Microsoft-Sicherheitsempfehlung (2757760)

Im Microsoft Knowledge Base-Artikel 2757760 finden Sie Informationen zur Aktivierung und Deaktivierung dieser Problemumgehung mithilfe der automatisierten Microsoft Fix it-Lösung.

Enhanced Mitigation Experience Toolkit (EMET) ist ein Dienstprogramm, mit dessen Hilfe verhindert wird, dass Sicherheitsanfälligkeiten in Software erfolgreich ausgenutzt werden, indem paketgebundene schadensbegrenzende Maßnahmen wie DEP auf Anwendungen angewendet werden, die in EMET konfiguriert wurden.

EMET bietet derzeit nur eingeschränkte Unterstützung und ist nur in englischer Sprache verfügbar. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2458544.

Weitere Informationen zum Konfigurieren von EMET finden Sie im EMET-Benutzerhandbuch:

• Bei 32-Bit-Systemen befindet sich das EMET-Benutzerhandbuch unter C:\Programme\EMET\EMET-Benutzerhandbuch.pdf
• Bei 64-Bit-Systemen befindet sich das EMET-Benutzerhandbuch unter C:\Programme (x86)\EMET\EMET-Benutzerhandbuch.pdf

Konfigurieren von EMET für Internet Explorer in der EMET-Benutzeroberfläche

Um iexplore.exe zur Liste der Anwendungen hinzuzufügen, die EMET verwenden, führen Sie die folgenden Schritte durch:

1. Klicken Sie auf Start, Alle Programme, Enhanced Mitigation Experience Toolkit und dann auf EMET 3.0.
2. Klicken Sie an der UAC-Eingabeaufforderung auf Ja, dann auf Anwendungen konfigurieren, und wählen Sie Hinzufügen aus. Navigieren Sie zu der Anwendung, die in EMET konfiguriert werden soll.
3. Bei 64-Bit-Versionen von Microsoft Windows lauten die Pfade zu 32-Bit- und x64-Installationen von Internet Explorer:

   C:\Programme (x86)\Internet Explorer\iexplore.exe

   C:\Programme\Internet Explorer\iexplore.exe

   Bei 32-Bit-Versionen von Microsoft Windows lautet der Pfad zu Internet Explorer:

   C:\Programme\Internet Explorer\iexplore.exe

4. Klicken Sie auf OK, und beenden Sie EMET.

Konfigurieren von EMET für Internet Explorer an einer Eingabeaufforderung

• Wählen Sie in Internet Explorer alle schadensbegrenzenden Maßnahmen von EMET 3.0
• Führen Sie für 32-Bit-Installationen von IE auf 64-Bit-Systemen Folgendes an einer erhöhten Eingabeaufforderung aus:

  "c:\Programme (x86)\EMET\EMET_Conf.exe" --set "c:\Programme (x86)\Internet Explorer\iexplore.exe"

  Führen Sie für x64-Installationen von IE auf 64-Bit-Systemen Folgendes an einer erhöhten Eingabeaufforderung aus:

  "c:\Programme (x86)\EMET\EMET_Conf.exe" --set "c:\Programme\Internet Explorer\iexplore.exe"

• Führen Sie für 32-Bit-Installationen von IE auf 32-Bit-Systemen Folgendes an einer erhöhten Eingabeaufforderung aus:

  "c:\Programme\EMET\EMET_Conf.exe" --set "c:\Programme\Internet Explorer\iexplore.exe"

• Wenn Sie dies erfolgreich abgeschlossen haben, wird folgende Nachricht angezeigt:

  „Die von Ihnen vorgenommenen Änderungen erfordern den Neustart einer oder mehrerer Anwendungen.“

• Wenn die Anwendung bereits in EMET hinzugefügt wurde, wird folgende Nachricht angezeigt:

  Fehler: „c:\Programme (x86)\Internet Explorer\iexplore.exe“ steht in Konflikt mit dem vorhandenen Eintrag für „C:\Programme (x86)\Internet Explorer\iexplore.exe“

• Weitere Informationen zum Ausführen von EMET_Conf.exe finden Sie in der Befehlszeilenhilfe, indem Sie Folgendes an einer Eingabeaufforderung ausführen:

  Auf 32-Bit-Systemen:

  "C:\Programme\EMET\EMET_Conf.exe" /?

  Auf 64-Bit-Systemen:

  "C:\Programme (x86)\EMET\EMET_Conf.exe" /?

Konfigurieren von EMET für Internet Explorer mithilfe von Gruppenrichtlinien

EMET kann mithilfe von Gruppenrichtlinien konfiguriert werden. Weitere Informationen zum Konfigurieren von EMET mithilfe von Gruppenrichtlinien finden Sie im EMET-Benutzerhandbuch:

• Bei 32-Bit-Systemen befindet sich das EMET-Benutzerhandbuch unter C:\Programme\EMET\EMET-Benutzerhandbuch.pdf
• Bei 64-Bit-Systemen befindet sich das EMET-Benutzerhandbuch unter C:\Programme (x86)\EMET\EMET-Benutzerhandbuch.pdf

Hinweis: Weitere Informationen zu Gruppenrichtlinien finden Sie unter Gruppenrichtliniensammlung.

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass die Ausführung von ActiveX-Steuerelementen und Active Scripting blockiert wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

Führen Sie die folgenden Schritte durch, um die Stufe der Browser-Sicherheit in Internet Explorer zu erhöhen:

1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf Internet.
3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.
4. Klicken Sie auf Lokales Intranet.
5. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.
6. Klicken Sie auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht ordnungsgemäß. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

Auswirkung der Problemumgehung. Das Blockieren von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Das Blockieren von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Wenn ActiveX-Steuerelemente und Active Scripting nicht für alle diese Websites blockiert werden sollen, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu.

Nachdem Sie Internet Explorer so konfiguriert haben, dass die Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone blockiert wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie dazu die folgenden Schritte durch:

1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie dazu die folgenden Schritte durch:

1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2. Klicken Sie auf die Registerkarte Sicherheit.
3. Klicken Sie auf Internet und dann auf Stufe anpassen.
4. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung  oder Deaktivieren und dann auf OK.
5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
6. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung  oder Deaktivieren und dann auf OK.
7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

Auswirkung der Problemumgehung. Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu.

Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie dazu die folgenden Schritte durch:

1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Bei aktuellen Angriffsmethoden auf diese Sicherheitsanfälligkeit in Internet Explorer wird Drittanbietersoftware verwendet, einschließlich Java von Oracle, um die Ausnutzungsmöglichkeiten zuverlässiger zu gestalten. Überprüfen Sie die Anweisungen von Oracle bezüglich Java:

Wo kann ich die aktuelle Version von Java 6 erhalten?

Was ist Java Update?

Warum sollte ich ältere Versionen von Java von meinem System deinstallieren?

Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.