der Registrierung die folgenden benannten Werte setzen:

  • HKEY_LOCAL_MACHINE (or HKEY_CURRENT_USER)\SOFTWARE\Microsoft\Internet Explorer\Main\PPT (dword)=0 or 1

  • HKEY_LOCAL_MACHINE (or HKEY_CURRENT_USER)\SOFTWARE\Microsoft\Internet Explorer\Main\TabProcGrowth=0 or 1

Wenn Sie PPT (dword) auf 0 setzen, wird die Ausführung von Internet Explorer mit niedrigen Rechten (Low Rights Internet Explorer, LoRIE) bzw. der geschützte Modus deaktiviert, und Registerkartenprozesse werden auf mittlerer Integritätsebene ausgeführt. Wenn Sie außerdem TabProcGrowth auf 0 setzen, gilt im Rahmen der obligatorischen Integritätskontrolle (Mandatory Integrity Control, MIC) für Internet Explorer die mittlere Integrität für einzelne Prozesse, und Frames und Registerkarten werden in einem Prozess ausgeführt.

Was geschieht, wenn dieses Feature deaktiviert wird?

Wenn Sie dieses Sicherheitsfeature deaktivieren, steigt das Risiko durch Angriffe unter Ausnutzung der Integritätsebene. Deaktivieren Sie das Feature nur zeitweilig bei der Problembehandlung, damit Sie das Verhalten von Anwendungen bei aktiviertem und deaktiviertem Feature vergleichen können. Es empfiehlt sich nicht, das Feature längere Zeit deaktiviert zu lassen.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft