(0) exportieren Drucken
Alle erweitern

Einführung der Internet Explorer 8.0-Sicherheit

Letzte Aktualisierung: Juni 2009

Betrifft: Windows 7

In diesem Thema zur Produktbewertung für IT-Professionals werden die Sicherheitsverbesserungen in Windows Internet Explorer 8 beschrieben, die gegen Folgendes Schutz bieten:

  • Browserbasierte Exploits

  • Sicherheitsrisiken bei Webservern

  • Social Engineering-Angriffe

Die Option der verstärkten Sicherheitskonfiguration wurde für Internet Explorer 8 in Serverbetriebssystemen ebenfalls verbessert.

Änderungen bei der Sicherheit in Internet Explorer 8

Sicherheitsrisiken bei Browsern und Add-Ons

  • DEP/NX-Speicherschutz Datenausführungsverhinderung (Data Execution Prevention, DEP) oder No-Execute (NX) hilft bei der Abwehr von Angriffen, indem das Ausführen von als nicht ausführbar gekennzeichnetem Code im Arbeitsspeicher verhindert wird. Wird DEP/NX in Kombination mit anderen Technologien wie z. B. Address Space Layout Randomization (ASLR) verwendet, wird es Angreifern erschwert, bestimmte mit dem Speicher verbundene Sicherheitsrisiken wie z. B. Pufferüberläufe auszunutzen. Der Schutz gilt sowohl für Internet Explorer 8 als auch für die geladenen Add-Ons. Es ist keine weitere Benutzerinteraktion erforderlich, um diesen Schutz bereitzustellen, und es wurden keine neuen Eingabeaufforderungen eingeführt.

  • ActiveX Bei der Behandlung von ActiveX-Steuerelementen durch Internet Explorer 8 wurden zwei Änderungen vorgenommen:

    • ActiveX pro Site Bei ActiveX pro Site handelt es sich um einen Abwehrmechanismus, um das böswillige Zuweisen eines neuen Zwecks zu Steuerelementen zu verhindern. Wenn ein Benutzer zu einer Website mit einem ActiveX-Steuerelement wechselt, führt Internet Explorer 8 eine Reihe von Überprüfungen durch, wobei bestimmt wird, wo die Ausführung eines Steuerelements zulässig ist. Falls ein Steuerelement zwar installiert ist, auf einer bestimmten Website jedoch nicht ausgeführt werden darf, wird auf der Informationsleiste eine Meldung angezeigt, in der der Benutzer gefragt wird, ob die Ausführung des Steuerelements auf der aktuellen Website zugelassen werden soll. IT-Professionals, die Clientcomputer verwalten, auf denen Internet Explorer 8 ausgeführt wird, können zulässige Steuerelemente und ihre verbundenen Domänen festlegen. Diese Einstellungen können mithilfe von Gruppenrichtlinie konfiguriert werden.

    • ActiveX pro Benutzer Standardbenutzer können ActiveX-Steuerelemente in ihrem eigenen Benutzerprofil installieren, ohne dass hierzu Administratorrechte erforderlich sind. Dank dieser Verbesserung können Standardbenutzer ActiveX-Steuerelemente installieren, die in ihren tagtäglichen Browservorgängen vorkommen. Darüber hinaus gilt Folgendes: Wenn ein Benutzer ein bösartiges ActiveX-Steuerelement installiert, ist das Gesamtsystem davon nicht betroffen, da das Steuerelement nur unter dem Konto des Benutzers installiert wurde. IT-Professionals, die Clientcomputer verwalten, auf denen Internet Explorer 8 ausgeführt wird, können diese Funktionalität mithilfe von Gruppenrichtlinie aktivieren oder deaktivieren.

  • Geschützter Modus Mit dem geschützten Modus, der in Internet Explorer 7 eingeführt wurde, können Sie den Schweregrad von Bedrohungen für Internet Explorer und in Internet Explorer ausgeführte Erweiterungen verringern, indem Sie die Installation von bösartigem Code verhindern. Anders als Internet Explorer 7 kann Internet Explorer 8 sowohl Registerkarten im geschützten Modus als auch im nicht geschützten Modus innerhalb desselben Browserfensters hosten. Für verbesserte Leistung und Anwendungskompatibilität wird der geschützte Modus von Internet Explorer 8 in der Zone Lokales Intranet deaktiviert. Benutzer von Internet Explorer 8 und Domänenadministratoren können den geschützten Modus für die Zone Lokales Intranet aktivieren.

  • Eingabeaufforderung für Anwendungsprotokolle Mithilfe von Anwendungsprotokollhandlern können Nicht-Microsoft-Anwendungen, z. B. Streaming Media Player und Internettelefonieanwendungen, innerhalb des Browsers gestartet werden. Dadurch kann die Gefährdung durch Angriffe erhöht werden. Zur Sicherstellung, dass Benutzer ihr Browserverhalten weiterhin steuern können, wird in Internet Explorer 8 nun eine Eingabeaufforderung angezeigt, bevor Anwendungsprotokolle gestartet werden.

  • Steuerung des Dateiuploads Zum Blockieren von Angriffen, die auf das Stehlen von Tastatureingaben zum Täuschen des Benutzers basieren, sodass ein lokaler Dateipfad in das Steuerelement eingegeben wird, ist das Dialogfeld Dateipfad nun schreibeschützt. Der Benutzer muss explizit eine Datei zum Upload auswählen, indem das Dialogfeld Dateibrowser verwendet wird, und dann wird von Internet Explorer 8 nur der Dateiname übermittelt, nicht der vollständige Pfad. Die Sicherheitseinstellung Lokalen Verzeichnispfad beim Hochladen von Dateien auf den Server einbeziehen ist standardmäßig für die Zone Internet deaktiviert.

Verbesserungen bei der Sicherheit von Webanwendungen

  • Siteübergreifende Skripts In Internet Explorer 8 wird ein siteübergreifender Skriptfilter eingeführt, der das Ausnutzen von siteübergreifenden Typ-1-Skriptschwachstellen, auch als nicht beständige oder reflektierte Sicherheitsrisiken bezeichnet, erschwert. Siteübergreifende Typ-1-Skriptschwachstellen stellen einen immer größeren Anteil an den insgesamt gemeldeten Sicherheitsrisiken dar und werden immer häufiger ausgenutzt. Der siteübergreifende Skriptfilter kann ein potenziell bösartiges siteübergreifendes Skript identifizieren und den Angriff abwehren, indem die Ausführung des Skripts blockiert wird, sodass es nicht auf den Server reflektiert wird und der Angriff auf dem Clientcomputer beendet wird. Auf der Informationsleiste wird dem Benutzer eine Benachrichtigung angezeigt.

  • Siteübergreifende Datenaggregation Das XDR-Objekt (XDomainRequest) in Internet Explorer 8 führt eine domänenübergreifende Datenanforderung innerhalb des Browsers anstatt eine Server-zu-Server-Anforderung aus. Domänenübergreifende Anforderungen erfordern die beiderseitige Zustimmung zwischen der Webseite und dem Server. Zudem ist es erforderlich, dass die Website XDR unterstützt und die Daten domänenübergreifend zur Verfügung stellt. Das XDR-Objekt ist in das Entwurfsframework zur clientseitigen, domänenübergreifenden Kommunikation der Web Application Working Group des World Wide Web Consortium (W3C) integriert.

    In Internet Explorer 8 wird zudem die Unterstützung für dokumentübergreifendes Messaging (auch als postMessage bekannt) eingeführt, mit dessen Hilfe eine sichere Kommunikation von IFRAME-Elementen möglich ist, während die DOM-Isolierung (Document Object Model, Dokumentobjektmodell) beibehalten wird.

  • Änderungen bei der MIME-Behandlung Die folgenden Änderungen wurden an den Algorithmen zur Erkennung des MIME-Typs (Multipurpose Internet Mail Extensions) in Internet Explorer 8 vorgenommen:

    • Einschränken der Erkennung des MIME-Typs In Internet Explorer 8 wird die Erkennung, oder das Datensniffing, von Dateien mit MIME-Inhaltstypen image/* in HTML oder Skript verhindert. Falls eine Datei ein Skript enthält und der Server diese als Bilddatei deklariert, wird das eingebettete Skript nicht von Internet Explorer 8 ausgeführt.

    • Verhindern der Erkennung des MIME-Typs Die Erkennung des MIME-Typs kann nun von Webanwendungen verhindert werden. Durch das Senden des neuen Headers X-Content-Type-Options: nosniff wird verhindert, dass Internet Explorer die Erkennung des MIME-Typs zum Ändern des vom Server deklarierten Inhaltstyps verwendet.

    • Erzwingen des Speicherns Für Webanwendungen, die nicht vertrauenswürdige HTML-Dateien bedienen müssen, stellt Internet Explorer 8 einen Mechanismus bereit, mit dem erzwungen wird, dass Benutzer nicht vertrauenswürdige HTML-Dateien vor dem Öffnen lokal speichern müssen, sodass verhindert werden kann, dass die Sitesicherheit durch nicht vertrauenswürdigen Inhalt gefährdet wird.

  • Verteidigung gegen CSRF-Angriffe Mit Internet Explorer 8 ist der Schutz gegen CSRF-Angriffe (Cross-Site Request Forgery, Fälschung von siteübergreifenden Anforderungen) möglich, bei denen ein Benutzer auf der Webseite eines Angreifers zum Klicken auf ein Objekt verleitet wird, z. B. auf die Schaltfläche Weiter, in dem Code zugrunde liegt, der eine für den Benutzer nicht erkennbare Aufgabe ausführt, z. B. das Senden persönlicher Daten an eine andere Website oder E-Mail-Adresse. Bei diesen Angriffen sind die meisten CSRF-Abwehrprogramme machtlos, und sie dienen dazu, bestimmte Browser-Add-Ons auf unsichere Art und Weise neu zu konfigurieren.

Social Engineering und Datenschutz

  • Hervorhebung der Domäne in der Adressleiste In Internet Explorer 8 wird der Domänenname einer Site hervorgehoben, damit der Benutzer Webadressen (URLs) interpretieren und betrügerische oder Phishingsites meiden kann. In der Adressleiste wird der Domänenname in schwarzen Buchstaben angezeigt und der Rest der URL-Zeichenfolge ist grau dargestellt. Der Benutzer kann die wahre Identität der Site einfacher identifizieren. Wenn die verbesserte Adressleiste in Internet Explorer 8 mit anderen Technologien wie z. B. SSL-Zertifikaten für die erweiterte Überprüfung kombiniert wird, können Benutzer einfacher sicherstellen, dass sie persönliche Daten nur auf vertrauenswürdigen Sites bereitstellen.

  • SmartScreen-Filter Der Schadsoftwareschutz im SmartScreen-Filter konzentriert sich auf das Identifizieren und Blockieren von Websites, die bösartige Software verteilen. Als ein auf Zuverlässigkeit basierendes Feature kann der SmartScreen-Filter neue Bedrohungen von vorhandenen bösartigen Sites blockieren, auch wenn diese Bedrohungen von den herkömmlichen Antiviren- oder Antimalwaresignaturen noch nicht blockiert werden. Vom SmartScreen-Filter kann die Navigation oder der Dateidownload blockiert werden. Mithilfe dieser Steuerungsebene kann Internet Explorer 8 bösartige Sites insgesamt, Teile der Sites oder einen einzelnen bösartigen Download blockieren (z. B. auf einer Site eines sozialen Netzwerks oder auf einer Dateifreigabesite). Falls ein Benutzer versucht, potenziell unsichere Software herunterzuladen und der SmartScreen-Filter ist aktiv, wird dem Benutzer eine Eingabeaufforderung angezeigt, in der die auszuführenden alternativen Aktionen aufgeführt sind. IT-Administratoren können den SmartScreen-Filter mithilfe von Gruppenrichtlinie verwalten, dazu zählt auch das Angeben der alternativen Aktionen, aus denen Benutzer auswählen können, wenn ihnen die Eingabeaufforderung mit der Warnung angezeigt wird.

  • Features zum Datenschutz In Internet Explorer 8 werden mehrere neue oder verbesserte Features zum Datenschutz eingeführt, damit Benutzer ihre persönlichen Daten besser kontrollieren können. Alle Features werden mithilfe von Gruppenrichtlinie verwaltet.

    • Favoriten und Löschen des Browserverlaufs In Internet Explorer 8 können Benutzer die mit ihrem Menü Favoriten verbundenen Informationen beibehalten, wenn ihr Browserverlauf gelöscht wird. Dadurch können Benutzer besser steuern, welche Informationen aus dem Browserverlauf gelöscht werden, z. B. Cookies, gespeicherte Kennwörter und Informationen in Webformularen.

    • InPrivate-Browsen Wenn Benutzer eine Arbeitsstation, einen tragbaren Computer oder öffentlichen Kiosk gemeinsam nutzen, kann das Hinterlassen eines Browserverlaufs für den nächsten Benutzer eine Gefährdung des Datenschutzes und der Sicherheit bedeuten. Mit InPrivate-Browsen in Internet Explorer 8 wird dieser Browserverlauf eliminiert, indem der Verlauf, Cookies, temporäre Internetdateien oder andere Daten nicht gespeichert werden.

    • InPrivate-Filterung Im Laufe der Zeit können der Verlauf und die Profile der Benutzer unbemerkt aggregiert und von bösartigen Skripts oder Cookies nachverfolgt werden. Bei der InPrivate-Filterung werden diese Skripts und Cookies nachverfolgt, die beim Besuch verschiedener Websites erkannt werden, und anschließend automatisch blockiert, wenn sie häufiger als 10 Mal gefunden werden. Mit der InPrivate-Filterung können Benutzer und IT-Administratoren darüber hinaus Sites manuell auswählen, die zugelassen oder blockiert werden.

Änderungen bei der verstärkten Sicherheitskonfiguration in Internet Explorer 8 für Serverbetriebssysteme

In Internet Explorer können Benutzer Sicherheitseinstellungen für die Zone Lokales Intranet und die Zone Vertrauenswürdige Sites konfigurieren. Standardmäßig kann die Sicherheitseinstellung für die Zone Internet und die Zone Eingeschränkte Sites nicht geändert werden. Von der verstärkten Sicherheitskonfiguration in Internet Explorer werden diesen Zonen die folgenden Sicherheitsstufen zugewiesen:

  • Für die Zone Internet ist die Sicherheitsstufe auf Hoch festgelegt.

  • Für die Zone Vertrauenswürdige Sites ist die Sicherheitsstufe auf Mittel festgelegt, sodass viele Internetsites im Browser angezeigt werden können.

  • Für die Zone Lokales Intranet ist die Sicherheitsstufe auf Niedrig festgelegt. Damit wird ermöglicht, dass Ihre Benutzeranmeldeinformationen (Benutzername und Kennwort) automatisch an Sites und Anwendungen gesendet werden können, für die dies notwendig ist.

  • Für die Zone Eingeschränkte Sites ist die Sicherheitsstufe auf Hoch festgelegt.

noteHinweis
Alle Internet- und Intranetsites sind standardmäßig der Zone Internet zugewiesen. Intranetsites sind nur dann Teil der Zone Lokales Intranet, wenn Sie sie explizit dieser Zone hinzufügen.

Weitere Ressourcen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft