Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize

Groepsbeleidinstellingen voor URL-acties en geavanceerde beveiliging in Internet Explorer

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie op uw server niet gebruikt, werken deze functies op dezelfde manier als in Windows XP Service Pack 2.

Hoe werken de groepsbeleidinstellingen voor Internet Explorer?

In Windows XP Service Pack 2 werd voor het eerst gebruikgemaakt van echte beleidsregels voor de acties die kunnen worden geconfigureerd via de instellingen op het tabblad Beveiliging in Internet Explorer. Deze beleidsregels zijn niet alleen geïntegreerd in Internet Explorer in Windows Server 2003 Service Pack 1, maar er zijn ook aanvullende beleidsregels gemaakt voor bepaalde configureerbare acties op het tabblad Geavanceerd van Internet Explorer en voor beleid met betrekking tot URL-acties in vergrendelde zones die alleen worden gebruikt met de beveiligingsfunctie Vergrendeling van netwerkprotocollen. In deze release worden deze beveiligingsinstellingen beheerd via de GPMC (Group Policy Management Console) en kunnen deze alleen worden gewijzigd vanuit een groepsbeleidsobject (GPO) of door een beheerder.

Het bijgewerkte bestand Inetres.adm bevat een lijst van instellingen die u via beleid kunt toepassen, met inbegrip van geavanceerde instellingen, die u ook in de gebruikersinterface van Internet Explorer terugvindt als voorkeursinstellingen. Beheerders kunnen de nieuwe beleidsregels voor het beheer van functies beheren via groepsbeleidsobjecten (GPO). Wanneer Internet Explorer wordt geïnstalleerd, worden de in HKEY_CURRENT_USER ingestelde voorkeuren voor deze instellingen op dezelfde manier op de computer geregistreerd als in eerdere versies. De systeembeheerder moet de module GPMC (Group Policy Management Console) gebruiken om deze instellingen in de vorm van beleidsregels toe te voegen.

Op wie is deze functie van toepassing?

Beheerders van groepsbeleid kunnen niet alleen de nieuwe beleidsinstellingen op het tabblad Geavanceerd van Internet Explorer, maar ook het beleid voor vergrendelde beveiligingszones op uniforme wijze configureren voor de computers en gebruikers waarvoor zij verantwoordelijk zijn. Het is raadzaam de gebruikers te informeren welke acties via het beleid worden ingesteld, omdat deze acties voorrang hebben op de voorkeursinstellingen van de gebruikers.

noteOpmerking
Bij opening van het onderdeel Internet-opties in het Configuratiescherm worden de beleidsinstellingen weergegeven en het lijkt alsof gebruikers de interface kunnen gebruiken om hun voorkeuren te wijzigen. Deze voorkeuren vervangen de groepsbeleidsinstellingen echter niet, wat kan leiden tot verwarring bij gebruikers. De systeembeheerder kan de gebruikersinterface van het tabblad Geavanceerd ook uitschakelen door een beleidsregel in te stellen. Op die manier is het duidelijker dat de gebruiker deze instellingen zelf niet kan wijzigen. Bij de instellingen van vergrendelde zones is dit niet aan de orde, aangezien deze niet via de interface toegankelijk zijn.

Welke bestaande functionaliteit verandert in Windows Server 2003 Service Pack 1?

Geavanceerde groepsbeleidinstellingen voor Internet Explorer

Gedetailleerde beschrijving

De volgende definities zijn van toepassing op de instellingen voor Internet Explorer in Windows Server 2003 met Service Pack 1:

  • Beveiligingszones: Vergrendelde Intranet-zone, Vergrendelde zone met vertrouwde websites, Vergrendelde Internet-zone en Vergrendelde zone met websites met beperkte toegang.
  • Sjablonen: standaardinstellingen voor alle URL-acties in deze beveiligingszones. Sjablonen kunnen in een willekeurige zone worden toegepast en via instellingen kan het gewenste beveiligingsniveau voor de zone worden ingesteld: zeer laag, laag, gemiddeld of hoog.
  • URL-acties: beveiligingsinstellingen in het register waarmee wordt aangegeven welke actie moet worden uitgevoerd voor een bepaalde functie in de beveiligingszone waarin de URL zich bevindt. Voor URL-acties zijn onder andere de volgende instellingen beschikbaar: Inschakelen, Uitschakelen, Vragen.
  • Beleidsregels voor URL-acties: beleidsregels voor URL-acties kunnen afzonderlijk worden toegevoegd door het gewenste beleid voor URL-acties in te schakelen en vervolgens de juiste beleidsinstelling te selecteren voor de waarde in de registersleutel. Beleidsregels voor URL-acties kunnen ook worden ingesteld via zonesjablonen.

Bij het zoeken naar beleidsregels wordt in Internet Explorer de volgende volgorde gehanteerd:

  • Component met beleidsregels in HKEY_LOCAL_MACHINE
  • Component met beleidsregels in HKEY_CURRENT_USER
  • Component met voorkeuren in HKEY_CURRENT_USER
  • Component met voorkeuren in HKEY_LOCAL_MACHINE

Als er beleidsregels worden gevonden in de component met beleidsregels in HKEY_LOCAL_MACHINE, wordt niet verdergezocht en worden de instellingen in kwestie gebruikt. Als er geen beleidsregels worden gevonden in de component met beleidsregels in HKEY_LOCAL_MACHINE, wordt gezocht in de component met beleidsregels in HKEY_CURRENT_USER, enzovoort. De systeembeheerder kan een beleid instellen voor een of meer URL-acties in een of meer zones en de eindgebruiker toestaan zelf de voorkeuren te beheren voor URL-acties waarvan de beveiliging niet op beleidsniveau hoeft te worden beheerd.

Beleidswaarden voor URL-acties

De nieuwe beleidsregels voor URL-acties hebben dezelfde numerieke waarden als de bijbehorende sleutels voor voorkeursinstellingen. In de volgende tabel ziet u een overzicht van deze URL-acties:

 

Naam van URL-actievlag Gebruikersinterface beveiligingsinstellingen Numerieke naam

URLACTION_DOWNLOAD_SIGNED_ACTIVEX

ActiveX-besturingselementen met handtekening downloaden

1001

URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX

ActiveX-besturingselementen zonder handtekening downloaden

1004

URLACTION_ACTIVEX_RUN

ActiveX-besturingselementen en -invoegtoepassingen uitvoeren

1200

URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY

ActiveX-besturingselementen die niet zijn gemarkeerd als veilig initialiseren en uitvoeren in scripts

1201

URLACTION_SCRIPT_RUN

Actief uitvoeren van scripts

1400

URLACTION_SCRIPT_JAVA_USE

Java-applets uitvoeren in scripts

1402

URLACTION_SCRIPT_SAFE_ACTIVEX

ActiveX-besturingselementen die zijn gemarkeerd als veilig voor uitvoeren van scripts

1405

URLACTION_CROSS_DOMAIN_DATA

Toegang tot gegevensbronnen tussen domeinen

1406

URLACTION_SCRIPT_PASTE

Plakbewerkingen via script toestaan

1407

URLACTION_HTML_SUBMIT_FORMS

Niet-gecodeerde gegevens van formulieren verzenden

1601

URLACTION_HTML_FONT_DOWNLOAD

Lettertype downloaden

1604

URLACTION_HTML_USERDATA_SAVE

Gegevens van de gebruiker blijven gebruiken

1606

URLACTION_HTML_SUBFRAME_NAVIGATE

Subframes door verschillende domeinen laten navigeren

1607

URLACTION_HTML_META_REFRESH

META REFRESH toestaan

1608

URLACTION_HTML_MIXED_CONTENT

Gemengde inhoud weergeven

1609

URLACTION_SHELL_INSTALL_DTITEMS

Items op het bureaublad installeren

1800

URLACTION_SHELL_MOVE_OR_COPY

Bestanden verplaatsen met slepen-en-neerzetten of kopiëren-en-plakken

1802

URLACTION_SHELL_FILE_DOWNLOAD

Bestand downloaden

1803

URLACTION_SHELL_VERB

Starten van programma's en bestanden in een IFRAME

1804

URLACTION_SHELL_POPUPMGR

Pop-upblokkering gebruiken

1809

URLACTION_NETWORK_MIN

Aanmelden

1A00

URLACTION_CLIENT_CERT_PROMPT

Niet vragen om een clientcertificaat te selecteren als er geen of slechts één certificaat bestaat

1A04

URLACTION_JAVA_PERMISSIONS

Java-machtigingen

1C00

URLACTION_CHANNEL_SOFTDIST_PERMISSIONS

Machtigingen voor softwarekanalen

1E05

URLACTION_BEHAVIOR_RUN

Gedrag van binaire elementen en scripts

2000

URLACTION_MANAGED_SIGNED

Onderdelen die ondertekend zijn met Authenticode en .NET Framework gebruiken uitvoeren

2001

URLACTION_MANAGED_UNSIGNED

Onderdelen die niet ondertekend zijn met Authenticode en .NET Framework gebruiken uitvoeren

2004

URLACTION_FEATURE_MIME_SNIFFING

Bestanden openen gebaseerd op de inhoud, niet op de bestandsextensie

2100

URLACTION_FEATURE_ZONE_ELEVATION

Websites in minder bevoegde zones voor webinhoud kunnen naar deze zone navigeren

2101

URLACTION_FEATURE_WINDOW_RESTRICTIONS

Door scripts gestarte vensters worden toegestaan zonder grootte- of positiebeperkingen

2102

URLACTION_AUTOMATIC_DOWNLOAD_UI

Automatisch vragen bij downloaden van bestanden

2200

URLACTION_AUTOMATIC_ACTIVEX_UI

Automatisch vragen bij het uitvoeren van ActiveX-besturingselementen

2201

URLACTION_ALLOW_RESTRICTEDPROTOCOLS

Toegang tot mijn computer voor actieve inhoud via beperkte protocollen toestaan

2300

Raadpleeg de pagina over URL-actievlaggen op de website van MSDN op http://go.microsoft.com/fwlink/?LinkId=32776 voor meer informatie over het gebruik van vlaggen voor URL-acties.

In de volgende tabel ziet u een overzicht van de beschikbare opties voor het instellen van afzonderlijke URL-acties:

 

Numerieke naam Opties voor het instellen van beleidsregels voor URL-acties

1001

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1004

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1200

"Door de Administrator goedgekeurd"=0x00010000

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1201

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1400

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1402

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1405

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1406

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1407

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1601

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1604

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1606

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

1607

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1608

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

1609

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1800

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1802

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1803

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

1804

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

1809

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

1A00

"Anonieme Logon"=0x00030000

"Alleen automatisch aanmelden in de intranetzone"=0x00020000

"Automatisch aanmelden met huidige gebruikersnaam en wachtwoord"=0x00000000

"Om gebruikersnaam en wachtwoord vragen"=0x00010000

1A04

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

1C00

"Strenge beveiliging"=0x00010000

"Gemiddelde beveiliging"=0x00020000

"Lage beveiliging"=0x00030000

"Aangepast"=0x00800000

"Java uitschakelen"=0x00000000

1E05

"Strenge beveiliging"=0x00010000

"Gemiddelde beveiliging"=0x00020000

"Lage beveiliging"=0x00030000

2000

"Inschakelen"=0x00000000

"Door de Administrator goedgekeurd"=0x00010000

"Uitschakelen"=0x00000003

2001

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

2004

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

2100

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

2101

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

2102

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

2200

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

2201

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

2300

"Inschakelen"=0x00000000

"Uitschakelen"=0x00000003

"Prompt"=0x00000001

Tabel voor het omzetten van URL-beleidsinstellingen in numerieke waarden

Waarde DWORD Instelling

0

0x00000000

Inschakelen

1

0x00000001

Prompt

3

0x00000003

Uitschakelen

65536

0x00010000

Strenge beveiliging

131072

0x00020000

Gemiddelde beveiligen

196608

0x00030000

Lage beveiliging

Raadpleeg de pagina over URL-actievlaggen op de website van MSDN op http://go.microsoft.com/fwlink/?LinkId=32777 voor een beschrijving van de afzonderlijke instellingen voor URL-beleidsregels.

Standaardinstellingen voor de afzonderlijke URL-acties in zones en sjablonen

Elke URL-actie heeft een standaardwaarde die wordt ingesteld per zone en bij toepassing van de opgegeven sjabloon. De standaardinstellingen voor elke zone worden in de volgende tabel beschreven.

Standaardinstellingen voor URL-acties

Numerieke naam van URL-actie Vergrendelde zone met beperkte toegang Vergrendelde Internet-zone Vergrendelde Intranet-zone Vergrendelde vertrouwde zone

1001

3

1

1

0

1004

3

3

3

3

1200

3

3

3

3

1201

3

3

3

3

1400

3

3

3

3

1402

3

0

0

0

1405

3

0

0

0

1406

3

3

1

0

1407

3

0

0

0

1601

1

1

0

0

1604

1

0

0

0

1606

3

0

0

0

1607

3

0

0

0

1608

3

0

0

0

1609

1

1

1

1

1800

3

1

1

0

1802

1

0

0

0

1803

3

0

0

0

1804

3

1

1

0

1809

0

0

3

3

1A00

65536

131072

131072

0

1A04

3

3

3

3

1C00

0

0

0

0

1E05

65536

131072

131072

196608

2000

3

65536

65536

65536

2001

3

3

3

3

2004

3

3

3

3

2100

3

3

3

3

2101

3

3

3

3

2102

3

3

3

3

2200

3

3

3

3

2201

3

3

3

3

2300

3

1

1

1

Paden voor groepsbeleidsinstellingen

Deze paden geven aan waar de geavanceerde instellingen zich bevinden in de GPMC:

  • Beleid onder HKEY_LOCAL_MACHINE voor geavanceerde instellingen:

\Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page

  • Beleid onder HKEY_CURRENT_USER voor geavanceerde instellingen:

\User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page

Deze paden geven aan waar de instellingen voor de beveiligingszones zich bevinden in de GPMC:

  • Beleid onder HKEY_LOCAL_MACHINE per beveiligingszone voor URL-acties:

\Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page

  • Beleid onder HKEY_CURRENT_USER per beveiligingszone voor URL-acties:

\User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page

Deze paden geven aan waar de geavanceerde instellingen in beleids- en voorkeursinstellingen zich bevinden in het Windows-register (hetzij in HKEY_LOCAL_MACHINE hetzij in HKEY_CURRENT_USER):

 

Gebruikersinterface geavanceerde instellingen Naam van sleutel met voorkeur Naam van sleutel met beleid

Installatie op afroep (Internet Explorer)

HKCU \Software \Microsoft\Internet Explorer\Main \NoJITSetup

Software\Policies\Microsoft\Internet Explorer\Main\NoJITSetup

Installatie op afroep (overige)

HKCU\Software\Microsoft\Internet Explorer\Main \NoWebJITSetup

Software\Policies\Microsoft\Internet Explorer\Main\NoWebJITSetup

Browser-extensies van derden

HKCU\Software \Microsoft\Internet Explorer\Main\Enable Browser Extensions

Software\Policies \Microsoft\Internet Explorer\Main\Enable Browser Extensions

Automatisch controleren op IE-updates

HKCU\Software \Microsoft\Internet Explorer\Main \NoUpdateCheck

Software\Policies \Microsoft\Internet Explorer\Main \NoUpdateCheck

Animaties op webpagina's afspelen

HKCU\Software \Microsoft\Internet Explorer\Main \Play_Animations

Software\Policies \Microsoft\Internet Explorer\Main \Play_Animations

Geluiden op webpagina's afspelen

HKCU\Software \Microsoft\Internet Explorer\Main \Play_Background_Sounds

Software\Policies \Microsoft\Internet Explorer\Main \Play_Background_Sounds

Video's op webpagina's afspelen

HKCU\Software \Microsoft\Internet Explorer\Main\Display Inline Videos

Software\Policies \Microsoft\Internet Explorer\Main\Display Inline Videos

Software mag worden uitgevoerd of geïnstalleerd, zelfs als de handtekening ongeldig is

HKCU\Software \Microsoft\Internet Explorer\Download \RunInvalidSignatures

Software\Policies \Microsoft\Internet Explorer\Download \RunInvalidSignatures

Actieve inhoud van cd-roms kan op computers van gebruikers worden uitgevoerd

HKCU\Software \Microsoft\Internet Explorer\Main \FeatureControl \FEATURE_LOCALMACHINE_LOCKDOWN \Settings \LocalMachine_CD_Unlock

\Software\Policies \Microsoft\Internet Explorer\Main \FeatureControl \FEATURE_LOCALMACHINE_LOCKDOWN \Settings \LocalMachine_CD_Unlock

Controleren op intrekken van servercertificaten

HKCU\Software \Microsoft\Internet Explorer\Download \CertificateRevocation

Software\Policies \Microsoft\Windows \CurrentVersion \InternetSettings \CertificateRevocation

Gedownloade programma's op handtekening controleren

HKCU\Software \Microsoft\Internet Explorer\Main\ CheckExeSignatures

Software\Policies \Microsoft\Internet Explorer\Main\ CheckExeSignatures

Gecodeerde pagina's niet op schijf opslaan

HKCU\Software \Microsoft\Windows \CurrentVersion \InternetSettings \DisableCachingOfSSLPages

Software\Policies \Microsoft\Windows \CurrentVersion \InternetSettings \DisableCachingOfSSLPages

De map met tijdelijke Internet-bestanden leegmaken wanneer de browser wordt afgesloten

HKCU\Software \Microsoft\Internet Explorer\Cache \Persistent

Software\Policies \Microsoft\Windows \CurrentVersion \InternetSettings\Cache \Persistent

Deze paden geven aan waar de instellingen voor beveiligingszones in beleids- en voorkeursinstellingen zich bevinden in het Windows-register (hetzij in HKEY_LOCAL_MACHINE hetzij in HKEY_CURRENT_USER):

  • Locatie van beleidswaarden voor vergendelde Intranet-zone:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1

  • Locatie van beleidsregels voor vergrendelde vertrouwde websites:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2

  • Locatie van beleidswaarden voor vergendelde Internet-zone:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3

  • Locatie van beleidsregels voor vergrendelde zone Websites met beperkte toegang:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4

  • Locatie van sjabloon voor vergendelde Intranet-zone:

Software\Policies\Microsoft\Windows\CurrentVersion\Intranet Lockdown Settings

  • Locatie van sjabloon voor vergrendelde vertrouwde websites:

Software\Policies\Microsoft\Windows\CurrentVersion\Trusted Sites Lockdown Settings

  • Locatie van sjabloon voor vergendelde Internet-zone:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Lockdown Settings

  • Locatie van sjabloon voor vergrendelde zone Websites met beperkte toegang:

Software\Policies\Microsoft\Windows\CurrentVersion\Restricted Sites Lockdown Settings

Beleid en voorkeuren configureren

Groepsbeleid is het aangewezen hulpmiddel voor het beheren van Internet Explorer op clientcomputers in een bedrijfsnetwerk. Internet Explorer ondersteunt het gebruik van Groepsbeleidsbeheer voor alle nieuwe besturingselementen voor Internet Explorer-functies in Windows Server 2003 Service Pack 1, en voor de instellingen op het tabblad Beveiliging of URL-acties. Beheerders van groepsbeleid kunnen deze nieuwe beleidsinstellingen beheren via de extensie voor beheersjablonen van de GPMC.

Bij het implementeren van beleidsinstellingen is het raadzaam de beleidsinstellingen voor sjablonen op te geven in een groepsbeleidsobject en de gerelateerde afzonderlijke beleidsinstellingen te configureren in een apart groepsbeleidsobject. Vervolgens kunt u de beheerfuncties van Groepsbeleid gebruiken (bijvoorbeeld prioriteit, overname of afdwingen) om afzonderlijke instellingen toe te passen op specifieke clientcomputers.

Beleidsregels kunnen door gebruikers worden weergegeven, maar alleen worden gewijzigd via Groepsbeleidsbeheer of door een beheerder. De voorkeursinstellingen kunnen ook via een programma worden gewijzigd, door het register te bewerken of, in het geval van URL-acties, via Internet Explorer. Instellingen die door middel van Groepsbeleid worden opgegeven hebben voorrang op instellingen die met behulp van voorkeuren worden opgegeven.

Wat is het belang van deze wijziging?

Door het nieuwe beleid voor geavanceerde instellingen en het beleid voor vergrendelde beveiligingszones toe te voegen aan Groepsbeleid, kunnen beheerders dit echte beleid beheren om standaardinstellingen te configureren voor alle computers die ze beheren. De beheerder kan deze instellingen zo beheren dat deze alleen via Groepsbeleid of door een gebruiker met beheerdersrechten kunnen worden gewijzigd. Op die manier kunnen de beveiligingsinstellingen en bepaalde geavanceerde instellingen niet door gebruikers worden opgegeven.

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

In Windows Server 2003 Service Pack 1 worden nieuwe beleidsregels toegevoegd aan Groepsbeleid, maar blijft de manier waarop deze worden beheerd onveranderd. Ontwikkelaars moeten weten hoe de afzonderlijke of gecombineerde instellingen voor functiebeheer of URL-acties de beveiliging van hun toepassingen in elke beveiligingszone beïnvloeden.

De beheerder kan de beveiliging verbeteren door beleidsregels in te schakelen voor alle zones. Op die manier wordt gebruikgemaakt van een bekende configuratieset volgens beleid in plaats van een onbekende instelling die wordt opgevraagd uit de voorkeuren in HKEY_LOCAL_MACHINE of HKEY_CURRENT_USER die niet via beleidsregels tot stand komen. Als de beheerder beleidsregels instelt voor alle zones, is het raadzaam de beleidsregel voor het uitschakelen van het tabblad Beveiliging in te schakelen, zodat de gebruikersinterface in Internet Explorer niet beschikbaar is.

Beleidsregels voor functiebeheer

De beheerder moet ook begrijpen hoe de beleidsinstellingen voor functiebeheer werken. Bepaalde instellingen voor URL-acties zijn alleen beschikbaar als de overeenkomstige beleidsregel voor functiebeheer ingeschakeld is. In Internet Explorer wordt gecontroleerd of de functie beschikbaar is. Als dat het geval is, wordt op basis van de beveiligingszone van de URL gezocht naar de instelling voor de actie.

Beleidsregels voor zonetoewijzing

U kunt sleutels voor zonetoewijzing als volgt aan beleidsregels toevoegen:

  1. Als u computerbeleid wilt instellen, gaat u in Groepsbeleid naar \Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Internet Explorer\Onderdeel Internet-opties van het Configuratiescherm\Het tabblad Beveiliging. Als u gebruikersbeleid wilt instellen, gaat u in Groepsbeleid naar \Gebruikersconfiguratie\Beheersjablonen\Windows-onderdelen\Internet Explorer\Onderdeel Internet-opties van het Configuratiescherm\Het tabblad Beveiliging.
  2. Dubbelklik op het beleid Lijst van zonetoewijzingen voor websites.
  3. Selecteer Ingeschakeld en klik op Weergeven.
  4. Voer de volgende handelingen uit voor elke site die u wilt toewijzen:
    1. Klik op Toevoegen.
    2. Geef de naam, het IP-adres of het IP-bereik op van de site die u wilt toewijzen (bijvoorbeeld http://www.contoso.com, www.contoso.com, 127.0.0.1, 127.0.0.1-10)
    3. Geef de waarde op die de zone aanduidt waaraan u deze site wilt toewijzen. Beschikbare opties zijn: (1) Intranet-zone, (2) Zone Vertrouwde websites, (3) Internet-zone, (4) Zone met websites met beperkte toegang.
    4. Klik op OK.
    5. De naam van de site en de waarde verschijnen nu in de lijst.
  5. Klik op OK in het venster Inhoud weergeven.
  6. Klik nogmaals op OK om het venster Eigenschappen voor Lijst van zonetoewijzingen voor websites te sluiten.
    noteOpmerking
    Beleidsregels die u aan de hand van deze instructies maakt, worden genegeerd op computers waarop het onderdeel Verbeterde beveiliging van Internet Explorer van Windows Server 2003 geïnstalleerd is. Als u beleid voor zonetoewijzingen wilt instellen op een computer waarop het onderdeel Verbeterde beveiliging van Internet Explorer van Windows Server 2003 geïnstalleerd is, moet u de module Internet Explorer-onderhoud gebruiken in Groepsbeleid. Wanneer u met Internet Explorer-onderhoud een groepsbeleidsobject wilt toevoegen voor toepassing op een computer waarop het onderdeel Verbeterde beveiliging van Internet Explorer van Windows Server 2003 geïnstalleerd is, moet u een computer gebruiken waarop het onderdeel Verbeterde beveiliging van Internet Explorer van Windows Server 2003 geïnstalleerd is.
noteOpmerking
Raadpleeg de pagina over het implementeren van groepsbeleid op basis van het register op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=28188 voor meer informatie over het gebruik van Groepsbeleid. Raadpleeg de pagina waarop de registervermeldingen voor beveiligingszones in Internet Explorer worden beschreven op de website van de Microsoft Knowledge Base op http://go.microsoft.com/fwlink/?LinkId=28195 voor meer informatie over het gebruik van de instellingen voor beveiligingszones en privacy in Internet Explorer.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft