Änderungen an der Funktionalität durch Windows XP Service Pack 2
Teil 5: Verbesserte Browsersicherheit
Dieses Dokument ist Teil 5 von "Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2" und enthält ausführliche Informationen zu den Technologien in Microsoft Windows XP Service Pack 2, mit denen das Webbrowsen sicherer wird. Diese Technologien sollen die Sicherheit im Vergleich zu früheren Versionen von Internet Explorer verbessern. Dieses Dokument gilt für Microsoft Windows XP Service Pack 2 (SP2) für die 32-Bit-Versionen von Windows XP Professional und Windows XP Home Edition. Es werden nicht alle im Service Pack enthaltenen Änderungen beschrieben. Vielmehr werden diejenigen Änderungen hervorgehoben, die sich am stärksten auf die Verwendung von Windows XP SP2 auswirken. Zudem werden Referenzen für möglicherweise verfügbare zusätzliche Informationen bereitgestellt. Auf dieser SeiteVerbesserungen bei Downloads, Anlagen und AuthenticodeWelche Funktion haben die Verbesserungen bei Downloads, Anlagen und Authenticode?In Windows XP Service Pack 2 wurden die Aufforderungen für Dateidownloads, E-Mail-Anlagen, Shellprozessausführung und Programminstallation geändert und einheitlicher sowie verständlicher als in Service Pack 1 für Windows XP gestaltet. Darüber hinaus werden die Herausgeberinformationen vor Dateitypen angezeigt, die signierbar sind und den Computer des Benutzers beim Öffnen beschädigen können. (Häufige Beispiele für solche signierbare Dateitypen, die den Computer des Benutzers beschädigen können, sind EXE, DLL, OCX, MSI und CAB.) Es gibt eine neue Anwendungsprogrammierschnittstelle (Application Programming Interface, API), mit der Anwendungsentwickler diese neue Benutzeroberfläche verwenden können. Weitere Informationen zu dieser API finden Sie in diesem Dokument unter "AES API-Integration" im Abschnitt zu den Änderungen an den E-Mail-Funktionen in Windows XP Service Pack 2. Für wen ist diese Funktion gedacht?Anwendungsentwickler können das neue Dialogfeld des Attachment Execution Service (AES) in Windows-Anwendungen mithilfe der API aufrufen, die unter "AES API-Integration" weiter oben in diesem Dokument beschrieben ist. Anwendungsentwickler sollten auch darauf achten, dass bei bestimmten Szenarien (z. B. beim Öffnen einer Anlage oder beim Downloaden einer Datei, die möglicherweise gefährlich ist) für Dateitypen, die den Computer eines Benutzers beschädigen können, vor dem Öffnen die digitalen Signaturen geprüft werden. Die Signaturinformationen werden dem Benutzer angezeigt, um ihn über den Herausgeber der Datei zu informieren. Welche vorhandenen Funktionen ändern sich in Microsoft Windows XP Service Pack 2?Eingabeaufforderung für den Dateidownload in Internet ExplorerAusführliche Beschreibung Wenn ein Benutzer mit Internet Explorer eine Datei downloadet, weist das angezeigte Dialogfeld folgende Änderungen auf:
Für alle Dateitypen, die signierbar sind und den Computer des Benutzers beim Öffnen beschädigen können, werden die Herausgeberinformationen geprüft. Diese Informationen werden dem Benutzer vor dem Öffnen der Datei angezeigt. Die Herausgeberinformationen werden vor dem Öffnen von Dateitypen angezeigt, die signierbar sind und den Computer des Benutzers beschädigen können. Im Authenticode-Dialogfeld werden diese Informationen dem Benutzer dargestellt, der dann eine fundiertere Entscheidung zum Ausführen der Datei treffen kann. Warum ist diese Änderung wichtig? Diese Änderung erhöht die Einheitlichkeit und Verständlichkeit beim Downloaden von Dateien und Code auf den Computer eines Benutzers. Die Prüfung des Herausgebers liefert wichtige Informationen, wenn eine Signatur in einer Datei gefunden wird. Mit dieser systematischen Methode wird verhindert, dass Dateien von verdächtigen Herausgebern die Sicherheit des Computers gefährden. Was ist anders? Dateien mit gesperrten Herausgebern können nicht ausgeführt werden. Wie kann ich diese Probleme beseitigen? Mit Add-Ons verwalten in Internet Explorer können Sie die Sperre für den Herausgeber eines Add-Ons aufheben. Wenn Sie die Sperre eines Herausgebers aufheben möchten, um den Download einer bestimmten Datei zu ermöglichen, können Sie den Herausgeber aus der Liste Nicht vertrauenswürdige Herausgeber entfernen. Klicken Sie dazu in Internet Explorer im Menü Extras auf Internetoptionen, klicken Sie auf die Registerkarte Inhalte, und entfernen Sie den Namen des Herausgebers aus der Liste Nicht vertrauenswürdige Herausgeber. Eingabeaufforderung für Outlook Express-E-Mail-AnlagenAusführliche Beschreibung Bei der Eingabeaufforderung für Outlook Express-E-Mail-Anlagen werden dieselben Schritte wie bei Dateidownloads verwendet. E-Mail-Anlagen in Outlook Express zeigen die Herausgeberinformation für Dateitypen an, die den Computer eines Benutzers beschädigen können. Dateien, deren Herausgeber gesperrt wurde, können nicht ausgeführt werden. Warum ist diese Änderung wichtig? Diese Änderung erhöht die Einheitlichkeit und Verständlichkeit beim Downloaden von Dateien und Code auf den Computer eines Benutzers. Die Prüfung des Herausgebers liefert wichtige Informationen, wenn eine Signatur gefunden wird. Mit dieser systematischen Methode wird verhindert, dass Dateien von verdächtigen Herausgebern die Sicherheit des Computers gefährden. Was ist anders? Gibt es Abhängigkeiten? Dateien mit einem gesperrten Herausgeber können nicht ausgeführt werden. Wie kann ich diese Probleme beseitigen? Mit Add-Ons verwalten in Internet Explorer können Sie die Sperre für den Herausgeber eines Add-Ons aufheben. Wenn Sie die Sperre eines Herausgebers aufheben möchten, um den Download einer bestimmten Datei zu ermöglichen, können Sie den Herausgeber aus der Liste Nicht vertrauenswürdige Herausgeber entfernen. Klicken Sie dazu in Internet Explorer im Menü Extras auf Internetoptionen, klicken Sie auf die Registerkarte Inhalte, und entfernen Sie den Namen des Herausgebers aus der Liste Nicht vertrauenswürdige Herausgeber. Eingabeaufforderung für die Add-On-InstallationAusführliche Beschreibung Die Eingabeaufforderung für die Add-On-Installation in Internet Explorer wurde vereinfacht und zeigt nur den Dateinamen und Herausgeberinformationen der digitalen Signatur an. Es wird vor dem Risiko im Zusammenhang mit dem Installieren des Add-Ons gewarnt, damit der Benutzer eine fundierte Entscheidung zum Installieren des Add-Ons treffen kann. Darüber hinaus wurde der Eingabeaufforderung zusätzliche Funktionalität hinzugefügt, damit Benutzer einen Herausgeber immer sperren und Windows XP diesem Herausgeber niemals vertraut. Dadurch wird der Herausgeber am Ausführen von Code auf dem Computer gehindert. Warum ist diese Änderung wichtig? Diese Änderung erhöht die Einheitlichkeit und Verständlichkeit beim Downloaden von Dateien und Code auf den Computer eines Benutzers. Außerdem kann der Benutzer einem Herausgeber nicht vertrauen, wenn der Benutzer zur Installation des Add-Ons aufgefordert wird. Dadurch erhält der Benutzer mehr Kontrolle. Was ist anders? Gibt es Abhängigkeiten? Beim Installieren eines Add-Ons ist die Benutzeroberfläche verständlicher und übersichtlicher. Wie kann ich diese Probleme beseitigen? Standardmäßig hindert Internet Explorer Benutzer am Ausführen ungültiger oder unsignierter ActiveX-Steuerelemente. Mit der Informationsleiste kann der Benutzer ebenfalls auswählen, ob ein gesperrtes Steuerelement installiert werden soll. Weitere Informationen zur Internet Explorer-Informationsleiste finden Sie weiter unten in diesem Dokument. Welche Einstellungen wurden in Microsoft Windows XP Service Pack 2 hinzugefügt oder geändert?Die Benutzer haben nun die Möglichkeit, einen Herausgeber am Ausführen von Code auf ihrem Computer zu hindern. Add-On-Verwaltung und Systemabsturzermittlung von Internet ExplorerWelche Funktion haben die Add-On-Verwaltung und die Systemabsturzermittlung von Internet Explorer?Hierbei handelt es sich um zwei neue, eng miteinander verwandte Funktionen in Internet Explorer. Mit der Add-On-Verwaltung von Internet Explorer haben Benutzer beim Anzeigen und Kontrollieren der Liste der Add-Ons, die von Internet Explorer geladen werden können, mehr Kontrollmöglichkeiten als zuvor. Außerdem wird das Vorhandensein von Add-Ons angezeigt, die vorher nicht angezeigt wurden und sehr schwer zu ermitteln waren. Die Systemabsturzermittlung von Internet Explorer versucht, Abstürze in Internet Explorer zu ermitteln, die im Zusammenhang mit einem Add-On stehen. Wenn das Add-On erfolgreich identifiziert wird, werden diese Informationen dem Benutzer angezeigt. Der Benutzer hat die Möglichkeit, Add-Ons zu deaktivieren, um Systemabstürze zu diagnostizieren und die allgemeine Stabilität von Internet Explorer zu verbessern. Für wen ist diese Funktion gedacht?Die Benutzer können die von Internet Explorer verwendeten Add-Ons anzeigen, aktivieren und deaktivieren sowie Add-Ons identifizieren, die mit Abstürzen von Internet Explorer in Zusammenhang stehen könnten. Administratoren können eine Liste mit zulässigen oder unzulässigen Add-Ons festlegen und die Verwaltung der Add-Ons durch Benutzer einschränken. Welche neue Funktionalität wurde in Microsoft Windows XP Service Pack 2 für diese Funktion hinzugefügt?Add-On-Verwaltung von Internet ExplorerAusführliche Beschreibung Mit der Add-On-Verwaltung von Internet Explorer haben Benutzer beim Anzeigen und Kontrollieren der Liste der Add-Ons, die von Internet Explorer geladen werden können, mehr Kontrollmöglichkeiten als zuvor. Außerdem wird das Vorhandensein von Add-Ons angezeigt, die vorher nicht angezeigt wurden und sehr schwer zu ermitteln waren. Diese Add-Ons können unerwünschte Funktionen oder Dienste enthalten und in bestimmten Fällen ein Sicherheitsrisiko darstellen. Beispielsweise könnte ein Benutzer versehentlich ein Add-On installieren, das heimlich alle Webseitenaktivitäten aufzeichnet und an einen zentralen Server meldet. Früher waren spezielle Software und gründliche technische Kenntnisse erforderlich, um ein solches Add-On zu identifizieren und zu entfernen. Die Add-On-Verwaltung von Internet Explorer bietet eine einfachere Möglichkeit, um dieses Add-On zu ermitteln und zu deaktivieren. Add-Ons enthalten Folgendes:
Add-Ons können von einer Vielzahl von Speicherorten und mit verschiedenen Methoden installiert werden:
Verwalten von Add-Ons Die Benutzer können jedes Add-On einzeln aktivieren und deaktivieren und Informationen anzeigen, wie oft die Add-Ons von Internet Explorer verwendet wurden. Gehen Sie folgendermaßen vor, um Add-Ons verwalten zu öffnen.
Sie können Add-Ons verwalten wie folgt auch über die Systemsteuerung öffnen:
Add-Ons verwalten weist mehrere Optionen auf, mit denen Sie die Add-On-Konfiguration ändern können. Mit Anzeige steuern Sie die Darstellung der Add-On-Liste. Es gibt zwei Optionen:
In der Add-On-Liste werden alle installierten Add-On-Typen, die weiter oben in diesem Dokument beschrieben sind, angezeigt. Zum Aktivieren oder Deaktivieren eines installierten Add-Ons klicken Sie auf das Add-On in der Liste, und klicken Sie dann auf Aktivieren oder Deaktivieren. Wenn Sie auf ein ActiveX-Steuerelement in der Liste und dann auf ActiveX aktualisieren klicken, sucht Windows in dem Speicherort nach einem Update, an dem das ursprüngliche Steuerelement gefunden wurde. Falls dort eine neuere Version gefunden wird, versucht Internet Explorer das Update zu installieren. Die Liste der Add-Ons enthält auch signierte Add-Ons, die für die Installation gesperrt wurden, weil der Herausgeber nicht vertrauenswürdig war. Nachdem Sie eines dieser Steuerelemente ausgewählt haben, kann der Benutzer die Sperre für das Steuerelement aufheben, indem er auf Zulassen klickt. Sie sollten dabei vorsichtig vorgehen, weil durch Klicken auf Zulassen der Herausgeber aus der Liste Nicht vertrauenswürdig entfernt wird. Statusleistensymbol für gesperrtes Add-On Ein Symbol für ein gesperrtes Add-On wird in der Statusleiste angezeigt, wenn eine Webseite ein ActiveX-Steuerelement zu instanziieren versucht, das deaktiviert oder gesperrt ist, weil der Herausgeber nicht vertrauenswürdig ist. Sie können auf das Symbol doppelklicken, um Add-Ons verwalten zu öffnen. Das Statusleistensymbol wird die ersten fünf Mal von einem Sprechblasentipp begleitet. Add-On-Sprechblasentipp Wenn eine Webseite ein deaktiviertes Add-On zu instanziieren versucht und kein aktuelles Statusleistensymbol für ein gesperrtes Add-On vorhanden ist, wird der Benutzer in einer Meldung informiert, dass die aktuelle Webseite ein deaktiviertes Add-On anfordert. Der Benutzer kann auf die Meldung klicken, um weitere Informationen zum Sperren von Add-Ons anzuzeigen. Mithilfe der Systemsteuerung können Sie diese Meldung unterdrücken. Diese Option wird weiter unten in diesem Dokument beschrieben. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Die Daten der Windows-Fehlerberichterstattung haben gezeigt, dass Add-Ons eine wichtige Ursache für Stabilitätsprobleme in Internet Explorer sind. Diese Add-Ons beeinträchtigen die Zuverlässigkeit von Internet Explorer erheblich. Außerdem können diese Add-Ons ein Sicherheitsrisiko darstellen, weil sie möglicherweise bösartigen und unbekannten Code enthalten. Viele Benutzer wissen überhaupt nicht, dass Add-Ons auf ihrem Computer installiert sind. Manche Add-Ons werden bei jedem Start von Internet Explorer geladen, können jedoch nur erkannt werden, wenn der Benutzer die Registrierung durchsucht. Bei Systemabstürzen ließ sich nur schwer feststellen, ob das Problem auf ein Add-On zurückzuführen war. Selbst wenn der Verdacht auf kürzlich installierte Software fiel, war es schwierig, die Ursache zu isolieren, und oft unmöglich, das Problem zu beseitigen, wenn die Software keine Deinstallationsoption aufwies. Mit der Add-On-Verwaltung von Internet Explorer und der Systemabsturzermittlung können Benutzer die Sicherheit und die Stabilität ihrer Systeme verbessern, indem sie problematische Add-Ons identifizieren und deaktivieren. Administratoren erhalten außerdem ein leistungsfähiges Verwaltungsprogramm zur Kontrolle der Add-On-Verwendung in ihrem Unternehmen. Was ist anders? Verhalten deaktivierter Add-Ons Durch Deaktivieren eines Add-Ons wird es nicht vom Computer entfernt. Internet Explorer wird nur am Instanziieren des Objekts und am Ausführen des Codes gehindert. Es gibt keine Garantie, dass das deaktivierte Add-On niemals geladen wird, da ein von Internet Explorer als deaktiviert betrachtetes Add-On weiterhin von einer anderen Komponente im System verwendet werden kann. Es hängt vom jeweiligen Objekttyp ab, welche Auswirkungen das Deaktivieren hat.
Das Konzept eines deaktivierten Add-Ons betrifft standardmäßig nur Instanzen von Internet Explorer (Iexplore.exe) und Windows Explorer (Explorer.exe). Derzeit berücksichtigen andere auf Internet Explorer-Komponenten basierte Programme, wie z. B. das WebBrowser-Steuerelement, den deaktivierten Status nicht. Sie können jedoch mit dem featurecontrol-Schlüssel diese Funktionalität auf andere Anwendungen erweitern. Manche Softwareprogramme sind auf eine Kombination aus mehreren Add-Ons angewiesen. Wenn eines dieser Add-Ons deaktiviert wird, können Probleme auftreten. Sie sollten beim Deaktivieren von Add-Ons vorsichtig vorgehen. Deinstallation Wenn der Benutzer ein anderes als ein ActiveX-Add-On deaktiviert und es anschließend deinstalliert und neu installiert, kann das Add-On weiterhin einen deaktivierten Status aufweisen. Denn Internet Explorer wird nicht über die Installation von Anwendungen informiert und erkennt keine Anwendungsstatusänderungen. Wenn Internet Explorer jedoch gestartet wird, während das Add-On nicht installiert ist, wird die Änderung erkannt und der deaktivierte Status automatisch entfernt. Wenn der Benutzer ein ActiveX-Steuerelement deaktiviert und es dann deinstalliert, erkennt Internet Explorer bei der nächsten Verwendung dieses Steuerelements durch eine Webseite, dass das Steuerelement nicht mehr vorhanden ist und entfernt den deaktivierten Status. Falls das ActiveX-Steuerelement jedoch mit einer ausführbaren Datei neu installiert wird (anstatt mit einem Webseitendownload), bevor es Versuche zum Instanziieren des Steuerelements gibt, bleibt es deaktiviert. Dies liegt daran, dass Internet Explorer keine Statusänderungen erkennt. Wie kann ich diese Probleme beseitigen? Für den Fall, dass durch das Deaktivieren eines Add-Ons Funktionalität verloren geht, kann das Add-On in Add-Ons verwalten aktiviert werden. Internet Explorer muss neu gestartet werden, damit die neuen Einstellungen wirksam werden. Eine Ausnahme sind ActiveX-Steuerelemente, bei denen das erneute Laden der betroffenen Seite ausreicht. Add-On-Verwaltung von Internet Explorer für AdministratorenAusführliche Beschreibung Deaktivieren der Systemabsturzermittlung Weitere Informationen zum Deaktivieren der Funktion für die Systemabsturzermittlung der Add-On-Verwaltung finden Sie unter "Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?" weiter unten in diesem Dokument. Wenn die Systemabsturzermittlung deaktiviert ist, wird bei einem Absturz in Internet Explorer das vorherige Verhalten verwendet, wobei gewöhnlich die Windows-Fehlerberichterstattung aufgerufen wird. Alle Richtlinien für die Windows-Fehlerberichterstattung gelten auch weiterhin. Deaktivieren der Add-On-Verwaltung-Benutzeroberfläche Weitere Informationen zum Deaktivieren der Add-On-Verwaltung-Benutzeroberfläche finden Sie unter "Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?" weiter unten in diesem Dokument. Wenn die Add-On-Verwaltung-Benutzeroberfläche deaktiviert ist, sind die Optionen Aktivieren und Deaktivieren in Add-Ons verwalten nicht verfügbar. Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind Mit dieser Richtlinieneinstellung können Administratoren sicherstellen, dass alle Internet Explorer-Add-Ons, die nicht in der Add-On-Liste aufgeführt sind, gesperrt werden. Zum Festlegen dieser Richtlinie kann der Administrator den RestrictToList-Registrierungsschlüssel in einem der folgenden beiden Speicherorte ändern: HKEY_CURRENT_USER\SOFTWARE\Microsoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Name: RestrictToList Typ: DWORD Wert:
Add-On-Liste Administratoren können die Verwendung bestimmter Add-Ons mithilfe der Richtlinie für Add-On-Listen steuern. Administratoren können ein Add-On aktivieren oder deaktivieren sowie ein bestimmtes Add-On durch den Benutzer verwalten lassen. Zum Festlegen dieser Richtlinie kann der Administrator einen Registrierungswert basierend auf der GUID des Add-Ons in einem der folgenden beiden Registrierungsschlüssel erstellen und dann den gewünschten Wert festlegen: HKEY_CURRENT_USER\SOFTWARE\Microsoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Jedes Add-On ist ein Wert in diesem Registrierungsschlüssel mit folgenden Eigenschaften: Name: GUID des Add-Ons Typ: REG_SZ Wert:
Die Add-On-Listen (CLSID) sind standardmäßig leer. Verhalten der Verwaltungsbenutzeroberfläche bei angewandten Richtlinien Wenn eine Richtlinie des Add-On-Managers aktiv ist und der Benutzer ein Add-On in der Verwaltungsliste auswählt, das von der Richtlinie deaktiviert ist, sind Aktivieren und Deaktivieren nicht verfügbar. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Mit dieser Funktion können Administratoren die Verwendung der neuen Funktionen steuern. Was ist anders? Gibt es Abhängigkeiten? Die neuen Funktionen zum Zulassen und Ablehnen von Add-Ons werden zusammen mit vorhandenen Richtlinien zum Verwalten von ActiveX-Steuerelementen verwendet. Die Add-On-Deaktivierung wird neben bestehenden Prüfungen ausgeführt. Bestehende Sicherheitseinschränkungen werden dadurch nicht ersetzt. Wenn z. B. ein ActiveX-Steuerelement durch ActiveX-Kompatibilitätsflags gesperrt ist, ist es unabhängig von den Einstellungen für die Add-On-Verwaltung immer gesperrt. Die Auswirkungen durch das Deaktivieren eines Add-Ons sind weiter oben in diesem Dokument beschrieben. Wie kann ich diese Probleme beseitigen? Für den Fall, dass durch das Hinzufügen dieser Richtlinien erforderliche Funktionalität nicht mehr vorhanden ist, entfernen Sie die angewandten Richtlinien, und starten Sie Internet Explorer neu. Add-On-Systemabsturzermittlung von Internet ExplorerAusführliche Beschreibung Wenn Internet Explorer unerwartet beendet wird, startet Windows die Add-On-Systemabsturzermittlung. Hierbei handelt es sich um ein Fehleranalyseprogramm, das den Status von Iexplore.exe (Internet Explorer) überprüft. Dieses Programm sammelt die Liste der geladenen DLLs und den Wert des EIPs (Instruction Pointer Register) zum Zeitpunkt des Absturzes auf. Die Add-On-Systemabsturzermittlung versucht dann die DLL zu finden, in deren Arbeitsspeicherbereich der EIP liegt. Diese DLL ist oft der Grund für den Systemabsturz. Falls eine DLL gefunden wird und es sich nicht um eine System-DLL handelt, sondern um die COM-Server-DLL für ein Internet Explorer-Add-On, wird das Dialogfeld Absturzermittlung für die Add-On-Verwaltung von Internet Explorer angezeigt. Dieses Dialogfeld enthält Informationen zum Add-On, das den Systemabsturz verursacht hat, den Hersteller des Add-Ons sowie eine Beschreibung der DLL-Datei, die den Add-On-Code enthält. Wenn Sie Add-Ons verwalten anzeigen möchten, um das identifizierte Add-On zu deaktivieren, klicken Sie auf Erweitert. (Weitere Informationen zu diesem Fenster und den Optionen finden Sie unter "Verwalten von Add-Ons" weiter oben in diesem Dokument.) Nachdem Sie die Informationen überprüft und auf Weiter geklickt haben, wird das standardmäßige Fenster der Windows-Fehlerberichterstattung geöffnet. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Weitere Informationen hierzu finden Sie unter "Add-On-Verwaltung von Internet Explorer für Administratoren" weiter oben in diesem Dokument. Was ist anders? Gibt es Abhängigkeiten? Da diese Funktion nur ausgeführt wird, wenn Internet Explorer nicht mehr reagiert, sollte es im normalen Betrieb keine Änderungen geben. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Nein. Der Code muss für die Add-On-Systemabsturzermittlung oder die Add-On-Verwaltung von Internet Explorer nicht geändert werden. Sicherheitseinstellung für Binärverhalten von Internet ExplorerWelche Funktion hat die Sicherheitseinstellung für Binärverhalten?Internet Explorer enthält dynamische Binärverhalten: Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt wurden. Diese Binärverhalten werden nicht durch eine Sicherheitseinstellung von Internet Explorer gesteuert, durch die sie auf Webseiten in der Zone Eingeschränkte Sites verwendet werden können. In Windows XP Service Pack 2 gibt es eine neue Internet Explorer-Sicherheitseinstellung für Binärverhalten. Diese neue Einstellung deaktiviert standardmäßig Binärverhalten in der Zone Eingeschränkte Sites. Diese neue Sicherheitseinstellung für Binärverhalten bietet eine allgemeine Abschwächung von Sicherheitsrisiken bei Internet Explorer-Binärverhalten. Weitere Informationen zu Binärverhalten, wie z. B. zu deren Funktionsweise und Implementierung, finden Sie im Abschnitt zu Binärverhalten in Internet Explorer 5.5 auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=21862. Beachten Sie, dass sich Binärverhalten, die in C++ definiert und kompiliert werden, von angefügten Verhalten und Elementverhalten unterscheiden, die im Skript definiert werden. Für wen ist diese Funktion gedacht?Anwendungsentwickler, deren Anwendungen Internet Explorer-Funktionalität in den Zonen Eingeschränkte Sites oder Lokaler Computer verwenden, sollten diese Funktion prüfen, um Änderungen in ihren Anwendungen zu berücksichtigen. Beispielsweise müssen E-Mail-Anwendungen, die HTML-E-Mail in der Zone Eingeschränkte Sites anzeigen, geändert werden. Für die Benutzer gibt es nur Beeinträchtigungen durch Anwendungen, die HTML-Inhalt mit dieser neuen Einstellung nicht vollständig anzeigen. Diese Anwendungen warnen gewöhnlich den Benutzer, dass aktive Verhaltensweisen für die Anzeige gesperrt wurden. Wenn z. B. diese Situation in Outlook Express auftritt, wird der Benutzer informiert, dass in der E-Mail eingeschränkter aktiver Inhalt vorhanden ist. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Neue Internet Explorer-SicherheitseinstellungAusführliche Beschreibung In jeder Internet Explorer-Sicherheitszone gibt es die neue URLaction-Einstellung Binärverhalten. Der Standardwert für diese Einstellung ist Aktivieren für alle Zonen außer Eingeschränkte Sites. Für die Zone Eingeschränkte Sites lautet der Standardwert Deaktivieren. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch diese neue Einstellung werden Angriffe vermieden, bei denen Binärverhalten verwendet wurden. Der Benutzer kann damit die Verwendung von Binärverhalten pro Zone steuern. Was ist anders? Die Verwendung von Binärverhalten für die Anzeige von HTML aus der Zone Eingeschränkte Sites ist gesperrt. Wie kann ich diese Probleme beseitigen? Für die Verwendung von Binärverhalten aus der Zone Eingeschränkte Sites muss eine Anwendung einen benutzerdefinierten Sicherheits-Manager implementieren. (Weitere Informationen finden Sie im Abschnitt zum Erstellen eines benutzerdefinierten URL-Sicherheits-Managers in der Einführung zu URL-Sicherheitszonen auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=21863.) Wenn die URL-Aktion der Binärverhalten von einem benutzerdefinierten Sicherheits-Manager ausgeführt wird, übergibt die URL-Aktion eine Zeichenfolgendarstellung der Binärverhalten, die von diesem benutzerdefinierten Sicherheits-Manager für die Anwendungskompatibilität aktiviert werden können. Folgendes geschieht, wenn diese URL-Aktion ausgeführt wird:
Als Desktopadministrator können Sie in Sperrung der Zone des lokalen Computers entscheiden, welche Binärverhalten zulässig sein sollen. Zum Aktivieren eines Verhaltens in Sperrung der Zone des lokalen Computers können Sie dieses wie folgt der Liste der vom Administrator genehmigten Verhalten hinzufügen und den Namespace und Verhaltensvariablen entsprechend Ihrer Umgebung ersetzen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft #%Namespace%#%Verhalten%=dword:00000001 Verhalten, die in dieser Liste definiert sind, werden auch für alle anderen Zonen verwendet, für die als Einschränkungseinstellung für Binärverhalten Admin-Allowed (65536) konfiguriert ist. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Keine. Diese Einstellung dient nur zum Aktivieren oder Deaktivieren der vorhandenen Binärverhaltensfunktionalität. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
Beachten Sie, dass die Binärverhaltenseinstellung auch über die Gruppenrichtlinien im Rahmen der Internet Explorer-Einstellung Sicherheitszonen und Inhaltsfilter geändert werden kann. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Wenn Ihr Code Binärverhalten in der Zone Eingeschränkte Sites verwendet, müssen Sie den Code ändern und einen benutzerdefinierten Sicherheits-Manager für Ihre Anwendung implementieren. Weitere Informationen finden Sie im Abschnitt zum Erstellen eines benutzerdefinierten URL-Sicherheits-Managers in der Einführung in URL-Sicherheitszonen auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=21863. BindToObject-Abschwächung von Internet ExplorerWelche Funktion hat die BindToObject-Abschwächung?In Windows XP Service Pack 2 wird das ActiveX-Sicherheitsmodell in allen Fällen angewandt, in denen die URL-Bindung zum Instanziieren und Initialisieren eines Objekts verwendet wird. Mit dem ActiveX-Sicherheitsmodell können Steuerelemente als "sicher für das Scripting" und "sicher für die Initialisierung" gekennzeichnet werden. Benutzer können anhand dieser Einstellungen ActiveX-Steuerelemente nach Sicherheitszone sperren oder zulassen. Dies bedeutet mehr Flexibilität und Kontrollmöglichkeit bezüglich des aktiven Inhalts in Internet Explorer. Für wen ist diese Funktion gedacht?
Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Keine. Vorhandene Sicherheitsfunktionen werden erweitert. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Anwendung des ActiveX-Sicherheitsmodells für URL-ObjektinitialisierungenAusführliche Beschreibung Die effizienteste Methode zum Entfernen von ActiveX-Sicherheitsrisiken ist die konsistente Anwendung von Sicherheitsrichtlinien an der Quelle der URL-Bindung: URLMON. Das Deklarieren eines ActiveX-Steuerelements auf einer HTML-Seite mithilfe des <object>-Tags und des CODEBASE-Attributs ist ein allgemein bekanntes Beispiel für die Verwendung von BindToObject. Dieselbe Funktionalität wird von jeder Komponente verwendet, die einen URL auflösen und einen Datenstrom oder ein Objekt abrufen möchte. Das ActiveX-Sicherheitsmodell wird nun auf alle Objektinitialisierungen mit einem URL als Quelle angewandt. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Bei ActiveX-Steuerelementen können mit dem ActiveX-Sicherheitsmodell Steuerelemente als "sicher für das Scripting" oder "sicher für die Initialisierung" gekennzeichnet werden. Benutzer können anhand dieser Einstellungen ActiveX-Steuerelemente nach Sicherheitszone sperren oder zulassen. In früheren Windows-Versionen wurde dieses Sicherheitsframework nicht in allen Fällen angewandt, in denen die URL-Bindung ausgeführt wurde. Stattdessen war der Aufrufercode für die Überprüfung der Integrität und die Sicherheit des Steuerelements verantwortlich, was oft zu Sicherheitsrisiken geführt hat. Nun gibt es eine Reihe von öffentlichen Risikovariationen, die genau dieses Problem aufzeigen, indem über Internet Explorer auf Risiken im Aufrufercode hingewiesen wird. Was ist anders? Gibt es Abhängigkeiten? Das ActiveX-Sicherheitsmodell wird auf alle Objektinitialisierungen mit einem URL als Quelle angewandt, und das Tag "sicher für die Initialisierung" wird auf alle Objekte angewandt. Diese Abschwächung betrifft nur Fälle, in denen Internet Explorer einen URL auflöst und einem Objekt zuweist. Wie kann ich diese Probleme beseitigen? Es sollten praktisch keine Anwendungskompatibilitätsprobleme auftreten. Für Anwendungen kann dieses Sicherheitsmodell deaktiviert werden, wenn sie einen eigenen Sicherheits-Manager aufweisen. Weitere Informationen zum Kündigen dieses Sicherheitsmodells finden Sie im Abschnitt zu Sicherheitsüberlegungen und zur URL-Sicherheitszonen-API auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=21814. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?Keine. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Es kann sein, dass Sie den Code ändern müssen. Weitere Informationen hierzu finden Sie unter "Wie kann ich diese Probleme beseitigen?" in diesem Abschnitt. Internet Explorer-InformationsleisteWelche Funktion hat die Informationsleiste?Die Internet Explorer-Informationsleiste in Windows XP Service Pack 2 ersetzt viele allgemeine Dialogfelder, die in früheren Versionen die Benutzer zur Eingabe von Informationen aufgefordert hatten. Sie stellt einen wichtigen Bereich zum Anzeigen von Informationen dar, die Benutzer anzeigen oder als Grundlage heranziehen können. Beispiele für Dialogfelder, die durch Informationsleistenbenachrichtigungen ersetzt wurden, sind gesperrte ActiveX-Installationen, Popups, Downloads und aktive Inhalte. Die Informationsleiste enthält ähnliche Informationen wie der Infobereich in Outlook 2003, in dem Benutzer über gesperrte Inhalte informiert werden. Für wen ist diese Funktion gedacht?Diese Funktion ist gedacht für:
Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Informationsleisten-BenutzeroberflächeAusführliche Beschreibung Die Informationsleiste entspricht hinsichtlich Aussehen und Verhaltensweise im Wesentlichen dem Infobereich für gesperrten Inhalt von Outlook 2003. Sie wird unter den Internet Explorer-Symbolleisten und über der geöffneten Webseite angezeigt, wenn eine Benachrichtigung vorhanden ist, und verschwindet bei der nächsten Navigation. Der Text in der Informationsleiste hängt von der jeweiligen Benachrichtigung ab und wird in zwei Zeilen umbrochen, falls der Text länger als der Infobereich ist. Falls ein Benutzer den Fokus (oder das Objekt, für das im Browser eine Eingabe möglich ist) mithilfe der TAB-TASTE steuert, erhält die Informationsleiste nach der Symbolleiste und vor der Webseite den Fokus. Wenn Sie auf die Informationsleiste klicken oder mit der rechten Maustaste klicken, wird ein Menü für die jeweilige Benachrichtigung angezeigt. Dieses Menü enthält immer einen Link zur Informationsleistenhilfe mit ausführlicheren Informationen zu der Benachrichtigung. Zusätzliche Menübefehle im Zusammenhang mit der Benachrichtigung werden über dem Menübefehl ? angezeigt. Die Benutzer können festlegen, dass ein Sound wiedergegeben wird, wenn die Informationsleiste angezeigt wird. Standardmäßig ist diese Option aktiviert. Wenn die Informationsleiste angezeigt wird, wird das Windows-Vertrauensstellungssymbol anstelle der Benachrichtigung Fehler auf der Seite in der Statusleiste angezeigt. In bestimmten Fällen können mehrere Aktionen gesperrt werden. Beispielsweise kann ein Popupfenster gleichzeitig mit einer Add-On-Installation gesperrt werden. In diesen Fällen ist der Text allgemeiner und die Menüs werden zusammengeführt, um jede auf der obersten Ebene blockierte Aktion anzuzeigen. Die Menüs der verschiedenen Aktionen werden dabei in einem Untermenü angezeigt. Es gibt eine benutzerdefinierte Sicherheitszoneneinstellung für die Informationsleiste, mit der Benutzer die Einstellungen der Informationsleiste basierend auf der Sicherheitszone ändern können. Die Benutzer können wahlweise mit der Informationsleiste benachrichtigt werden oder aber wie vorher bei Windows XP Service Pack 1 eine weniger auffällige Benachrichtigung für Datei- und Codedownloads erhalten. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? In Windows XP Service Pack 2 kann Internet Explorer Inhalt sperren, der für die Durchführung bestimmter Onlinetasks erforderlich ist. Die Informationsleiste enthält einen Hinweis, wie vertrauenswürdige Webseiten ohne die intrusive Eingabeaufforderung aus Windows XP Service Pack 1 wieder geöffnet werden können. Was ist anders? Weitere Informationen hierzu finden Sie unter "Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?" Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Eingabeaufforderung für die Add-On-InstallationAusführliche Beschreibung Wenn in Windows XP Service Pack 1 eine Webseite auf ein ActiveX-Steuerelement verweist, das derzeit nicht auf dem Computer vorhanden ist, werden die Benutzer gefragt, ob das ActiveX-Steuerelement gedownloadet werden soll. In Windows XP SP2 wird diese Aufforderung in der Informationsleiste angezeigt. In der folgenden Tabelle werden die Elemente in der Informationsleiste beschrieben. Kursiv formatierter Text wird durch die entsprechenden Elemente für die jeweilige Situation ersetzt.
Bei vertrauenswürdigen Herausgebern hat sich die Funktionsweise gegenüber Windows XP SP1 nicht geändert. Die Steuerelemente dieser Herausgeber werden ohne zusätzliche Konfiguration installiert. Für gesperrte Herausgeber wird das Statusleistensymbol angezeigt. Die Steuerelemente dieser Herausgeber werden nicht auf dem Computer installiert und nicht der Informationsleiste hinzugefügt. Bei Add-On-Aktualisierungen hat sich die Funktionsweise gegenüber Windows XP SP1 nicht geändert. Internet Explorer stellt mithilfe der folgenden Kriterien fest, ob ein Steuerelement eine Aktualisierung ist:
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Mithilfe von Eingabeaufforderungen für die Add-On-Installation in der Informationsleiste anstelle eines Dialogfeldes reduziert sich das Risiko, dass Benutzer versehentlich Code auf ihrem Computer installieren. Was ist anders? Für bestimmte Webseiten müssen die Benutzer derzeit Code installieren, damit sie ordnungsgemäß ausgeführt werden. Manche Sites lenken den Benutzer auf eine separate Seite mit Anweisungen zum Installieren des ActiveX-Steuerelements um. Wenn eine Site den Benutzer automatisch auf eine Seite umleitet, ohne dass das Steuerelement auf der neuen Seite angeboten wird, wird die Informationsleiste auf der Umleitungsseite angezeigt und bietet die Möglichkeit zum Installieren des Steuerelements. Wenn jedoch die Site das Fenster schließt, das das ActiveX-Steuerelement zu installieren versucht hat, hat der Benutzer keine Gelegenheit das Steuerelement zu installieren. Wie kann ich diese Probleme beseitigen? Webautoren sollten sicherstellen, dass das ActiveX-Steuerelement auch auf der Seite verfügbar ist, auf die der Benutzer umgeleitet wird. Dadurch wird sichergestellt, dass Benutzer ausreichend Möglichkeiten zum Installieren des Steuerelements haben. Webseitenautoren sollten nicht vorschlagen, dass die Benutzer ihre Sicherheitseinstellungen herabsetzen, da dies in diesem Fall nicht hilft. Weitere Hinweise für Webautoren zu Windows XP SP2 finden Sie im Abschnitt zum Optimieren von Websites für Windows XP Service Pack 2 auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32775. Benachrichtigung wegen geblocktem PopupAusführliche Beschreibung Windows XP SP2 zeigt in der Informationsleiste eine Benachrichtigung an, wenn ein Popup geblockt wurde. Sie ermöglicht den Zugriff auf Funktionen des Popupblockers, wie z. B. erneutes Ausführen des Popups, Hinzufügen der Site zu einer Liste zulässiger Popups oder Navigieren zu Popupblockereinstellungen. Die Informationsleiste ermöglicht außerdem auf oberster Ebene das Deaktivieren der Informationsleiste für Popups, falls der Benutzer entscheidet, dass die Benachrichtigung für dieses Ereignis zu groß ist.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch Anzeigen der Benachrichtigung wegen geblocktem Popup in der Informationsleiste erhält sie eine höhere Priorität. Die Benutzer wissen eher, wie sie ein geblocktes Popupfenster oder ihre Popupblockereinstellungen anzeigen. Was ist anders? Durch Deaktivieren der Informationsleiste für den Popupblocker informiert der Popupblocker die Benutzer wieder mit dem Statusleistensymbol. Über dieses Statusleistensymbol sind dieselben Menübefehle zugänglich, wenn für die Informationsleiste Popups deaktiviert sind. Weitere Informationen finden Sie unter "Internet Explorer-Popupblocker" weiter unten in diesem Dokument. Eingabeaufforderungen für den automatischen DownloadAusführliche Beschreibung Eingabeaufforderungen für Dateidownloads, die automatisch gestartet werden, werden nun in der Informationsleiste angezeigt. Die Informationsleiste enthält eine Erklärung, warum die Aktion ausgeführt wurde, sowie ein kontextsensitives Menü zum Beantworten der Benachrichtigung. Die folgende Tabelle enthält den Text, der in der Informationsleiste angezeigt wird, sowie die im Menü zur Auswahl stehenden Aktionen.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch das Verschieben der Downloadeingabeaufforderungen in die Informationsleiste wird verhindert, dass die Benutzer unerwünschten Code auf ihren Computern installieren. Früher konnten Sites Benutzer mit Eingabeaufforderungen für Dateidownloads überschütten, deshalb war es möglich, dass die Benutzer versehentlich unerwünschte Software auf ihrem Computer ausgeführt haben. Mit dieser Änderung sind Eingabeaufforderungen für Dateidownloads, die automatisch gestartet werden, eher auf das bewusste Klicken des Benutzers als auf ein Versehen zurückzuführen. Was ist anders? Jedes Mal, wenn eine Site auf eine Eingabeaufforderung für einen Dateidownload ohne eine Benutzeraktion verweist, wie z. B. das Klicken auf ein Element auf der Seite, wird die Eingabeaufforderung in der Informationsleiste angezeigt. Wie kann ich diese Probleme beseitigen? Webautoren sollten sicherstellen, dass auf der Webseite ein Link vorhanden ist, auf den der Benutzer zum Downloaden der Datei klicken kann. Wenn Sie ein Skript verwenden, um zu der Ressource zu navigieren, sollte das Skript synchron im Kontext des OnClick-Ereignishandlers für den Link ausgeführt werden. Weitere Hinweise für Webautoren zu Windows XP SP2 finden Sie im Abschnitt zum Optimieren Ihrer Website für Windows XP Service Pack 2 auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32775. Geblockte aktive InhalteAusführliche Beschreibung Wenn die Ausführung aktiver Inhalte in der Zone Lokaler Computer gesperrt ist, wird die Informationsleiste angezeigt. Die Informationsleiste enthält eine Erklärung, warum die Aktion ausgeführt wurde, sowie ein kontextsensitives Menü zum Beantworten der Benachrichtigung. Die folgende Tabelle enthält den Text, der in der Informationsleiste angezeigt wird, sowie die im Menü zur Auswahl stehenden Aktionen.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? In Windows XP SP2 sperrt Internet Explorer manchmal aktive Inhalte, die für bestimmte Aufgaben erforderlich sind. Mit diesem neuen Benutzeroberflächenelement wird eine Benachrichtigung angezeigt, damit die Benutzer diese Aufgaben auf vertrauenswürdigen Webseiten ausführen können. Was ist anders? Für die Zone Lokaler Computer wird nun die neue Informationsleiste verwendet. Weitere Informationen finden Sie unter "Sperrung der Zone des lokalen Computers in Internet Explorer" weiter unten in diesem Dokument. ActiveX geblockt aufgrund von SicherheitseinstellungenAusführliche Beschreibung In Windows XP SP2 wird die Eingabeaufforderung Geblocktes ActiveX-Steuerelement nicht mehr angezeigt. Internet Explorer zeigt diese Benachrichtigung in der Informationsleiste an. Die Informationsleiste enthält eine Erklärung, warum die Aktion ausgeführt wurde, sowie ein kontextsensitives Menü zum Beantworten der Benachrichtigung. Die folgende Tabelle enthält den Text, der in der Informationsleiste angezeigt wird, sowie die im Menü zur Auswahl stehenden Aktionen.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Die Windows XP SP1-Eingabeaufforderung erschwert das Browsen mit höheren Sicherheitseinstellungen. Durch die Anzeige dieser Eingabeaufforderung in der Informationsleiste können die Benutzer auf einfachere Weise mit hohen Sicherheitseinstellungen browsen, ohne dass diese Eingabeaufforderung angezeigt wird. Was ist anders? Dies verursacht keine weiteren Anwendungskompatibilitätsprobleme, außer dass beim Browsen im Internet der Sicherheitsregler auf Hoch eingestellt ist. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?Informationen zu den Registrierungsschlüsseln für diese Funktion finden Sie unter "Sicherheitszoneneinstellungen für die Funktionssteuerung" weiter unten in diesem Dokument. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Webseitenautoren sollten Umleitungen oder das Schließen des vom Benutzer geöffneten Fensters vermeiden, je nachdem, ob sie ein Add-On installieren. Webseitenautoren, die Eingabeaufforderungen für den automatischen Dateidownload starten, sollten sicherstellen, dass ein Link zu diesen Downloads auf ihren Sites vorhanden ist. Add-On-Herausgeber sollten sicherstellen, dass für Aktualisierungen von vorherigen Steuerelementen dieselbe GUID verwendet wird, damit den Benutzern für diese Aktualisierungen nicht die Informationsleiste angezeigt wird. Weitere Hinweise für Webautoren zu Windows XP SP2 finden Sie im Abschnitt zum Optimieren Ihrer Website für Windows XP Service Pack 2 auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32775. Verwenden von Funktionssteuerungs-Registrierungseinstellungen mit Sicherheitszoneneinstellungen in Internet ExplorerWelche Funktion haben Funktionssteuerungs-Registrierungseinstellungen und Sicherheitszoneneinstellungen?In Windows XP SP2 sind Funktionssteuerungs-Registrierungseinstellungen vorhanden, damit für einen bestimmten Prozess die Verwendung einer bestimmten Sicherheitsfunktion konfiguriert werden kann. Im folgenden Beispiel wurde für Internet Explorer die Verwendung der Fenstereinschränkungssicherheit konfiguriert: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Wenn für einen Prozess die Verwendung einer Sicherheitsfunktion konfiguriert wurde, wird die Sicherheitsfunktion ausgeführt, und Sicherheitszoneneinstellungen können zur Genauigkeit angewandt werden, falls dies für die Funktion implementiert ist. Auf der Registerkarte Sicherheitseinstellungen des Dialogfeldes Internetoptionen kann der Benutzer diese Einstellungen für viele der neuen Windows XP SP2-Funktionssteuerungen anpassen. Wenn Sie Aktivieren auswählen, werden die Sicherheitseinstellungen herabgesetzt, wodurch die Umgebung nicht so sicher bzw. wie in Windows XP Service Pack 1 ist. Wenn z. B. Fenstereinschränkungen in der Intranetzone auf Aktivieren eingestellt wird, werden die Fenstereinschränkungen nicht angewandt. Durch Skripts initiierte Fenster können wie aus Windows XP SP1 jederzeit geöffnet werden. Die Windows XP SP2-Einschränkungen können wiederum durch Einstellungen der Sicherheitszoneneinstellung auf Deaktivieren angewandt werden, wodurch das nicht so sichere Verhalten gesperrt wird, während die Funktionssteuerung für diesen Prozess aktiviert ist. Wenn z. B. die Fenstereinschränkungsfunktion aktiviert wird, gilt Folgendes für diese Funktion:
Die verschiedenen Funktionssteuerungen werden weiter unten in diesem Dokument ausführlicher behandelt. Weitere Informationen zu URL-Aktionseinstellungen und deren Beziehung zu Sicherheitszonen finden Sie im Abschnitt zu URL-Sicherheitszonenvorlagen auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=26001. Die Verwendung von Sicherheitszoneneinstellungen für eine Funktion erhöht die Steuerungsgenauigkeit für neue Sicherheitsfunktionen in Windows XP SP2 und kann zur Verwaltung der Anwendungskompatibilität für Intranetanwendungen von Organisationen beitragen. Ein Benutzer oder Administrator kann je nach Risiko verschiedene Verhaltensweisen auswählen. Angenommen, in der Internetzone wird für http://www.contoso.com standardmäßig die Fenstereinschränkungsfunktion angewandt. Diese Funktion erzwingt unter anderem die Statusleiste für Internet Explorer-Fenster, die mit der window.open-Methode erstellt wurden. Mit dieser neuen Sicherheitsfunktion soll verhindert werden, dass der Benutzer fälschlicherweise annimmt, dass ein Fenster von einer vertrauenswürdigen Quelle stammt. Die Fenstereinschränkungsfunktion wird jedoch aufgrund der typischen Unternehmenssicherheitsstufe für http://contoso im Intranet standardmäßig deaktiviert, wo das Risiko niedriger ist. Intranetanwendungen werden weiterhin wie in Windows XP SP1 ausgeführt und sind nicht von Kompatibilitätsproblemen aufgrund zusätzlicher Sicherheitseinschränkungen betroffen. Für wen ist diese Funktion gedacht?Webanwendungsentwickler müssen darauf achten, dass die neuen Windows XP SP2-Sicherheitseinstellungen von der Zone abhängen, in der eine Anwendung ausgeführt wird. Deshalb sollten Sie bei der Zuweisung von Sicherheitszonen vorsichtig vorgehen. Dies sollte Bestandteil Ihrer Überlegungen zur Informationssicherheit sein. Die verwendeten Sicherheitszonen sollten außerdem beim Auswerten der Anwendungskompatibilität berücksichtigt werden. Administratoren von Gruppenrichtlinien sollten die Standardwerte für jede Zone an die jeweilige Organisationssumgebung anpassen. Die Benutzer können die Werte für diese Sicherheitszoneneinstellungen (oder URL-Aktionen) für jede Zone über Internetoptionen in der Systemsteuerung verwalten, außer sie werden durch Richtlinien in Gruppenrichtlinien daran gehindert. Beachten Sie, dass die Zone des lokalen Computers in der Systemsteuerung nicht verfügbar ist. Für den Zugriff auf die Sicherheitseinstellungen für eine Zone klicken Sie im Startmenü auf Systemsteuerung, und klicken Sie dann auf Internetoptionen. Klicken Sie auf die Registerkarte Sicherheit, klicken Sie auf eine Websicherheitszone, und klicken Sie dann auf Stufe anpassen. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Funktionssteuerungs-RegistrierungseinstellungenAusführliche Beschreibung In Windows XP Service Pack 2 gibt es neue Funktionssteuerungs-Registrierungseinstellungen. Bei vielen dieser Funktionen können die Benutzer, falls die Registrierungseinstellung aktiviert ist, die Sicherheitseinstellungen (die auch als URL-Aktionsflags bezeichnet werden) konfigurieren, um so die Funktionssteuerung in den verschiedenen Sicherheitszonen zu optimieren.
Sicherheitseinstellungen werden oft mithilfe einer URL-Sicherheitszonenvorlage auf eine Zone angewendet. Die Standardwerte von Windows XP SP2 für die Sicherheitseinstellungen und die Einstellungen nach der Zonenvorlage finden Sie im Abschnitt "URLaction-Sicherheitseinstellung von Internet Explorer in Gruppenrichtlinien" weiter unten in diesem Dokument. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Ursprünglich waren alle Funktionssteuerungseinstellungen für alle Sicherheitszonen entweder aktiviert oder deaktiviert. Das Kundenfeedback hat gezeigt, dass für manche Funktionen differenziertere Einstellungsmöglichkeiten erforderlich waren. Beispielsweise hängt der interne Workflow mancher Organisationen von Intranetanwendungen ab. Eine Funktionssteuerung, die die Benutzer in der Internetzone schützt, kann andererseits bewirken, dass eine Intranetanwendung nicht mehr ausgeführt wird. Deshalb hat Microsoft die Möglichkeit eingeführt, viele Sicherheitseinstellungen nach der Zone zu steuern. Was ist anders? Durch das Hinzufügen von Sicherheitseinstellungen basierend auf der Zone können die neuen Sicherheitsfunktionen flexibler gehandhabt werden. Dadurch ist die Implementierung dieser neuen Sicherheitsfunktion, insbesondere bei Intranetszenarien, einfacher zu verwalten. Wie kann ich diese Probleme beseitigen? Wenn die Funktionssteuerungseinstellung als Verursacher von Problemen für eine Anwendung verdächtigt wird, kann der Administrator oder Benutzer die Funktionssteuerungseinstellung in der Zone, in der die Anwendung ausgeführt wird, auf Aktivieren ändern. Dadurch wird das Verhalten von Windows XP SP1 in dieser Zone für diese spezielle Funktion wiederhergestellt, während in anderen Sicherheitszonen das sicherere Verhalten beibehalten wird. Für manche Sicherheitseinstellungen gibt es zusätzliche Konfigurationsoptionen, wie z. B. Eingabeaufforderung, Vom Administrator zugelassen sowie Aktivieren und Deaktivieren. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?In der folgenden Tabelle sind drei der neuen URLaction-Sicherheitseinstellungen für Internet Explorer 6.0 in Windows XP Service Pack 2 als Beispiel aufgeführt. Ausführlichere Informationen zu den Einstellungen finden Sie in den einzelnen Abschnitten weiter unten in diesem Dokument.
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Wenn der Code den standardmäßigen URLmon-Sicherheits-Manager verwendet, muss der Entwickler CoInternetIsFeatureEnabledForURL zum Überprüfen der Sicherheitseinstellungen für eine bestimmte Zone aufrufen. Funktionssteuerungseinstellungen von Internet Explorer in GruppenrichtlinienWelche Funktion haben Funktionssteuerungseinstellungen von Internet Explorer in Gruppenrichtlinien?In Windows XP Service Pack 2 gibt es neue Registrierungsschlüssel und Werte für Internet Explorer-Sicherheitsfunktionen, die als Funktionssteuerungen bezeichnet werden. Die jeweiligen Merkmale der neuen Funktionssteuerungs-Regstrierungsseinstellungen werden in diesem Abschnitt für jede Sicherheitsfunktion behandelt. Die geänderte Datei Inetres.adm enthält neue Funktionssteuerungseinstellungen als Richtlinien. Administratoren können die neuen Funktionssteuerungsrichtlinien mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) verwalten. Wenn Internet Explorer installiert wird, werden die Standardvoreinstellungen für diese Funktionssteuerungen auf dem Computer unter HKEY_LOCAL_MACHINE registriert. In Gruppenrichtlinien können sie vom Administrator entweder unter HKEY_LOCAL_MACHINE (Computerkonfiguration) oder HKEY_CURRENT_USER (Benutzerkonfiguration) festgelegt werden. Für wen ist diese Funktion gedacht?Gruppenrichtlinienadministratoren können die neuen Internet Explorer-Funktionssteuerungseinstellungen für die verwalteten Computer und Benutzer einheitlich konfigurieren. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Gruppenrichtlinieneinstellungen für Internet ExplorerAusführliche Beschreibung Es gibt die folgenden neuen Funktionssteuerungsrichtlinien:
In der Gruppenrichtlinien-Verwaltungskonsole befinden sich die Richtlinien für den lokalen Computer für Funktionssteuerungen unter \Computerkonfiguration\Administrative Vorlagen Die aktuellen Benutzerrichtlinien für Funktionssteuerungen befinden sich unter \Benutzerkonfiguration\Administrative Vorlagen Die Richtlinie für die Funktion muss für den Prozess aktiviert werden (z. B. IExplore.exe), damit die einzelnen Richtlinien oder Voreinstellungen der Sicherheitseinstellungen angewendet werden. Weitere Informationen zum Verhalten von Funktionssteuerungsschlüsseln und zum Festlegen für einen Prozess finden Sie im Abschnitt zur jeweiligen Funktion sowie unter "Verwenden von Funktionssteuerungs-Registrierungseinstellungen mit Sicherheitszoneneinstellungen in Internet Explorer" weiter unten in diesem Dokument. Weitere Informationen zu speziellen Sicherheitseinstellungen nach der Zone finden Sie unter "UrlAction-Sicherheitseinstellungen von Internet Explorer in Gruppenrichtlinien" weiter unten in diesem Dokument. Administratoren von Gruppenrichtlinien können diese neuen Richtlinien in der Erweiterung Administrative Vorlagen der Gruppenrichtlinien-Verwaltungskonsole verwalten. Beim Konfigurieren dieser Richtlinien kann der Administrator die Sicherheitsfunktion für Internet Explorer-Prozesse (Internet Explorer und Windows Explorer), für ausführbare Prozesse, die sie definiert haben, oder für Prozesse, die das WebOC hosten, aktivieren oder deaktivieren. Die Benutzer sehen die Funktionssteuerungsrichtlinien oder Voreinstellungen in der Benutzeroberfläche von Internet Explorer mit Ausnahme von Sperrung der Zone des lokalen Computers nicht. Funktionssteuerungsrichtlinien können nur mithilfe der Gruppenrichtlinien-Verwaltungskonsole festgelegt werden, und Funktionssteuerungsvoreinstellungen können nur programmgesteuert oder durch Bearbeiten der Registrierung geändert werden. Konfigurieren von Richtlinien und Voreinstellungen Gruppenrichtlinien werden zum Verwalten von Internet Explorer für Clientcomputer in einem Firmennetzwerk empfohlen. Internet Explorer unterstützt die Gruppenrichtlinienverwaltung für alle neuen IE-Funktionssteuerungen in Windows XP Service Pack 2 sowie für Sicherheitsseiteneinstellungen oder urlAction-Werte. Administratoren von Gruppenrichtlinien können diese neuen Richtlinieneinstellungen in der Erweiterung Administrative Vorlagen der Gruppenrichtlinien-Verwaltungskonsole verwalten. Beim Implementieren von Richtlinieneinstellungen empfiehlt es sich, Vorlagenrichtlinieneinstellungen in einem Gruppenrichtlinienobjekt zu konfigurieren, und zugehörige individuelle Richtlinieneinstellungen in einem separaten Gruppenrichtlinienobjekt. Mit den Funktionen der Gruppenrichtlinienverwaltung (z. B. Reihenfolge, Vererbung oder Erzwingen) können Sie individuelle Einstellungen auf bestimmte Clientcomputer anwenden. Richtlinien können zwar von den Benutzern gelesen, aber nur von der Gruppenrichtlinienverwaltung oder einem Administrator geändert werden. Voreinstellungen können programmgesteuert, durch Bearbeiten der Registrierung oder im Fall von urlAction-Werten mithilfe von Internet Explorer geändert werden. Beachten Sie, dass Einstellungen im Zusammenhang mit Richtlinien Vorrang vor Einstellungen haben, die mit Internet Explorer-Voreinstellungen angegeben werden. IEAK/IEM Für Betriebssysteme vor Windows XP SP2 und frühere Internet Explorer-Versionen ist das Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 auch weiterhin das empfohlene Tool für Lösungsanbieter und Anwendungsentwickler zum Anpassen von Internet Explorer für die Endbenutzer. Die IEAK-Unterstützung und der IEAK/IEM-Prozess haben sich für Internet Explorer-Versionen vor Windows XP Service Pack 2 nicht geändert. Der Prozess hat sich auch für die Verwendung von IEAK/IEM zum Festlegen von Benutzereinstellungen in Internet Explorer-Versionen vor und einschließlich Windows XP Service Pack 2 nicht geändert. Hierzu gehören auch die neuen IE6-Voreinstellungen in Windows XP SP2. Die mit dieser Funktion eingeführten wirklichen Richtlinieneinstellungen können jedoch nur in Gruppenrichtlinien verwaltet werden. Weitere Informationen zu IEAK finden Sie im Abschnitt zum Microsoft Internet Explorer 6 Administration Kit Service Pack 1 auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=26002. Windows XP SP 2 markiert den Beginn von zwei wichtigen Änderungen für IEM/IEAK:
Kurzum, das IEAK kann wie bisher für alle Internet Explorer-Versionen vor Windows XP Service Pack 2 verwendet werden und sollte weiterhin für das Branding in Windows XP Service Pack 2 verwendet werden. Mit IEM/IEAK können weiterhin Benutzereinstellungen in Windows XP Service Pack 2 festgelegt werden. Echte Richtlinien können nun mit der Gruppenrichtlinien-Verwaltungskonsole eingerichtet werden. Häufig gestellte Fragen für vorhandene Benutzer des IEAK Ich verwende derzeit das IEAK mit einer Unternehmenslizenz zum Konfigurieren von Internet Explorer auf Desktopcomputern und habe Active Directory in der Organisation nicht installiert. Wie kann ich Internet Explorer konfigurieren, wenn das IEAK nicht für Windows XP SP2 ausgeführt wird? Sie können weiterhin Gruppenrichtlinien zum Konfigurieren von Einstellungen verwenden, selbst wenn Sie Active Directory nicht verwenden. Mit Gruppenrichtlinien können Sie ein lokales Gruppenrichtlinienobjekt mit Ihren Einstellungen erstellen und anschließend dieses Gruppenrichtlinienobjekt bereitstellen. Nachdem Sie Ihr Gruppenrichtlinienobjekt für Internet Explorer konfiguriert haben, können Sie es mithilfe der Standardmethoden bereitstellen. Verwenden Sie z. B. Start- oder Anmeldeskripts oder Systems Management Server-Skripts. Sie können aber auch Links per E-Mail an Benutzer senden. Ich verwende derzeit das IEAK mit einer Unternehmenslizenz zum Konfigurieren von Internet Explorer auf Desktopcomputern und habe Active Directory in der Organisation nicht installiert. Was passiert, wenn ich meine IEAK 6 SP1-Pakete in Windows XP SP2 ausführe? Wenn Sie ein IEAK 6 SP1-Paket auf einem Computer unter Windows XP SP2 installieren, werden die Einstellungen aus IE 6 SP1 aktualisiert. Die neuen Windows XP SP2-Sicherheitseinstellungen können jedoch nicht konfiguriert werden, weil IEAK 6 SP1 nicht zum Bereitstellen der neuen Einstellungen für Windows XP SP2 entwickelt wurde. Ich verwende derzeit das IEAK mit einer ISP-Lizenz für das Branding von Internet Explorer-Bits und zum Einrichten von Verbindungen für meine ISP-Kunden. Können mit meinen IEAK 6 SP1-Paketen weiterhin Einstellungen unter Windows XP SP2 angewendet werden? Die Brandingeinstellungen in dem IEAK 6 SP1-Paket mit ISP-Lizenz sollten ordnungsgemäß ausgeführt werden. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch Hinzufügen der neuen Internet Explorer-Funktionssteuerungsrichtlinien zu Gruppenrichtlinien können Administratoren diese echten Richtlinien verwalten, um Standardsicherheitseinstellungen für alle Computer, die sie konfigurieren, zu erstellen. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Windows XP Service Pack 2 fügt Gruppenrichtlinien neue Richtlinien hinzu, ändert jedoch die Verwaltungsart der Richtlinien nicht. Entwickler müssen darauf achten, wie die einzelnen Funktionssteuerungseinstellungen das sicherheitsbezogene Verhalten für ihre Anwendungen beeinflussen. Die Auswirkungen des neuen Verhaltens auf die Anwendungsentwicklung werden in diesem Dokument in den jeweiligen Abschnitten behandelt. UrlAction-Sicherheitseinstellungen von Internet Explorer in GruppenrichtlinienWelche Funktion haben UrlAction-Einstellungen von Internet Explorer in Gruppenrichtlinien?In Windows XP Service Pack 2 gibt es neue echte Richtlinien für die konfigurierbaren Aktionen auf der Registerkarte Sicherheit von Internet Explorer. Für diese Aktionen kann festgelegt werden, dass weniger sicheres Verhalten in einer Sicherheitszone zulässig ist. In Windows XP Service Pack 1 konnte der Benutzer diese Aktionen in der Benutzeroberfläche von Internet Explorer ändern, die dann die Registrierungseinstellungen in die Einstellungsstruktur schreibt. Der Administrator kann anschließend Standardeinstellungen für diese Aktionen mithilfe des IEM/IEAK-Snap-Ins an Gruppenrichtlinien verteilen. In der vorliegenden Version werden diese Sicherheitseinstellungen mithilfe der Gruppenrichtlinien-Verwaltungskonsole verwaltet und können anschließend nur von einem Gruppenrichtlinienobjekt oder einem Administrator geändert werden. Die aktualisierte Datei Inetres.adm enthält dieselbe Liste mit urlAction-Einstellungen als Richtlinien, die in der Benutzeroberfläche von Internet Explorer als Voreinstellungen vorhanden sind. Administratoren können die neuen Funktionssteuerungsrichtlinien mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) verwalten. Wenn Internet Explorer installiert wird, werden die HKEY_CURRENT_USER-Standardvoreinstellungen für diese urlAction-Einstellungen wie in früheren Versionen auf dem Computer registriert. Der Administrator muss mit der Gruppenrichtlinien-Verwaltungskonsole urlActions als Richtlinien hinzufügen. Für wen ist diese Funktion gedacht?Gruppenrichtlinienadministratoren können die neuen Internet Explorer-urlAction-Sicherheitsrichtlinien für die verwalteten Computer und Benutzer einheitlich konfigurieren. Wenn der Administrator nur bestimmte urlActions festlegt, muss unbedingt der Endbenutzer informiert werden, welche Aktionen von den Richtlinien kontrolliert werden, da diese Aktionen nicht auf Benutzereinstellungen reagieren. Hinweis Über Internetoptionen in der Systemsteuerung werden Richtlinieneinstellungen angezeigt, und die Benutzer können mit der Benutzeroberfläche interagieren und scheinbar ihre Einstellungen ändern. Diese Einstellungen überschreiben jedoch nicht wirklich Gruppenrichtlineneinstellungen, was den Benutzer verwirren könnte. Der Administrator kann außerdem eine Richtlinie festlegen, um die Benutzeroberfläche für die Sicherheitsseiten zu deaktivieren, damit der Benutzer eindeutig weiß, dass diese Einstellungen nicht geändert werden können. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Gruppenrichtlinien-Sicherheitseinstellungen für Internet ExplorerAusführliche Beschreibung Die folgenden Definitionen betreffen Internet Explorer-Einstellungen für Windows XP Service Pack 2:
Internet Explorer sucht in der folgenden Reihenfolge nach Richtlinien:
Falls Internet Explorer eine Richtlinie in HKEY_LOCAL_MACHINE findet, wird der Vorgang unterbrochen und nicht fortgesetzt. Dies ist die Einstellung, die beachtet wird. Falls Internet Explorer keine Richtlinie in HKEY_LOCAL_MACHINE findet, wird in der Richtlinienstruktur HKEY_CURRENT_USER gesucht usw. Der Administrator kann Richtlinien für eine oder mehrere urlActions in einer oder mehreren Zonen festlegen und dem Endbenutzer das Verwalten von Einstellungen für urlActions erlauben, die keine Sicherheitsverwaltung auf Richtlinienebene erfordern. Richtlinienwerte für "urlAction"Die neuen urlAction-Richtlinien weisen dieselben numerischen Werte wie die zugehörigen Voreinstellungsschlüssel auf. In der folgenden Tabelle sind die urlAction-Werte beschrieben:
Weitere Informationen zur Verwendung von URLaction-Flags finden Sie im Abschnitt zu den URL-Aktionsflags auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32776. In der folgenden Tabelle sind die verfügbaren Einstellungen für die verschiedenen urlAction-Werte beschrieben:
Schlüssel für die numerische Übersetzung von URLpolicy-Einstellungen
Beschreibungen zu den verschiedenen URL-Richtlinieneinstellungen finden Sie im Abschnitt zu den URL-Aktionsflags auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32777. Standardeinstellungen für die urlAction-Werte in Zonen und Vorlagen Für jeden urlAction-Wert gibt es einen Standardwert, der in jeder Zone und beim Anwenden einer bestimmten Vorlage festgelegt wird. Die Standardeinstellungen für die einzelnen Zonen werden in der folgenden Tabelle beschrieben:
Bei allen Sicherheitsvorlagen (Sehr niedrig, Niedrig, Mittel und Hoch) hat LMZL genau die gleichen Einstellungen für diese Vorlage wie LMZ, mit Ausnahme der in der vorherigen Tabelle beschriebenen Einstellungen. Pfade der Gruppenrichtlinieneinstellungen
Konfigurieren von Richtlinien und Voreinstellungen Gruppenrichtlinien werden zum Verwalten von Internet Explorer für Clientcomputer in einem Firmennetzwerk empfohlen. Internet Explorer unterstützt die Gruppenrichtlinienverwaltung für alle neuen Internet Explorer-Funktionssteuerungen in Windows XP Service Pack 2 sowie für Sicherheitsseiteneinstellungen oder urlAction-Werte. Administratoren von Gruppenrichtlinien können diese neuen Richtlinieneinstellungen in der Erweiterung Administrative Vorlagen der Gruppenrichtlinien-Verwaltungskonsole verwalten. Beim Implementieren von Richtlinieneinstellungen empfiehlt es sich, Vorlagenrichtlinieneinstellungen in einem Gruppenrichtlinienobjekt zu konfigurieren, und zugehörige individuelle Richtlinieneinstellungen in einem separaten Gruppenrichtlinienobjekt. Mit den Funktionen der Gruppenrichtlinienverwaltung (z. B. Reihenfolge, Vererbung oder Erzwingen) können Sie individuelle Einstellungen auf bestimmte Clientcomputer anwenden. Richtlinien können zwar von den Benutzern gelesen, aber nur von der Gruppenrichtlinienverwaltung oder einem Administrator geändert werden. Voreinstellungen können programmgesteuert, durch Bearbeiten der Registrierung oder im Fall von urlAction-Werten mithilfe von Internet Explorer geändert werden. Die mit Gruppenrichtlinien definierten Einstellungen haben Vorrang vor mit Voreinstellungen definierten Einstellungen. IEAK/IEM Für Betriebssysteme vor Windows XP SP2 und frühere Internet Explorer-Versionen ist das Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 auch weiterhin das empfohlene Tool für Lösungsanbieter und Anwendungsentwickler zum Anpassen von Internet Explorer für die Endbenutzer. Die IEAK-Unterstützung und der IEAK/IEM-Prozess haben sich für Internet Explorer-Versionen vor Windows XP Service Pack 2 nicht geändert. Der Prozess hat sich auch für die Verwendung von IEAK/IEM zum Festlegen von Benutzereinstellungen in Internet Explorer-Versionen vor und einschließlich Windows XP Service Pack 2 nicht geändert. Hierzu gehören auch die neuen IE6-Voreinstellungen in Windows XP SP2. Die mit dieser Funktion eingeführten wirklichen Richtlinieneinstellungen können jedoch nur in Gruppenrichtlinien verwaltet werden. Weitere Informationen hierzu finden Sie im Abschnitt zum Microsoft Internet Explorer 6 Administration Kit Service Pack 1 auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=26002. Windows XP SP 2 markiert den Beginn von zwei wichtigen Änderungen für IEM/IEAK:
Kurzum, das IEAK kann wie bisher für alle Internet Explorer-Versionen vor Windows XP Service Pack 2 verwendet werden und sollte weiterhin für das Branding in Windows XP Service Pack 2 verwendet werden. Mit IEM/IEAK können weiterhin Benutzereinstellungen in Windows XP Service Pack 2 festgelegt werden. Echte Richtlinien können nun mit der Gruppenrichtlinien-Verwaltungskonsole eingerichtet werden. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch Hinzufügen der neuen urlAction-Sicherheitseinstellungsrichtlinien von Internet Explorer zu Gruppenrichtlinien können Administratoren diese echten Richtlinien verwalten, um Standardsicherheitseinstellungen für alle Computer, die sie konfigurieren, zu erstellen. Der Administrator kann diese Einstellungen so kontrollieren, dass sie nur über Gruppenrichtlinien oder von einem Benutzer mit Administratorberechtigungen geändert werden können. Dadurch wird sichergestellt, dass urlAction-Einstellungen nicht von Endbenutzern festgelegt werden, die Funktionssteuerungsrichtlinien oder Voreinstellungen ändern. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten? Windows XP Service Pack 2 fügt Gruppenrichtlinien neue Richtlinien hinzu, ändert jedoch die Verwaltungsart der Richtlinien nicht. Entwickler müssen darauf achten, wie die einzelnen Funktionssteuerungs- und urlAction-Einstellungen oder Einstellungskombinationen das sicherheitsbezogene Verhalten für ihre Anwendungen in den verschiedenen Sicherheitszonen beeinflussen. Zur Optimierung der Sicherheit sollte der Administrator Richtlinien für alle Zonen aktivieren, damit eine bekannte Konfiguration mit Richtlinien festgelegt wird, anstatt eine unbekannte Einstellung aus den Voreinstellungen in HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER abzurufen, die mit Richtlinien festgelegt wurde. Wenn der Administrator Richtlinien für alle Zonen festlegt, empfehlen wir die Richtlinien zum Deaktivieren der Seite Sicherheit zu aktivieren, wodurch die Benutzeroberfläche in Internet Explorer nicht verfügbar ist. FunktionssteuerungsrichtlinienDer Administrator sollte auch die Einstellungen für die Funktionssteuerungsrichtlinien kennen. Manche urlAction-Einstellungen sind nur gültig, wenn die entsprechenden Funktionssteuerungsrichtlinien aktiviert sind. Internet Explorer überprüft, ob die Funktion aktiviert ist. Falls dies der Fall ist, wird anhand der Sicherheitszone des URLs nach der Einstellung für die Aktion gesucht. ZonenzuordnungsrichtlinienDie aktuelle Methode zum Hinzufügen von Zonenzuordnungsschlüsseln sieht folgendermaßen aus:
Wenn z. B. die Exportdatei erstellt wird, lautet der Pfadname folgendermaßen: HKEY_Local_Machine\Software\Microsoft Zum Einlesen der Registrierungsschlüssel in die Richtlinienstruktur sollte den Pfaden wie im Folgenden dargestellt das Wort "Policies" hinzugefügt werden. Anschließend können sie von einem Administrator in die Registrierung eingelesen werden: HKEY_CURRENT_USER\Software\Policies\Microsoft Es folgt ein Beispiel für eine exportierte REG-Datei, die in die Richtlinienstruktur geladen werden soll: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap] @="" "ProxyByPass"=dword:00000001 "IntranetName"=dword:00000001 "UNCAsIntranet"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] @="" [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com] [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com\msdn] "http"=dword:00000002 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults] @="" "http"=dword:00000003 "https"=dword:00000003 "ftp"=dword:00000003 "file"=dword:00000003 "@ivt"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges] @="" Hinweise Weitere Informationen zur Verwendung von Gruppenrichtlinien finden Sie im Abschnitt zum Implementieren von registrierungsbasierten Gruppenrichtlinien auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=28188. Weitere Informationen zur Verwendung der Sicherheitszone und der Datenschutzeinstellungen von Internet Explorer finden Sie im Abschnitt zur Beschreibung der Registrierungseinträge für die Internet Explorer-Sicherheitszonen auf der Microsoft Knowledge Base-Website unter http://go.microsoft.com/fwlink/?LinkId=28195. Sperrung der Zone des lokalen Computers in Internet ExplorerWelche Funktion hat die Sperrung der Zone des lokalen Computers?Wenn Internet Explorer eine Webseite öffnet, werden anhand der Sicherheitszone von Internet Explorer Einschränkungen für die Verwendungsmöglichkeiten der Seite festgelegt. Es gibt mehrere mögliche Sicherheitszonen mit verschiedenen Einschränkungen. Die Sicherheitszone hängt davon ab, woher eine Seite stammt. Beispielsweise werden Seiten im Internet normalerweise der Internetsicherheitszone mit einer höheren Einschränkung zugeordnet. Bestimmte Operationen sind für diese Seiten nicht zulässig, wie z. B. der Zugriff auf das lokale Festplattenlaufwerk. Seiten im Firmennetzwerk werden normalerweise der Intranetsicherheitszone zugeordnet und weisen weniger Einschränkungen auf. Die jeweiligen Einschränkungen für die meisten dieser Zonen kann der Benutzer über den Menübefehl Internetoptionen im Menü Extras konfigurieren. Vor Windows XP Service Pack 2 wurden die Inhalte im lokalen Dateisystem neben den von Internet Explorer zwischengespeicherten Inhalten als sicher betrachtet und der Sicherheitszone Lokaler Computer zugewiesen. In dieser Sicherheitszone dürfen Inhalte in Internet Explorer gewöhnlich mit relativ wenigen Einschränkungen ausgeführt werden. Angreifer versuchen jedoch oft mithilfe der Zone Lokaler Computer die Berechtigungen anzuheben und gefährden so die Sicherheit des Computers. Viele Sicherheitsrisiken im Zusammenhang mit der Zone Lokaler Computer werden durch andere Änderungen an Internet Explorer in Windows XP SP2 abgeschwächt. Angreifer finden jedoch möglicherweise trotzdem Wege, um die Sicherheit der Zone Lokaler Computer zu gefährden. Windows XP SP2 bietet einen höheren Schutz, indem die Zone Lokaler Computer in Internet Explorer standardmäßig gesperrt wird. Lokale HTML-Dateien, die in anderen Anwendungen gehostet werden, werden mit den weniger restriktiven früheren Standardeinstellungen der Zone Lokaler Computer ausgeführt, außer diese Anwendung verwendet die Sperrung der Zone des lokalen Computers. Administratoren können mithilfe von Gruppenrichtlinien die Sperrung der Zone des lokalen Computers verwalten und auf einfachere Weise auf Computergruppen anwenden. Für wen ist diese Funktion gedacht?Alle Anwendungsentwickler sollten mit dieser Funktion vertraut sein. Anwendungen, die lokale HTML-Dateien in Internet Explorer hosten, sind möglicherweise betroffen. Entwickler von eigenständigen Anwendungen, die Internet Explorer hosten, sollten ihre Anwendungen ändern und die Sperrung der Zone des lokalen Computers verwenden. Standardmäßig ist die Sperrung der Zone des lokalen Computers nur für Internet Explorer aktiviert. Entwickler müssen ihre Anwendungen registrieren, um die Änderungen zu nutzen. Anwendungsentwickler, die dies nicht verwenden, sollten ihre Anwendungen auf Angriffsmöglichkeiten über die Zone des lokalen Computers hin überprüfen. Softwareentwickler mit Anwendungen, die Internet Explorer hosten, sollten diese Funktion verwenden, indem Sie wie weiter unten in diesem Dokument beschrieben den Prozessnamen der Registrierung hinzufügen. In Zukunft wird Microsoft diese Funktion möglicherweise so implementieren, dass sie standardmäßig aktiviert ist. Anwendungen, die Internet Explorer hosten, sollten getestet werden, um deren ordnungsgemäße Funktionsweise sicherzustellen, wenn die Sperrung der Zone des lokalen Computers für den Prozess aktiviert ist. Netzwerkadministratoren verwenden möglicherweise lokale Skripts, die von diesen Einschränkungen betroffen sind. Die Administratoren sollten die verfügbaren Lösungen überprüfen, sodass durch ihre lokalen Skripts die Sicherheit der Clientcomputer ihrer Benutzer nicht gefährdet wird. Entwickler von Websites, die im Internet oder im lokalen Intranet gehostet werden, sollten von den Änderungen an der Zone Lokaler Computer nicht betroffen sein. Für Benutzer könnte es Beeinträchtigungen durch Anwendungen geben, die nicht mit diesen strengeren Einschränkungen kompatibel sind. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Änderungen an den Sicherheitseinstellungen für die Zone des lokalen ComputersAusführliche Beschreibung In Windows XP Service Pack 2 ist die Sperrung der Zone des lokalen Computers sogar noch restriktiver als die Internetzone. Jedes Mal, wenn für diese Inhalte eine dieser Aktionen ausgeführt wird, wird in Internet Explorer die Informationsleiste mit folgender Meldung angezeigt: Das Anzeigen aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen gesperrt. Klicken Sie hier, um Optionen anzuzeigen… Der Benutzer kann auf die Informationsleiste klicken, um die Sperrung für eingeschränkte Inhalte zu entfernen. Die Sicherheitseinstellungen, die die Berechtigungen für Inhalte steuern, die in der Zone des lokalen Computers ausgeführt werden, werden als URL-Aktionen bezeichnet. Wenn die Sperrung der Zone des lokalen Computers auf einen Prozess angewandt wird, wird das Verhalten von URL-Aktionen von der vorherigen Einstellung für die Zone des lokalen Computers von Zulassen in Nicht zulassen geändert. Deshalb werden Skripts und ActiveX-Steuerelemente nicht ausgeführt. Es gibt die folgenden geänderten Standard-URL-Aktionen:
Für die Sperrung der Zone des lokalen Computers werden diese Einstellungen in einem separaten Registrierungsschlüssel gespeichert: HKEY_CURRENT_USER\Software\Microsoft Die standardmäßigen URL-Aktionseinstellungen für die Zone des lokalen Computers finden Sie unter: HKEY_CURRENT_USER\Software\Microsoft Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Durch diese Änderung wird verhindert, dass für Inhalte auf dem Computer eines Benutzers die Berechtigungen angehoben werden. Code mit einer angehobenen Berechtigung kann dann jeden Code über ein ActiveX-Steuerelement ausführen oder Informationen mit einem Skript lesen. Was ist anders? Gibt es Abhängigkeiten? Wenn für eine Webseite einer der weiter oben aufgeführten eingeschränkten Inhaltstypen verwendet wird, zeigt Internet Explorer wie bereits erwähnt die Informationsleiste an. HTML-Dateien, die im res:-Protokoll auf dem lokalen Computer gehostet werden, werden automatisch unter diesen Sicherheitseinstellungen für die Internetzone ausgeführt. Weitere Information zu den Verwendungsmöglichkeiten dieser Vorlagen finden Sie im Abschnitt mit der Einführung in die URL-Sicherheitszonen auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=26003. Wie kann ich diese Probleme beseitigen? Sie können das Ausführen von ActiveX und Skripts auf Webseiten, die von einer CD gestartet werden, immer zulassen, indem Sie auf Ja klicken, wenn die folgende Meldung angezeigt wird: Aktive Inhalte können auf dem Computer Schaden anrichten bzw. persönliche Informationen offen legen. Sind Sie sicher, dass Sie die Ausführung aktiver Inhalte auf CDs zulassen möchten? Wenn für Ihre Webseite ActiveX oder Skripts ausgeführt werden müssen, können Sie einen Kommentar zur Webmarkierung im HTML-Code hinzufügen. Mit dieser Funktion von Internet Explorer können die HTML-Dateien einer anderen als der Zone des lokalen Computers zugeordnet werden. Dadurch können Sie das Skript oder den ActiveX-Code basierend auf der Sicherheitsvorlage ausführen, die auf den im Kommentar angegebenen URL angewendet würde. Wenn z. B. der URL www.contoso.com angegeben wurde und dieser URL in Ihrer Liste der vertrauenswürdigen Sites vorhanden ist, würde die Seite die Sicherheitsvorlage für die Zone der vertrauenswürdigen Sites verwenden. Diese Einstellung kann in Internet Explorer 4 und höher verwendet werden. Zum Einfügen eines Kommentars zur Webmarkierung in Ihrer HTML-Datei fügen Sie einen der folgenden Kommentare hinzu: <!-- saved from url=(0022)http://www.IhrURL.com --> Verwenden Sie diesen Kommentar, wenn Sie eine Webmarkierung auf einer Seite einfügen, die deren Domäne identifiziert, und ersetzen Sie http://www.IhrURL.com durch den URL der Internet- oder Intranetdomäne, von der die Seite gehostet wird. Schließen Sie die Länge des URLs für die Webmarkierung in Klammern vor dem URL ein, also z. B. (0022). Wenn die Webseite immer als Bestandteil der Internetzone behandelt werden soll, können Sie die folgende Webmarkierung verwenden: <!-- saved from url=(0013)about:internet --> Verwenden Sie diesen Kommentar, wenn Sie eine allgemeine Webmarkierung einfügen müssen. Der Abschnitt about:internet platziert die Seite in der Internetzone. Im Rahmen der Änderungen an Internet Explorer in Windows XP SP2 kann dieser HTML-Kommentar auch für MHT-Dateien verwendet werden, bei denen es sich um mehrteilige HTML- oder XML-Dateien handelt. Die Webmarkierung wird für MHT- oder XML-Dateien aus früheren Internet Explorer-Versionen nicht berücksichtigt. Darüber hinaus können Sie eine separate Anwendung erstellen, die die HTML-Inhalte im Web Object Control (WebOC) von Internet Explorer hostet. Die HTML-Inhalte sind dann nicht mehr an dieselben Regeln gebunden, die für in Internet Explorer ausgeführte Inhalte gelten. Wenn die HTML-Inhalte im anderen Prozess ausgeführt werden, sind dafür vollständige Rechte möglich, abhängig von der Definition des Entwicklers oder den Zonenrichtlinien für diesen Prozess. Eine einfache Möglichkeit ist das Speichern der Inhalte als HTA-Datei (HTML-Anwendung) und das erneute Ausführen der Datei in der Zone des lokalen Computers. Eine HTA-Datei wird in einem anderen Prozess gehostet und ist deshalb nicht von dieser Abschwächung betroffen. HTA-Dateien werden jedoch mit vollständigen Berechtigungen ausgeführt. Deshalb sollte Code, der für diese Zweck nicht vertrauenswürdig ist, nicht auf diese Weise ausgeführt werden. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Entwickler sollten ihre Anwendungen testen und die Sperrung aktivieren, um die Sicherheit zu optimieren. Entwickler von eigenständigen Anwendungen sollten diese Änderungen in ihren Anwendungen übernehmen, die Internet Explorer hosten. Entwickler von ActiveX-Steuerelementen, die früher höhere Berechtigungen in der Zone des lokalen Computers zugelassen haben, sollten die Steuerelemente nicht ändern, um höhere Berechtigungen in einer anderen Zone zuzulassen. Stattdessen sollten diese Steuerelemente konvertiert werden, damit sie nur von einer HTML-Anwendung (HTA-Datei) oder einer eigenständigen Anwendung außerhalb der Sperrung der Zone des lokalen Computers ausgeführt werden. Standardmäßig ist die Sperrung der Zone des lokalen Computers für andere als Internet Explorer-Prozesse nicht aktiviert. Entwickler müssen ihre Anwendungen explizit registrieren, um die Änderungen zu nutzen. Anwendungsentwickler, die dies nicht verwenden, sollten ihre Anwendungen auf Angriffsmöglichkeiten über die Zone des lokalen Computers hin überprüfen. Wechseln Sie zum folgenden Registrierungsschlüssel, um die Sperrung der Zone des lokalen Computers für Ihre Anwendung zu aktivieren: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Fügen Sie diesem Schlüssel einen REG_DWORD-Wert für Ihre Anwendung hinzu (z. B. MeineAnwendung.exe), und legen Sie ihn auf 1 fest. Alle anderen Einstellungen für diesen Wert deaktivieren die Sperrung der Zone des lokalen Computers für die Anwendung. Erzwingen der MIME-Verarbeitung in Internet ExplorerWelche Funktion hat das Erzwingen der MIME-Verarbeitung?Internet Explorer bestimmt mithilfe von MIME-Informationen (Multipurpose Internet Mail Extensions), wie Dateien behandelt werden sollen, die von einem Webserver gesendet wurden. Wenn z. B. eine HTTP-Anforderung (Hypertext Transfer Protocol) für JPG-Dateien vorhanden ist, werden die empfangenen Dateien dem Benutzer gewöhnlich in einem Internet Explorer-Fenster angezeigt. Falls Internet Explorer eine ausführbare Datei empfängt, wird der Benutzer von Internet Explorer im Allgemeinen gefragt, wie die Datei behandelt werden soll. In Windows XP Service Pack 2 hält sich Internet Explorer an strengere Regeln, um die Benutzer vor dem versehentlichen Downloaden oder Ausführen einer gefährlichen Datei aufgrund irreführender MIME-Informationen oder Angaben zur Dateinamenerweiterung zu schützen. Für wen ist diese Funktion gedacht?Webentwickler müssen diese neuen Einschränkungen beachten, um Änderungen oder Problemumgehungen für mögliche Auswirkungen auf ihre Website einzuplanen. Anwendungsentwickler sollten diese Funktion prüfen, um Änderungen in ihren Anwendungen zu berücksichtigen. Diese Funktion ist für andere als Internet Explorer-Prozesse standardmäßig nicht aktiviert. Entwickler müssen ihre Anwendungen registrieren, um die Änderungen zu nutzen. Für Benutzer gibt es Beeinträchtigungen durch Sites oder Anwendungen, die nicht mit diesen strengen Regeln kompatibel sind. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Erzwingen der MIME-Verarbeitung mithilfe des DateitypsAusführliche Beschreibung Wenn Dateien an den Client übergeben werden, verwendet Internet Explorer die folgenden Informationen, um zu entscheiden, wie mit den Dateien verfahren werden soll.
In Windows XP Service Pack 2 ist Internet Explorer beim Ausführen einer gedownloadeten Datei, die gefährlich sein könnte, restriktiver. Internet Explorer erzwingt die Konsistenz zwischen der Verarbeitungsweise einer Datei im Browser bzw. in der Windows-Shell. Beim Downloaden der Datei in den Cache vergleicht Internet Explorer den MIME-Typ und die Dateinamenerweiterung der Cachedatei. Falls der MIME-Typ und die Dateinamenerweiterung nicht übereinstimmen, versucht Internet Explorer dies durch Umbenennen der Datei im Cache zu beheben. Bevor eine Datei in den MIME-Handler geladen oder vom Erweiterungshandler ausgeführt wird, vergleicht Internet Explorer die CLSIDs des MIME-Handlers und des Erweiterungshandlers. Im Falle einer Nichtübereinstimmung zwischen den beiden Handlern zeigt Internet Explorer eine obligatorische Auforderung zur Bestätigung an, dass die Datei in den MIME-Handler geladen werden soll. Falls der MIME-Handler die nicht übereinstimmende Datei ablehnt, zeigt Internet Explorer ein Dialogfeld zu einem Downloadfehler an. Und die Datei wird nicht automatisch im Erweiterungshandler der Windows-Shell ausgeführt. Es gibt in diesem Zusammenhang eine weitere, allerdings separate Änderung, um die Ausführung von potenziell beschädigten Dateien in den Shellerweiterungshandlern zu verhindern. Internet Explorer zeigt ein Dialogfeld zu einem Downloadfehler für jede Datei an, die vom MIME-Handler mit dem Fehlercode E_Cannot_Load_Data abgelehnt wird. Die Datei wird unabhängig vom MIME-Typ oder der Dateinamenerweiterung nicht im Shellerweiterungshandler ausgeführt. Diese Änderungen betreffen nicht Fälle, in denen der HTTP-Header content-disposition=attachment für die Datei verwendet wird. In diesen Fällen wird der vom Server vorgeschlagene Dateiname oder die vorgeschlagene Dateierweiterung als endgültig betrachtet. Die Datei kann unabhängig von einer Nichtübereinstimmung beim MIME-Typ oder der Dateierweiterung ausgeführt werden, wenn der Benutzer den Dateidownload bestätigt. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Wenn die Dateitypinformationen vom Server falsch gemeldet und auf dem Computer gespeichert werden, könnte eine gefährliche Datei fälschlicherweise später ausgeführt werden. Beispielsweise könnte Internet Explorer eine Datei downloaden, bei der es sich scheinbar um eine Textdatei handelt. Wenn die Datei vom MIME-Handler nicht geladen werden kann und eine DOC-Dateinamenerweiterung aufweist, könnte die DOC-Datei in einer Anwendung wie z. B. Microsoft Word ausgeführt werden, ohne dass für den Benutzer eine entsprechende Bestätigungsaufforderung angezeigt wird. In Microsoft Word könnte die Datei aktive Inhalte verwenden, wie z. B. ein Makro, um ein Programm (z. B. ein Virus) auf dem Computer des Benutzers auszuführen. Was ist anders? Gibt es Abhängigkeiten? Internet Explorer versucht nun gedownloadete Dateien im Internet Explorer-Cache umzubenennen, um übereinstimmende Inhaltstypen und Dateierweiterungen zu erhalten und Schutz vor Dateien zu bieten, die den Benutzer bezüglich des Dateityps irreführen. Internet Explorer fordert den Benutzer auf, die Datei zu downloaden und führt Dateien, deren MIME-Typ und Dateierweiterung nicht übereinstimmen, nicht mehr aus. Diese Dateien werden vom registrierten MIME-Handler abgelehnt. Internet Explorer führt außerdem eine Datei im Shellhandler nicht aus, wenn der Fehlercode E_Cannot_Load_Data vom MIME-Handler gemeldet wird. Webentwickler können nicht funktionsfähige Anwendungen aufgrund ihres Verhaltens isolieren, indem sie die Funktionalität deaktivieren. Weitere Informationen finden Sie im Abschnitt zu den Einstellungen weiter unten in diesem Dokument. Wie kann ich diese Probleme beseitigen? Webentwickler müssen ihre Webserver für das Hosten von Dateien ändern und konsistente content-type-Header und Dateinamenerweiterungen verwenden. Falls dies nicht möglich ist, können Webentwickler mit dem HTTP-Header Content-disposition=attachment die Datei anstatt an den MIME-Handler direkt an den Dateierweiterungshandler senden. Beachten Sie, dass der Benutzer bei Dateidownloads mit dem Header Content-disposition=attachment aufgefordert wird, die Datei zu öffnen oder zu speichern. Falls Sie einen MIME-Handler entwickelt haben und sich darauf verlassen, dass Internet Explorer Dateien ausführt, die Ihr MIME-Handler ablehnt, müssen Sie Änderungen im MIME-Handler vornehmen, damit diese Änderung berücksichtigt wird. Die sicherste Vorgehensweise wäre das Verarbeiten der Datei direkt im MIME-Handler, anstatt die Datei abzulehnen. In manchen Fällen kann das Verhalten des MIME-Handlers nicht geändert werden, sodass gedownloadete Dateien intern verarbeitet werden. In diesen Fällen gibt es ein paar Möglichkeiten:
Dateitypanhebung bei der MIME-ErmittlungAusführliche Beschreibung Eines der Backupkriterien zum Bestimmen des Dateityps ist das Ergebnis der MIME-Ermittlung. Durch das Analysieren oder Ermitteln einer Datei kann Internet Explorer die Bitsignaturen bestimmter Dateitypen erkennen. In Windows XP Service Pack 2 werden durch die MIME-Ermittlung von Internet Explorer Dateien vom Typ Nur-Text nicht auf gefährlichere Dateitypen in der Zone Eingeschränkte Sites höhergestuft. Beispielsweise werden Dateien, die im Nur-Text-Format empfangen werden, aber HTML-Code enthalten, nicht auf den HTML-Typ höher gestuft, der aktive Inhalte enthalten könnte. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Diese Änderung bietet den Benutzern einen zusätzlichen umfassenden Schutz vor bösartigen Inhalten, die auf einem vertrauenswürdigen Webserver bereitgestellt werden, auf dem der Server Dateien mit content-type=text\plain für eine Datei hostet, aber ein Angreifer HTML mit aktiven Inhalten in die Datei laden konnte. Was ist anders? Gibt es Abhängigkeiten? Für Webserver, die nicht den richtigen Content-Type-Header aufweisen und andere als die Standarddateierweiterungen für HTML-Seiten verwenden, können nun die Seiten im Textformat anstelle des HTML-Formats angezeigt werden. Wie kann ich diese Probleme beseitigen? Sie sollten für Webserver die Verwendung der richtigen Content-Type-Header konfigurieren. Sie können auch für die Dateien die richtige Dateinamenerweiterung für die Anwendung verwenden, mit der die Datei geöffnet werden soll. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
MIME-Ermittlungsverhalten pro ZoneDie neue MIME-Ermittlungseinschränkung wird durch die Sicherheitseinstellung Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen gesteuert, die für einzelne Sicherheitszonen aktiviert oder deaktiviert werden kann. In der folgenden Tabelle sind die Standardeinstellungen pro Sicherheitszone beschrieben:
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Sie sollten für Webserver die Verwendung der richtigen Content-Type-Header konfigurieren. Sie können auch für die Dateien die richtige Dateinamenerweiterung für die Anwendung verwenden, mit der die Datei geöffnet werden soll. Objektzwischenspeicherung in Internet ExplorerWelche Funktion hat die Objektzwischenspeicherung?In früheren Windows-Versionen konnten in Internet Explorer manche Webseiten auf Objekte zugreifen, die von einer anderen Website zwischengespeichert wurden. In Windows XP Service Pack 2 kann nicht mehr auf ein Objekt zugegriffen werden, wenn der Benutzer zu einer neuen Domäne wechselt. Für wen ist diese Funktion gedacht?Webentwickler sollten diese Funktion prüfen, um Änderungen in ihrer Website zu berücksichtigen. Anwendungsentwickler sollten diese Funktion prüfen, um Änderungen in ihren Anwendungen zu berücksichtigen. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Keine. Die bestehende Funktionalität wurde erweitert. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Sicherheitskontext wird beim Wechsel zu einer anderen Domäne ungültigAusführliche Beschreibung Für Windows XP Service Pack 2 gibt es nun einen neuen Sicherheitskontext in allen skriptfähigen Objekten, um den Zugriff auf zwischengespeicherte Objekte (mit Ausnahme von ActiveX-Steuerelementen) zu sperren. Der Zugriff wird nicht nur beim Navigieren in Domänen, sondern auch beim Navigieren innerhalb derselben Domäne gesperrt. In diesem Kontext ist eine Domäne als vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) definiert. Der Zugriff auf ein Objekt ist nicht mehr möglich, sobald sich der Kontext durch das Navigieren geändert hat. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Vor Internet Explorer 5.5 wurden beim Navigieren in HTML-Seiten (oder Subframes) MSHTML-Instanzen gelöscht. MSHTML ist das Microsoft HTML-Modul zum Analysieren und Anzeigen. Mit der Native Frames-Architektur von Internet Explorer 5.5 blieben MSHTML-Instanzen zwischen den Navigationsvorgängen erhalten. Dies führte zu neuen Risiken, weil Objekte zwischen den Navigierungsvorgängen zwischengespeichert werden konnten. Wenn ein Objekt zwischengespeichert werden kann und den Zugriff auf die Inhalte einer Webseite aus einer anderen Domäne ermöglichen kann, liegt eine domänenübergreifende Lücke vor. Sobald der Zugriff auf Eigenschaft im internen Dokument möglich ist, kann mit einem Skript außerhalb der Domäne einer Seite auf die Inhalte einer internen Seite zugegriffen werden. Dies ist ein Verstoß gegen das domänenübergreifende Sicherheitsmodell von Internet Explorer. Beispielsweise können Sie mit dieser Methode Skripts erstellen, die Ereignisse oder Inhalte in einem anderen Frame überwachen, wie z. B. Kreditkartennummern oder andere wichtige Dateien, die in dem anderen Frame eingegeben werden. Was ist anders? Gibt es Abhängigkeiten? Für die wenigen Situationen, in denen dies noch nicht der Fall ist, werden vier zusätzliche Bytes für den zwischengespeicherten Code hinzugefügt. Die Geschwindigkeit sollte dadurch nicht merklich beeinträchtigt werden. Wie kann ich diese Probleme beseitigen? Bei den meisten Risiken wäre Internet Explorer 5 abgestürzt. Das Anwendungskompatibilitätsrisiko zum Beheben des Problems sollte deshalb gering sein. Andere Anwendungen müssen möglicherweise von Fall zu Fall geprüft werden. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Wenn in Ihrer Anwendung die Fehlermeldung Zugriff verweigert angezeigt wird, müssen Sie das Objekt erneut zwischenspeichern, bevor Sie es mit einem Skript abrufen. Im folgenden Beispiel wird der Sicherheitskontext ungültig, wenn die designMode-Eigenschaft in einem Dokumentobjekt festgelegt ist: Fehlerhaftes Beispielskript var d = myFrame.document; d.designMode = "On"; d.open(); <-------------------------verursacht Fehlermeldung "Zugriff verweigert" Korrigiertes Beispielskript var d = myFrame.document; d.designMode = "On"; d = myFrame.document; // Zeiger auf Dokumentobjekt erneut einrichten. d.open(); Internet Explorer-PopupblockerWelche Funktion hat der Popupblocker?Der Popupblocker blockt die meisten unerwünschten Popupfenster. Popupfenster, die geöffnet werden, wenn der Benutzer auf einen Link klickt, werden nicht geblockt. Endbenutzer und IT-Administratoren können bestimmte Domänen programmgesteuerte Popupfenster öffnen lassen. Entwickler können die Popupfunktionalität in Internet Explorer für Anwendungen, die Internet Explorer hosten, verwenden oder auf diese ausweiten. Für wen ist diese Funktion gedacht?Für die meisten Endbenutzer ist das Browsen im Web angenehmer, weil unerwünschte Popupfenster nicht automatisch angezeigt werden. Für Webentwickler beeinflusst der Popupblocker das Verhalten von Fenstern, die von Websites geöffnet werden, z. B. mit den Methoden window.open() und showHelp(). Für Anwendungsentwickler gibt es eine neue Benutzeroberfläche mit der Bezeichnung INewWindowManager. Anwendungen, die das Renderingmodul in Internet Explorer zum Anzeigen von HTML verwenden, können die Popupblocker-Funktionalität verwenden oder erweitern. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Der Popupblocker ist eine neue Funktion für Internet Explorer, die in drei Bereiche unterteilt werden kann:
PopupblockerfunktionenAusführliche Beschreibung Standardwerte Der Popupblocker ist standardmäßig aktiviert. Es gibt Einschränkungen bezüglich der Größe und der Position von Popupfenstern, unabhängig von der Popupblockereinstellung. Es können nur Popupfenster geöffnet werden, die außerhalb des sichtbaren Desktopbereichs liegen oder größer als dieser sind. Weitere Informationen finden Sie unter "Fenstereinschränkungen" in diesem Dokument. Wenn diese Funktionalität aktiviert ist, werden automatische Popupfenster und Hintergrundpopupfenster geblockt. Fenster, die durch das Klicken des Benutzers geöffnet werden, werden weiterhin wie gewohnt geöffnet. Beachten Sie, dass für Sites in den Zonen Vertrauenswürdige Sites und Lokales Intranet nie Popupfenster geblockt werden, da sie als sicher gelten. Dies kann über Internetoptionen auf der Registerkarte Sicherheit konfiguriert werden. Aktivieren des Popupblockers Der Popupblocker ist standardmäßig aktiviert. Ändern können Sie dieses Verhalten im Menü Extras, mit dem Popupblockerobjekt oder in der Informationsleiste, wenn ein Popupfenster geblockt ist. Wenn ein Popupfenster geblockt ist Falls eine Site ein Popupfenster öffnet, das von Internet Explorer geblockt wird, wird in der Informationsleiste eine Benachrichtigung angezeigt und ein Sound wiedergegeben. Wenn Sie auf die Benachrichtigung in der Informationsleiste oder Statusleiste klicken, wird ein Menü mit den folgenden Optionen geöffnet:
Erweiterte Optionen Internet Explorer ermöglicht die erweiterte Konfiguration von Popupblockereinstellungen.
Wann sehen die Benutzer bei aktiviertem Popupblocker Popupfenster? Popupfenster werden weiterhin in den folgenden Fällen geöffnet:
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Popupfenster wurden vielfach falsch verwendet. Durch das Blocken von Popupfenstern hat der Kunde mehr Kontrolle über das Browsen. INewWindowManager Ausführliche Beschreibung Standardmäßig betrifft die Popupblockerfunktionalität keine Anwendungen, die das WebBrowser-Steuerelement oder MSHTML hosten. Diese Anwendungen können Popupblocker verwenden oder erweitern, einen eigenen Popupblocker verwenden oder aber die Popupverwaltung für ihre Anwendung über die INewWindowManager-Schnittstelle deaktivieren. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Methoden: window.open(), window.external.navigateAndFind(), showHelp()Ausführliche Beschreibung In der Internetzone blockt der Popupblocker Fenster, die mit diesen Methoden automatisch geöffnet werden, ohne dass der Benutzer auf einen Link klickt. Fenster, die mit diesen Methoden durch Klicken auf einen Link geöffnet werden, können auch geblockt werden, wenn der Kunde eine restriktivere Einstellung zum Blocken aktiviert hat. Falls eine Funktion normalerweise ein Fensterobjekt zurückgibt, gibt sie NULL zurück, wenn ein Fenster geblockt ist. Webentwickler können eine NULL-Prüfung vornehmen, um festzustellen, ob das Fenster, das Sie öffnen wollten, geblockt war. Fenster, die beim Öffnen außerhalb des Bildschirms liegen, werden im sichtbaren Bereich angezeigt. Die Größe von Fenstern, die beim Öffnen größer als der Bildschirm sind, wird auf den sichtbaren Bereich reduziert. Weitere Informationen finden Sie unter "Fenstereinschränkungen in Internet Explorer" in diesem Dokument. Wie kann ich diese Probleme beseitigen? Stellen Sie sicher, dass alle Fenster, die mit window.open() geöffnet werden, nicht automatisch mithilfe von Code, sondern per Benutzeraktion geöffnet werden. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Webseitenautoren sollten für Fenster, die Sie öffnen, nach NULL-Rückgabewerten suchen. Dies ist ein Hinweis darauf, ob das Popupfenster erfolgreich geöffnet wurde. Entsprechende Maßnahmen können für den jeweiligen Fall ergriffen werden. Falls Ihre Software Fenster automatisch öffnet, werden sie geblockt. Suchen Sie nach alternativen Möglichkeiten, um die weiter oben in diesem Dokument beschriebenen Aktionen auszuführen. Wenn der Kunde auf einen Link oder ein grafisches Element klickt, ist dies die optimale Methode zum Öffnen eines Fensters. Abschwächung nicht vertrauenswürdige Herausgeber in Internet ExplorerWelche Funktion hat die Abschwächung nicht vertrauenswürdiger Herausgeber?Mit dieser Funktion kann der Benutzer alle signierten Inhalte von einem bestimmten Herausgeber blocken, ohne dass dazu das Dialogfeld Authenticode geöffnet werden muss. Dadurch wird verhindert, dass Code des geblockten Herausgebers installiert wird. Diese Funktion blockt auch die Installation von Code mit ungültigen Signaturen. Für wen ist diese Funktion gedacht?Diese Funktion ist für alle Benutzer gedacht, da sie sich mit der Installation und Ausführung von signierten Anwendungen befasst. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Geblockter HerausgeberAusführliche Beschreibung Mithilfe von Authenticode kann der Benutzer verhindern, dass Inhalte für einen bestimmten Herausgeber installiert oder ausgeführt werden. Dazu aktiviert der Benutzer das Kontrollkästchen Inhalt von Herausgebernamenie vertrauen im Dialogfeld Authenticode. Der Benutzer wird dann niemals aufgefordert, wenn Code mit der digitalen Signatur des Herausgebers sich auf dem System zu installieren versucht. Der Code wird automatisch geblockt, ohne dass das Dialogfeld Authenticode angezeigt wird. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Mit dieser Funktion können die Benutzer verhindern, dass ActiveX-Steuerelemente und sonstige signierte Dateiformate im Web wiederholt Eingabeaufforderungen für die Benutzer anzeigen. Die Benutzer hatten keine Möglichkeit zu sagen, dass Inhalte von einem bestimmten Herausgeber abgelehnt werden sollen. Deshalb installierten viele Benutzer Anwendungen oder Inhalte, nur um nicht immer wieder zur Installation aufgefordert zu werden. Was ist anders? Vorher konnte im Dialogfeld Authenticode nur das Kontrollkästchen Inhalt von Herausgebernameimmer vertrauen aktiviert werden, um die automatische Installation von Code von einem bestimmten Herausgeber zu ermöglichen, ohne dass der Benutzer dazu aufgefordert wird. Nun kann der Benutzer den umgekehrten Vorgang ausführen und einen Herausgeber als nicht vertrauenswürdig ausweisen. Für vertrauenswürdigen Code sollten keine Anwendungskompatibilitätsprobleme auftreten. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Sperren ungültiger SignaturenAusführliche Beschreibung Windows sperrt standardmäßig die Installation von signiertem Code, wenn die digitale Signatur ungültig ist. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Falls Code eine ungültige Signatur aufweist, bedeutet dies gewöhnlich, dass der Code seit dem Signieren geändert wurde. In diesem Fall betrachtet Internet Explorer den Code als nicht signiert, da er möglicherweise manipuliert wurde. Internet Explorer sperrt standardmäßig nicht signierte ActiveX-Anwendungen aus der Internetzone. Hiermit wird diese Funktionalität auf jeden Code mit ungültigen Signaturen erweitert. Was ist anders? Code mit ungültigen Signaturen kann standardmäßig nicht installiert werden. Wie kann ich diese Probleme beseitigen? Um zur vorherigen Funktionsweise zurückzukehren und die Ausführung von nicht signiertem Code zuzulassen, lesen Sie weiter unten die Informationen zur RunInvalidSignatures-Einstellung im Abschnitt "Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?". Eine Eingabeaufforderung pro Steuerelement und SeiteAusführliche Beschreibung Internet Explorer zeigt pro ActiveX-Steuerelement und Seite nur eine Eingabeaufforderung an. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Diese Änderung schafft Abhilfe für den Trick, bei dem der Benutzer mehrmals zur Eingabe desselben Steuerelements aufgefordert wird. Selbst wenn der Benutzer die Eingabe wiederholt verweigert, kann er die Schleife nicht verlassen und akzeptiert schließlich die Installation aus purer Frustration. Was ist anders? Für den Benutzer wird pro Seite und Steuerelement nur eine Eingabeaufforderung angezeigt. Auslassungspunkte im Text für Anwendungsbeschreibung und HerausgebernameAusführliche Beschreibung Wenn der Text für die Anwendungsbeschreibung, der Dateiname oder der Herausgebername länger als die Breite des Dialogfeldes ist, fügt Internet ein Auslassungszeichen im Text ein. Der Benutzer weiß dann, dass noch Text vorhanden ist, der aus Platzgründen nicht angezeigt wird. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Dies reduziert die Möglichkeiten von Steuerelementautoren, Marketingtext und EULAs im Dialogfeld einzufügen oder die Benutzer anderweitig auszutricksen und zum Installieren des Steuerelements zu veranlassen. Was ist anders? Anwendungsbeschreibungen, Dateinamen und Herausgebernamen enthalten ein Auslassungszeichen, wenn der Text länger als die Breite des Dialogfeldes ist. Es sollte nicht erforderlich sein, Anwendungen oder Webseiten zu ändern. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?
Fenstereinschränkungen in Internet ExplorerWelche Funktion haben Fenstereinschränkungen?In Internet Explorer können mit Skripts programmgesteuert zusätzliche Fenstertypen geöffnet und Größe und Position vorhandener Fenster angepasst werden. Mit der Sicherheitsfunktion Fenstereinschränkungen, die früher als UI Spoofing Mitigation bezeichnet wurde, werden zwei Arten von durch Skripts initiierte Fenster eingeschränkt, mit denen Benutzer von bösartigen Benutzern getäuscht wurden: Popupfenster (die keine Adressleiste, Titelleiste, Statusleiste und Symbolleisten aufweisen) und Fenster mit Titelleiste und Statusleiste. Für wen ist diese Funktion gedacht?Webentwickler sollten diese neuen Einschränkungen beachten, um Änderungen oder Problemumgehungen für mögliche Auswirkungen auf ihre Website einzuplanen. Anwendungsentwickler sollten diese Funktion prüfen, um Änderungen in ihren Anwendungen zu berücksichtigen. Diese Funktion ist standardmäßig nur für Internet Explorer-Prozesse aktiviert. Entwickler müssen andere als Internet Explorer-Anwendungen registrieren, um die Änderungen zu nutzen. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Neupositionierung von Internet Explorer-Fenstern mit SkriptsAusführliche Beschreibung Durch Skripts initiierte Fenster mit Titelleiste und Statusleiste sind in ihrer Position eingeschränkt. Dadurch wird sichergestellt, dass diese wichtigen und informativen Leisten nach Abschluss des Vorgangs weiterhin sichtbar sind.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Ohne diese Änderung können Fenster, die mit der window.open()-Methode erstellt werden, von Skripts aufgerufen werden und zum Ausspionieren einer Benutzeroberfläche oder eines Desktops oder zum Verstecken gefährlicher Informationen oder Aktivitäten mithilfe einer der drei folgenden Methoden verwendet werden:
Die sichtbaren Sicherheitsfunktionen von Internet Explorer-Fenstern liefern dem Benutzer Informationen, damit er die Herkunft der Webseite und die auf dieser Seite verwendete Kommunikationssicherheit bestimmen kann. Wenn diese Elemente verborgen sind, könnte der Benutzer zu der Annahme verleitet werden, dass er sich auf einer vertrauenswürdigeren Seite befindet, als dies tatsächlich der Fall ist, oder mit einem Systemprozess interagiert, während er in Wirklichkeit mit einem bösartigen Host kommuniziert. Mit der böswilligen Verwendung der Fensterneupositionierung können dem Benutzer falsche Informationen angezeigt werden, wichtige Informationen versteckt werden oder wichtige Elemente der Benutzeroberfläche anderweitig ausspioniert werden, um den Benutzer zu veranlassen, unsichere Aktionen auszuführen oder vertrauliche Informationen preiszugeben. Was ist anders? Gibt es Abhängigkeiten? Diese Änderung schränkt die Positionierung von durch Skripts initiierten Fenstern mit Titel- und Statusleisten ein. Dadurch soll sichergestellt werden, dass die Titelleiste und die Statusleiste in diesen Fenstern für den Benutzer immer sichtbar sind. Mit Skripts kann ein Fenster nicht außerhalb des sichtbaren Bildschirmbereichs verschoben werden. Dies bleibt dem Benutzer vorbehalten. Wenn Sie ein Skript verwenden, das Fenster außerhalb des Bildschirms in Internet Explorer erstellt, müssen Sie den Code ändern. Wie kann ich diese Probleme beseitigen? Wenn Ihr Skript ein Fenster außerhalb des Bildschirmbereichs erstellt, sollten Sie überprüfen, ob dies erforderlich ist, und alternative Methoden verwenden. Größenänderung von Internet Explorer-Fenstern mit SkriptsAusführliche Beschreibung Durch Skripts initiierte Fenster mit Titelleiste und Statusleiste sind in ihrer Größe eingeschränkt, um sicherzustellen, dass die Titel- und Statusleisten nach Abschluss des Vorgangs weiterhin sichtbar sind.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Ohne diese Änderung können Fenster, die mit der window.open()-Methode erstellt werden, von Skripts aufgerufen werden und zum Ausspionieren einer Benutzeroberfläche oder eines Desktops oder zum Verstecken gefährlicher Informationen oder Aktivitäten durch die Größenänderung des Fensters verwendet werden, damit die Statusleiste nicht sichtbar ist. Die sichtbaren Sicherheitsfunktionen von Internet Explorer-Fenstern liefern dem Benutzer Informationen, damit er die Herkunft der Webseite und die auf dieser Seite verwendete Kommunikationssicherheit bestimmen kann. Wenn diese Elemente verborgen sind, könnte der Benutzer zu der Annahme verleitet werden, dass er sich auf einer vertrauenswürdigeren Seite befindet, als dies tatsächlich der Fall ist, oder mit einem Systemprozess interagiert, während er in Wirklichkeit mit einem bösartigen Host kommuniziert. Mit der böswilligen Verwendung der Größenänderung von Fenstern können wichtige Informationen vor dem Benutzer versteckt werden und wichtige Elemente der Benutzeroberfläche anderweitig ausspioniert werden, um den Benutzer zu veranlassen, unsichere Aktionen auszuführen oder vertrauliche Informationen preiszugeben. Was ist anders? Gibt es Abhängigkeiten? Durch diese Änderung gibt es Einschränkungen bei der Größenänderung von durch Skripts initiierten Fenstern, um sicherzustellen, dass die Titelleiste und die Statusleiste dieser Fenster für den Benutzer immer sichtbar sind. Deshalb kann ein Fenster nicht von einem Skript im Kioskmodus geöffnet werden. In diesem Modus werden die Titelleiste, die Adressleiste und die Statusleiste, die für den Benutzer wichtige Sicherheitsinformationen enthalten, nicht angezeigt. Der Benutzer kann festlegen, dass ein Fenster im Kioskmodus angezeigt wird. Dies ist auch weiterhin möglich. Wie kann ich diese Probleme beseitigen? Durch Skripts initiierte Fenster werden vollständig angezeigt, mit der Titelleiste und Statusleiste von Internet Explorer. Der Benutzer oder der Siteadministrator kann diesen Status manuell ändern. Skriptverwaltung der Internet Explorer-StatusleisteAusführliche Beschreibung Internet Explorer wurde geändert, damit die Statusleiste für kein Fenster deaktiviert wird. Die Statusleiste ist für alle Internet Explorer-Fenster immer sichtbar. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Ohne diese Änderung können Fenster, die mit der window.open()-Methode erstellt werden, von Skripts aufgerufen werden und zum Ausspionieren einer Benutzeroberfläche oder eines Desktops oder zum Verstecken gefährlicher Informationen oder Aktivitäten durch Ausblenden wichtiger Elemente der Benutzeroberfläche für den Benutzer verwendet werden. Die Statusleiste ist eine Sicherheitsfunktion von Internet Explorer-Fenstern, mit der dem Benutzer Informationen zu Internet Explorer-Sicherheitszonen bereitgestellt werden. Diese Zone kann nicht ausspioniert werden, und der Benutzer weiß genau, in welcher Sicherheitszone sich die angezeigten Inhalte befinden. Wenn die Statusleiste ausgeblendet ist, könnte der Benutzer zu der Annahme verleitet werden, dass er sich auf einer vertrauenswürdigeren Seite befindet, als dies tatsächlich der Fall ist, während er in Wirklichkeit mit einem bösartigen Host interagiert. Was ist anders? Gibt es Abhängigkeiten? Für ein durch Skripts initiiertes Fenster wird die Statusleiste standardmäßig immer angezeigt, sodass die Sicherheitszone für den Benutzer sichtbar ist. An den Anwendungen sollten keine Änderungen erforderlich sein. Platzierung von Internet Explorer-PopupfensternAusführliche Beschreibung Durch Skripts initiierte Popupfenster sind nun eingeschränkt und es gilt Folgendes:
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Popupfenster werden mit der window.createPopup()-Methode erstellt. Bei diesen Fenstern fehlen Rahmenkomponenten wie z. B. die Adressleiste, die Titelleiste, die Statusleiste und Symbolleisten. Für diese Fenster gilt Folgendes:
Uneingeschränkte Popupfenster können den Benutzer auf verschiedene Weise täuschen:
Was ist anders? Gibt es Abhängigkeiten? Popupfenster sind horizontal, vertikal und in der Anordnung auf anderen Fenstern eingeschränkt.
Diese Einschränkungen können einen Einfluss auf die Darstellung eines Popupfensters haben, wenn es für einen Bereich entworfen wurde, der größer oder vom übergeordneten Fenster getrennt ist. Die Popupfenster werden abgeschnitten, wodurch möglicherweise ein Teil der in diesem Fenster angezeigten Informationen verdeckt wird. Wie kann ich diese Probleme beseitigen? Ändern Sie das Popupfenster, damit es den beschriebenen Einschränkungen entspricht. Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?Für diese Funktion gibt es nur eine Einstellung. Diese Einstellung aktiviert die Fenstereinschränkungen (1) bzw. aktiviert sie nicht (0). Aus Gründen der Anwendungskompatibilität ist diese Funktion standardmäßig für andere als Internet Explorer-Prozesse nicht aktiviert.
Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Das Skript ruft dieselben Methoden zum Erstellen eines Internet Explorer-Fensters (mit der window.open()-Methode) oder eines Internet Explorer-Popupfensters (mit der window.createPopup()-Methode) auf. Es kann jedoch sein, dass das Design überprüft werden muss, um sicherzustellen, dass Popupfenster für den Benutzer sichtbar sind und dass die Statusleiste die richtigen Informationen enthält. Schutz vor Zonenanhebung in Internet ExplorerWelche Funktion hat der Schutz vor Zonenanhebung?Wenn eine Webseite in Internet Explorer geöffnet wird, schränkt Internet Explorer die für diese Seite zulässigen Aktionen ein. Entscheidend ist dabei, woher die Webseite stammt: aus dem Internet, von einem lokalen Intranetserver, von einer vertrauenswürdigen Site usw. Für Seiten im Internet gelten beispielsweise striktere Sicherheitseinschränkungen als für Seiten im lokalen Intranet des Benutzers. Webseiten auf dem Computer des Benutzers befinden sich in der Zone des lokalen Computers und haben die wenigsten Sicherheitseinschränkungen. Dies macht die Zone des lokalen Computers zu einem beliebten Ziel für Benutzer mit bösartigen Absichten. Der Schutz vor Zonenanhebung macht es schwieriger, Code in dieser Zone ausführen zu lassen. Darüber hinaus macht die Sperrung der Zone des lokalen Computers die Zone weniger verwundbar gegenüber Benutzern mit bösartigen Absichten, indem sie die Sicherheitseinstellungen ändert. Für wen ist diese Funktion gedacht?Webentwickler müssen Änderungen oder Problemumgehungen für etwaige Auswirkungen auf ihre Website einplanen. Anwendungsentwickler sollten diese Funktion prüfen, um Änderungen in ihren Anwendungen zu berücksichtigen, die in der Sicherheitszone des lokalen Computers ausgeführt werden. Diese Funktion ist für andere als Internet Explorer-Prozesse standardmäßig nicht aktiviert. Entwickler müssen deshalb ihre Anwendungen registrieren, um die Änderungen zu nutzen. Für Endbenutzer könnte es Beeinträchtigungen durch Sites geben, die nicht mit diesen strengen Regeln und Einstellungen kompatibel sind. Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?Schutz vor ZonenanhebungAusführliche Beschreibung Internet Explorer verhindert, dass der Gesamtsicherheitskontext für Links auf einer Seite höher ist als der Sicherheitskontext des Stamm-URLs. Dies bedeutet, dass beispielsweise eine Seite in der Internetzone nicht zu einer Seite in der lokalen Intranetzone wechseln darf. Ein Skript beispielsweise könnte diesen Wechsel nicht verursachen. Zum Zwecke dieser Abschwächung ist die Sicherheitskontextreihenfolge – von der höchsten Sicherheit zur niedrigsten – die folgende: Eingeschränkte Sites, Internet, Lokales Intranet, Vertrauenswürdige Sites, Zone des lokalen Computers. Der Schutz vor Zonenanhebung deaktiviert auch JavaScript-Navigation, wenn kein Sicherheitskontext vorhanden ist. Wenn ein Benutzer auf einen Link klickt, durch den die Website zu einer höheren Zone zu wechseln versucht, wird die Navigation zur Zone des lokalen Computers gesperrt, oder in Internet Explorer wird ein Dialogfeld mit einer von zwei Meldungen angezeigt. Die kursiv formatierten Bestandteile sind von der jeweiligen Situation abhängig.
In beiden Fällen lässt die Standardaktion die Zonenanhebung nicht zu. Der Benutzer muss die angeforderte Zonenanhebung explizit zulassen. Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei? Das Anheben der Berechtigung ist eines der größten Sicherheitsrisiken in Internet Explorer, mit dem Ziel bösartigen Code in der Zone des lokalen Computers auszuführen. Der Schutz vor Zonenanhebung wehrt viele Angriffe durch die Anhebung von Berechtigungen ab. Was ist anders? Die Navigation von einer Zone zu einer "höheren" Zone ist gesperrt. Dies bedeutet, dass Webseiten fehlschlagen, die automatisch Webseiten mit höheren Berechtigungen aufrufen. Wie kann ich diese Probleme beseitigen? Wenn keine vertrauenswürdige Webanwendung verwendet werden kann, können Sie die Sicherheitszoneneinstellungen in Internet Explorer ändern, damit die Anwendung verwendet werden kann. Sie können die Einstellung für den Schutz vor Zonenanhebung für jede Sicherheitszone ändern, indem Sie den 2101-Registrierungsschlüssel von Deaktiviert auf Eingabeaufforderung oder Zulassen festlegen. Um z. B. die Einstellung für die Zone des lokalen Computers zu ändern, würden Sie den Registrierungsschlüssel wie folgt ändern: HKEY_CURRENT_USER\Software\Microsoft "2101"=dword:00000001 für Eingabeaufforderung "2101"=dword:00000000 für Zulassen Netzwerkprotokollsperrung in Internet ExplorerWelche Funktion hat die Netzwerkprotokollsperrung?In der RTM-Version von Windows XP SP2 kann Internet Explorer so konfiguriert werden, dass HTML-Inhalte von bestimmten Netzwerkprotokollen in zusätzlichen Zonen außer der Zone des lokalen Computers gesperrt werden. Mit dieser Funktion kann der Administrator die Einschränkungen der Sperrung der Zone des lokalen Computers (siehe weiter oben in diesem Dokument) auf alle Inhalte in einem beliebigen Protokoll und in einer beliebigen Sicherheitszone ausweiten. Beispielsweise kann der Administrator für Internet Explorer konfigurieren, dass HTML-Inhalte, die im Protokoll Shell: gehostet werden, gesperrt werden, falls sie sich in der Internetzone befinden. Da das Protokoll Shell: im Normalfall nicht für Internetinhalte, sondern für lokale Inhalte verwendet wird, kann diese Abschwächung die Angriffsfläche des Browsers für Sicherheitsrisiken bei Protokollen, die nicht so oft wie HTTP verwendet werden, reduzieren. Für wen ist diese Funktion gedacht?Standardmäßig ist die Netzwerkprotokollsperrung für keine Anwendung aktiviert. Alle Anwendungsentwickler sollten mit dieser Funktion vertraut sein. Anwendungen, die HTML-Dateien über andere als HTTP-Protokolle in Internet Explorer hosten, können in Unternehmen, in denen Administratoren zusätzliche Einschränkungen anwenden, davon betroffen sein. Entwickler von eigenständigen Anwendungen, die Internet Explorer hosten, sollten ihre Anwendungen ändern und die Netzwerkprotokollsperrung verwenden. Entwickler müssen ihre Anwendungen registrieren, um die Änderungen zu nutzen. Anwendungsentwickler, die dies nicht nutzen, sollten ihre Anwendungen auf die Unterstützung beliebiger Protokolle hin überprüfen. Softwareentwickler mit Anwendungen, die Internet Explorer hosten, können diese Funktion verwenden, indem Sie wie weiter unten in diesem Dokument beschrieben den Prozessnamen der Registrierung hinzufügen. In Zukunft wird Microsoft diese Funktion möglicherweise so implementieren, dass bestimmte selten verwendete Protokolle standardmäßig eingeschränkt sind und Anwendungen ausgeschlossen werden können (und nicht wie derzeit eingeschlossen werden können). Anwendungen, die Internet Explorer hosten, sollten getestet werden, um deren ordnungsgemäße Funktionsweise sicherzustellen, wenn die Netzwerkprotokollsperrung für den Prozess aktiviert ist. Netzwerkadministratoren sollten eventuell nicht verwendete Protokolle der Liste mit den eingeschränkten Protokollen auf verwalteten Desktopcomputern hinzufügen. Wenn der Netzwerkadministrator diese Einschränkung aktiviert, sind möglicherweise HTML-Dateien davon betroffen. Entwickler von Websites, die mit dem HTTP-Protokoll gehostet werden, sollten von Einschränkungen an anderen Protokollen nicht betroffen sein. Die Benutzer sind höchstwahrscheinlich von diesen strengeren Einschränkungen betroffen, wenn der Netzwerkadministrator bestimmte Protokolle für deren Desktop eingeschränkt hat. Welche vorhandenen Funktionen ändern sich in Windows XP Service Pack 2?Änderungen an Sicherheitseinstellungen für eingeschränkte ProtokolleAusführliche BeschreibungIn Windows XP Service Pack 2 können HTML-Inhalte in einer Anwendung, die mit einem eingeschränkten Protokoll bereitgestellt werden, nur auf einer höheren Sicherheitsstufe ausgeführt werden. Jedes Mal, wenn die Inhalte mit dem eingeschränkten Protokoll eine eingeschränkte Funktion verwenden möchten, wie z. B. ActiveX-Steuerelemente, wird in Internet Explorer die Informationsleiste mit folgender Meldung angezeigt: Diese Webseite versucht mit dem Computer über ein Protokoll zu kommunizieren, das durch die Sicherheitseinstellungen nicht zugelassen ist. Klicken Sie hier, um Optionen anzuzeigen… Der Benutzer kann auf die Informationsleiste klicken, um die Sperrung für eingeschränkte Inhalte zu entfernen. Die Sicherheitseinstellungen, die für die Inhalte in den eingeschränkten Protokollen gesperrt werden, sind mit den Einstellungen identisch, die die für die weiter oben in diesem Dokument beschriebene Sperrung der Zone des lokalen Computers erzwungen werden. Lesen Sie diesen Abschnitt, um zu erfahren, welche Sicherheitseinstellungen für die Inhalte in den eingeschränkten Protokollen erzwungen werden. Die Funktion für eingeschränkte Protokolle ist für Internet Explorer und alle Anwendungen standardmäßig DEAKTIVIERTAusführliche BeschreibungDas Verhalten der Netzwerkprotokollsperrung wird durch die neue Funktionssteuerungseinstellung von Internet Explorer gesteuert. Diese Funktion soll Netzwerkadministratoren zusätzliche Sicherheit bieten, weshalb die Internet Explorer-Standardprozesse IExplore.exe und Explorer.exe standardmäßig nicht aktiviert sind. Zum Aktivieren der Netzwerkprotokollsperrung sollten Netzwerkadministratoren oder Entwickler ein DWORD in einem der folgenden Pfade hinzufügen. Dabei entspricht der Name dem Prozessnamen, und als Wert wird 1 festgelegt, um die Abschwächung zu nutzen. Mit dem Wert 0 wird diese Funktion deaktiviert. HKEY_LOCAL_MACHINE\Software HKEY_CURRENT_USER\Software Anwendungen können explizit ausgeschlossen werden, um zu verhindern, dass die Abschwächung angewandt wird, indem die Abschwächung mithilfe eines Platzhalters deaktiviert wird. Verhalten pro Zone, wenn eine Anwendung eingeschlossen ist Für einen eingeschlossenen Prozess wird das Verhalten der Netzwerkprotokollsperrung auch pro Zone mithilfe einer neuen Internet Explorer-Sicherheitseinstellung oder URLAction gesteuert. Für diese URLAction werden die folgenden Werte festgelegt:
Gesperrte Protokolle pro Zone Die Liste der gesperrten Protokolle wird für jede Zone separat definiert, sodass ein Protokoll in einer Zone gesperrt und in einer andere Zone zulässig sein könnte. Protokolle können für eine Zone eingeschränkt werden, indem der Protokollname der Liste mit den gesperrten Protokollen für eine bestimmte Sicherheitszone hinzugefügt wird.
Protokolle, die gesperrt werden können Die Standardliste der eingeschränkten Protokolle ist leer. Netzwerkadministratoren sollten zusätzliche Protokolle hinzufügen, von denen sie wissen, dass sie in ihrem Unternehmen für eine bestimmte Zone nicht benötigt werden. Netzwerkadministratoren sollten eventuell einige der folgenden Windows-Standardprotokolle auf verwalteten Desktopcomputern und andere Protokolle, die nicht für die HTML-Darstellung erforderlich sind, für aktive Inhalte im Unternehmen einschränken.
Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei?Diese Änderung bietet einen umfassenden allgemeinen Schutz vor Sicherheitsrisiken durch seltener verwendete Protokolle. Beispielsweise könnte ein mit dem Protokoll Local:// ausgeführtes ActiveX-Steuerelement, annehmen, dass es in der Zone des lokalen Computers geladen wird, und deshalb der geöffneten Seite erhöhte Berechtigungen erteilen. Was ist anders? Gibt es Abhängigkeiten?Wenn eine Webseite mit einem Protokoll bereitgestellt wird, das für eine bestimmte Zone eingeschränkt ist, eingeschränkte Inhalte wie z. B. ActiveX verwendet, zeigt Internet Explorer wie weiter oben beschrieben die Informationsleiste an. Wie kann ich diese Probleme beseitigen?Wenn Ihre Webseite ActiveX-Steuerelemente oder Skripts mit einem Protokoll ausführen muss, das für Ihr Intranet eingeschränkt werden sollte, können die HTML-Inhalte ordnungsgemäß dargestellt werden, indem Sie die entsprechende Domäne auf den verwalteten Desktopcomputern in die Zone der vertrauenswürdigen Sites verschieben. Als langfristige Lösung können Sie nach Möglichkeiten suchen, die Inhalte aus dem eingeschränkten Protokoll zu entfernen. Wenn dies möglich ist, können Sie aber auch die aktiven Inhalte vollständig aus den eingeschränkten Protokollseiten entfernen, indem Sie auf dem Server erforderliche Berechnungen mithilfe eines serverseitigen Skripts wie z. B. Active Server Page ausführen. Muss ich den Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?Diese Funktion ist standardmäßig deaktiviert. Sie müssen deshalb Ihre HTML-Inhalte wahrscheinlich nur ändern, wenn sie mit einem Protokoll ausgeführt werden, das vom Netzwerkadministrator für Ihr Unternehmen gesperrt wurde.
|
In diesem Beitrag
|
