Exporteren (0) Afdrukken
Alles uitvouwen

Instellingen voor functiebeheer van Internet Explorer in Groepsbeleid

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie op uw server niet gebruikt, werken deze functies hetzelfde als in Windows XP Service Pack 2.

Wat doen de Internet Explorer-functiebeheerinstellingen in Groepsbeleid?

Windows XP Service Pack 2 introduceerde nieuwe registersleutels en waarden voor Internet Explorer-beveiligingsfuncties onder de naam Functiebeheer. Deze beveiligingsfuncties zijn opgenomen in Windows Server 2003 Service Pack 1. Het specifieke gedrag van registerinstellingen voor functiebeheer wordt in dit gedeelte besproken bij elke beveiligingsfunctie.

Een gewijzigd bestand Inetres.adm bevat de functiebeheerinstellingen als beleid. Beheerders kunnen het functiebeheerbeleid beheren via groepsbeleidsobjecten. Wanneer Internet Explorer wordt geïnstalleerd, worden de standaardvoorkeursinstellingen voor deze functiebeheeritems op de computer geregistreerd in HKEY_LOCAL_MACHINE. De beheerder kan deze in Groepsbeleid instellen op HKEY_LOCAL_MACHINE (Computer Configuration) of HKEY_CURRENT_USER (User Configuration).

Op wie is deze functie van toepassing?

Groepsbeleid-beheerders kunnen de functiebeheerinstellingen voor Internet Explorer uniform configureren voor de computers en gebruikers die ze beheren.

Welke bestaande functionaliteit is in Windows Server 2003 Service Pack 1 gewijzigd?

Internet Explorer-instellingen voor Groepsbeleid

Gedetailleerde beschrijving

Het nieuwe functiebeheerbeleid omvat:

  • Beveiligingsbeperking voor gedrag van binaire elementen
  • Beveiligingsbeperking voor MK-protocol
  • Vergrendelingsbeveiliging voor zone Lokale computer
  • Consistente MIME-verwerking
  • Veiligheidsfunctie voor MIME-sniffing
  • Bescherming voor objectcaching
  • Beveiligingsbeperkingen voor vensters met scripts
  • Bescherming tegen zoneverhoging
  • Informatiebalk
  • ActiveX-installatie beperken
  • Bestanden downloaden beperken
  • Beheer van invoegtoepassingen
  • Vergrendelen van netwerkprotocollen

In de GPMC (Group Policy Management Console) bevindt het lokale-computerbeleid voor Functiebeheer zich in \Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Internet Explorer\Beveiligingsfuncties.

Het huidige gebruikersbeleid voor Functiebeheer bevindt zich in \Gebruikersconfiguratie\Beheersjablonen\Windows-onderdelen\Internet Explorer\Beveiligingsfuncties.

Het beleid voor de functie moet worden ingeschakeld voor het proces, bijvoorbeeld IExplore.exe, voordat het afzonderlijke beveiligingsinstellingenbeleid of de voorkeuren worden toegepast. Zie het gedeelte over elke functie en het gedeelte Registerinstellingen voor functiebesturingselementen gebruiken met beveiligingszone-instellingen in Internet Explorer voor meer informatie over het gedrag van functiebeheersleutels en het instellen hiervan voor een proces. Zie Groepsbeleidinstellingen voor URL-acties en geavanceerde beveiliging in Internet Explorer voor meer informatie over specifieke beveiligingsinstellingen per zone.

Beheerders van groepsbeleid kunnen dit nieuwe beleid beheren in de uitbreiding Beheersjablonen van de GPMC (Group Policy Management Console). Bij het configureren van dit beleid kan de beheerder de beveiligingsfunctie voor processen van Internet Explorer en Windows Verkenner in- of uitschakelen voor uitvoerbare processen die ze hebben gedefinieerd of voor alle processen die als host fungeren voor de WebOC.

Gebruikers kunnen het functiebeheerbeleid of de voorkeursinstellingen niet zien via de Internet Explorer-gebruikersinterface, behalve voor vergrendelingsbeveiliging voor de zone Lokale computer. Functiebeheerbeleid kan alleen worden ingesteld met de GPMC (Group Policy Management Console) en functiebeheervoorkeursinstellingen kunnen alleen programmatisch worden gewijzigd, of door het register te bewerken.

Beleid en voorkeuren configureren

Groepsbeleid is het aanbevolen hulpmiddel voor het beheren van Internet Explorer voor clientcomputers op een bedrijfsnetwerk. Internet Explorer ondersteunt het gebruik van Groepsbeleidsbeheer voor de Ibesturingselementen voor Internet Explorer-functies in Windows XP Service Pack 2 en Windows Server 2003 Service Pack 1, en voor de instellingen op het tabblad Beveiliging of URL-acties. Beheerders van groepsbeleid kunnen deze beleidsinstellingen beheren in de uitbreiding Beheersjablonen van de GPMC (Group Policy Management Console).

Bij het implementeren van beleidsinstellingen is het aan te raden sjabloonbeleidsinstellingen te configureren in het ene groepsbeleidsobject en verwante afzonderlijke beleidsinstellingen te configureren in het andere groepsbeleidsobject. Vervolgens kunt u Groepsbeleid-beheerfuncties (bijvoorbeeld prioriteit, overname of afdwingen) gebruiken om afzonderlijke instellingen toe te passen op specifieke clientcomputers.

Beleid kan worden gelezen door gebruikers, maar kan alleen worden gewijzigd door Groepsbeleid-beheer of door een beheerder. De voorkeursinstellingen kunnen ook via een programma worden gewijzigd, door het register te bewerken of, in het geval van URL-acties en de vergrendelingsbeveiliging voor de zone Lokale computer, via Internet Explorer. Instellingen die zijn gekoppeld aan beleid, hebben voorrang boven instellingen die zijn opgegeven via Internet Explorer-voorkeuren.

IEAK/IEM

Voor besturingssystemen die ouder zijn dan Windows XP SP2 en Windows Server 2003 SP1 en oudere Internet Explorer-versies, blijft Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 het aanbevolen hulpmiddel voor oplossingsproviders en toepassingsontwikkelaars om Internet Explorer aan te passen voor hun eindgebruikers. De IEAK-ondersteuning en het IEAK/IEM-proces zijn niet gewijzigd voor Internet Explorer-versies die ouder zijn dan Windows XP Service Pack 2. Ook het proces is niet gewijzigd voor het gebruik van IEAK/IEM om gebruikersvoorkeuren in te stellen in Internet Explorer-versies die ouder dan of gelijk zijn aan Windows Server 2003 SP1. Hiertoe behoren ook de nieuwe voorkeursinstellingen in Internet Explorer 6 in Windows XP Service Pack 2 en Windows Server 2003 SP1. De echte beleidsinstellingen die deze functie heeft toegevoegd, kunnen echter alleen worden beheerd in Groepsbeleid. Zie 'Microsoft Internet Explorer 6 Administration Kit Service Pack 1' op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=26002 voor meer informatie over IEAK.

Samenvattend kan de IEAK nog net als voorheen worden gebruikt voor alle Internet Explorer-versies die ouder zijn dan Windows XP Service Pack 2. Bovendien is het nog altijd hét hulpmiddel voor het doorvoeren van aanpassingen in Windows XP Service Pack 2 en Windows Server 2003 SP1. IEM/IEAK kan nog steeds worden gebruikt om gebruikersvoorkeuren in te stellen, maar echt beleid moet worden ingesteld via GPMC (Group Policy Management Console).

Veelgestelde vragen voor bestaande gebruikers van de IEAK

 

Vraag Antwoord

Ik gebruik de IEAK momenteel met een bedrijfslicentie om Internet Explorer te configureren op desktopcomputers en ik heb geen Active Directory in mijn organisatie. Hoe kan ik Internet Explorer configureren als de IEAK niet werkt met Windows XP SP2 of Windows Server 2003 SP1?

U kunt Groepsbeleid zelfs nog gebruiken om instellingen te configureren als u Active Directory niet gebruikt. U kunt Groepsbeleid gebruiken om een lokaal groepsbeleidsobject te maken met uw instellingen en dat object vervolgens te implementeren. Zodra u uw groepsbeleidsobject hebt geconfigureerd voor Internet Explorer, kunt u het implementeren met uw standaardimplementatiemethoden. U kunt bijvoorbeeld opstart- of aanmeldscripts of Systems Management Server-scripts gebruiken of per e-mail koppelingen verzenden naar gebruikers.

Ik gebruik de IEAK momenteel met een bedrijfslicentie om Internet Explorer te configureren op desktopcomputers en ik heb geen Active Directory in mijn organisatie. Wat gebeurt er als ik mijn IEAK 6 SP1-pakketten blijf uitvoeren onder Windows XP SP2 of Windows Server 2003 SP1?

Als u een IEAK 6 SP1-pakket installeert op een computer met Windows XP SP2 of Windows Server 2003 SP1, worden de instellingen van Internet Explorer 6 SP1 bijgewerkt. De beveiligingsinstellingen zijn dan echter niet configureerbaar, omdat IEAK 6 SP1 niet is ontworpen voor de implementatie van die instellingen.

Ik gebruik de IEAK momenteel met een ISP-licentie om Internet Explorer-bits en -installatieverbindingen te kunnen aanpassen voor mijn ISP-klanten. Kunnen mijn IEAK 6 SP1-pakketten nog steeds instellingen toepassen op Windows XP SP2 en Windows Server 2003 SP1?

De aanpassingsinstellingen in het IEAK 6 SP1-pakket van uw ISP-licentie moeten correct worden toegepast.

Waarom is deze wijziging belangrijk?

Door het functiebeheerbeleid van Internet Explorer toe te voegen aan Groepsbeleid, kunnen beheerders dit echte beleid beheren om standaardbeveiligingsinstellingen te configureren voor alle computers die ze beheren.

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

Internet Explorer in Windows Server 2003 SP1 voegt beleid toe aan Groepsbeleid, maar de manier waarop beleid wordt beheerd, wordt niet gewijzigd. Ontwikkelaars moeten zich ervan bewust zijn wat de invloed is van elke functiebeheerinstelling op beveiliginggerelateerd gedrag voor hun toepassingen. De invloed van de verschillende beveiliginggerelateerde gedragingen op toepassingsontwikkeling wordt besproken in de specifieke gedeelten voor elke functie in dit document.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft