Verwalten von Windows XP Service Pack 2-Funktionen mithilfe von Gruppenrichtlinien

Richtlinieneinstellungen für Internet Explorer

Veröffentlicht: 01. Aug 2004

Mit SP2 stehen erweiterte Features zum Verwalten von Internet Explorer mithilfe von Gruppenrichtlinien bereit. Vor der Einführung von SP2 konnten viele der sicherheitsbezogenen Einstellungen von Internet Explorer nur mithilfe von Benutzereinstellungen verwaltet werden. Eine Verwaltung war hiermit nur eingeschränkt möglich, da die Benutzer diese Einstellungen über die Benutzeroberfläche von Internet Explorer oder in der Registrierung ändern konnten.

Mit SP2 können die Einstellungen von Internet Explorer mit Hilfe von ADM-Richtlinieneinstellungen verwaltet werden. Im Gegensatz zu den Benutzereinstellungen werden diese neuen Richtlinieneinstellungen in einer sicheren Teilstruktur der Registrierung abgelegt, so dass sie von den Benutzern weder über die Oberfläche von Internet Explorer noch über die Registrierung geändert werden können. Diese Richtlinien werden als "echte Richtlinien" bezeichnet. Unter Windows XP mit SP2 können sämtliche Sicherheitseinstellungen von Internet Explorer sowohl für Computer- als auch für Benutzerkonfigurationen mit diesen neuen Richtlinieneinstellungen verwaltet werden. Hiermit werden die echten Richtlinien sicher gemacht, zumal sie nur von einem Administrator festgelegt werden können.

Mit SP2 stehen zwei primäre Kategorien von Richtlinieneinstellungen bereit:

•	Das Feature Sicherheitsfunktionen, das zum Steuern von Sicherheitsbereichen in Internet Explorer verwendet wird.
•	URL-Aktionen, die verwendet werden, um die konfigurierbaren Aktionen (auch als URL-Aktionen bezeichnet) unter den Einstellungen auf der Registerkarte Sicherheit von Internet Explorer zu steuern.

Dieser Abschnitt befasst sich nur mit den neuen Richtlinieneinstellungen für Internet Explorer. Weitere Informationen über Sicherheitsfunktionen und URL-Aktionen von Internet Explorer finden Sie in "Part 5: Web Browsing Security" des Leitfadens "Changes to Functionality in Microsoft Windows XP with Service Pack 2" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=29126.

Auf dieser Seite

	Richtlinieneinstellungen für "Sicherheitsfunktionen"
	URL-Aktionen

Richtlinieneinstellungen für "Sicherheitsfunktionen"

Mit SP2 werden neue Gruppenrichtlinieneinstellungen für Sicherheitsfunktionen für Internet Explorer eingeführt, die zum Steuern verschiedener Sicherheitsaspekte von Internet Explorer verwendet werden können. Die Richtlinieneinstellungen für das Feature Sicherheitsfunktionen befinden sich in der aktualisierten Datei Inetres.adm, die zum Lieferumfang von SP2 gehört. Bei der Installation von Internet Explorer werden die Standardeinstellungen für das Feature Sicherheitsfunktionen in der Registrierung des Computers unter HKEY_LOCAL_MACHINE registriert. Die Richtlinieneinstellungen für Sicherheitsfunktionen stehen sowohl unter dem Knoten Computerkonfiguration als auch unter dem Knoten Benutzerkonfiguration des Gruppenrichtlinienobjekt-Editors unter \Adminstrative Vorlagen\Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen zur Verfügung.

Dieser Richtlinieneinstellungen erhöhen die Flexibilität bei der Verwaltung bestimmter Szenarien, die ggf. die Sicherheit von Internet Explorer betreffen. In den meisten Fällen versuchen Sie wahrscheinlich zu verhindern, dass ein bestimmtes Verhalten in Internet Explorer auftritt, daher müssen Sie sicherstellen, dass die Sicherheitsfunktion für die Prozesse Iexplorer.exe und Explorer.exe aktiviert ist. Beispielsweise ist es möglich, dass böswilliger Code versucht, die eigenen Berechtigungen zu erweitern, indem Code in der Zone Lokaler Computer und nicht in der Internetzone ausgeführt wird. Zur Abwehr solcher Angriffe kann die Richtlinieneinstellung Schutz vor Zonenanhebung verwendet werden.

Für jede der Richtlinieneinstellungen für Sicherheitsfunktionen können wiederum Richtlinieneinstellungen festgelegt werden, die das Verhalten der Sicherheitsfunktionen steuern, und zwar mithilfe von Internet Explorer-Prozessen, einer Liste mit definierten Prozessen oder aller Prozesse, ungeachtet, von wo sie ursprünglich stammen. Einige der Richtlinieneinstellungen für Sicherheitsfunktionen beinhalten weitere Richtlinieneinstellungen, mit denen zusätzliche Features wie Vom Administrator zugelassenes Verhalten oder Add-On-Liste bereitgestellt werden. Zu den drei Optionen für jede Sicherheitsfunktion gehören die folgenden Richtlinieneinstellungen:

•	Internet Explorer-Prozesse. Hiermit können alle von Internet Explorer erstellten Prozesse mit dem Feature Sicherheitsfunktionen eingeschränkt werden. Diese Richtlinieneinstellung wird für eine Sicherheitsfunktion aktiviert, wenn der Administrator den Zugriff mit einem beliebigen von Internet Explorer initiierten Prozess steuern möchte. Wenn diese Richtlinieneinstellung aktiviert wird, werden automatisch die Prozesse Explorer.exe und Iexplore.exe in die Prozessliste gesetzt.
•	Prozessliste. Dies ist eine Liste von seitens des Administrators definierten Prozessen, die zudem angibt, ob jeder dieser Prozesse in der Lage ist, die Sicherheitsfunktion zu nutzen. Diese Richtlinieneinstellung wird verwendet, wenn der Administrator das Feature Sicherheitsfunktionen für eine bestimmte Anwendung wie eine intern entwickelte Anwendung oder die Komponente eines Drittanbieters in Kraft setzen möchte.
•	Alle Prozesse. Diese Richtlinieneinstellung hindert alle Prozesse daran, die Sicherheitsfunktion zu verwenden, ungeachtet, wie oder in welchem Sicherheitskontext sie gestartet wurden.

Die Richtlinieneinstellungen für Sicherheitsfunktionen werden ausschließlich über Gruppenrichtlinien verwaltet, und die Standardeinstellungen von Sicherheitsfunktionen können nur programmgesteuert oder in der Registrierung geändert werden.

SP2 umfasst die folgenden Richtlinieneinstellungen für Internet Explorer-Sicherheitsfunktionen.

Hinweis
Wenn Sie Internet Explorer-Prozesse für die Richtlinieneinstellungen dieser Sicherheitsfunktionen aktivieren oder deaktivieren möchten, verwenden Sie die Sicherheitsrichtlinie Internet Explorer-Prozesse; geben Sie keine Internet Explorer-Prozesse in die Richtlinieneinstellung Prozessliste ein. Wenn Sie die Richtlinieneinstellung Alle Prozesse aktivieren, haben die in der Richtlinieneinstellung Prozessliste konfigurierten Prozesse Vorrang vor der Richtlinieneinstellung Alle Prozesse. Dies bedeutet, dass die Einstellungen von Prozessliste die Einstellungen von Alle Prozesse außer Kraft setzen. Dies trifft auf alle Richtlinieneinstellungen im Knoten Sicherheitsfunktionen zu.

Richtlinie "Sicherheitseinschränkung für Binärverhalten"

Internet Explorer beinhaltet dynamische Binärverhalten: Komponenten, die bestimmte Funktionen für die zugeordneten HTML-Elemente kapseln. Diese Richtlinieneinstellung steuert, ob die Einstellung Sicherheitseinschränkung für Binärverhalten zugelassen wird oder nicht.

Neben den drei im Vorfeld erläuterten Arten von Richtlinieneinstellungen enthält die Richtlinieneinstellung Sicherheitseinschränkung für Binärverhalten die folgende Richtlinieneinstellung:

•

Vom Administrator zugelassenes Verhalten. Wenn Sie diese Richtlinieneinstellung aktivieren, legt dies die Liste der Verhalten fest, die in jeder Zone zugelassen sind, für die Binär- und Skriptverhalten auf Vom Administrator zugelassen festgelegt ist. Verhalten müssen in der Notation #Paket#Verhalten eingegeben werden, zum Beispiel: #default#vml.

Wenn diese Richtlinie sowohl in der Computerkonfiguration als auch in der Benutzerkonfiguration festgelegt wird, werden beide Listen von Verhalten jeweils zugelassen.

Sicherheitseinschränkung für MK-Protokoll

Die Richtlinieneinstellung Sicherheitseinschränkung für MK-Protokoll verringert die Angriffsfläche, indem das MK-Protokoll deaktiviert wird. Für auf dem MK-Protokoll gehostete Ressourcen treten Fehler auf.

Sperrung der Zone des lokalen Computers

Wenn Internet Explorer eine Webseite öffnet, gelten, je nachdem, wo sich die Webseite befindet (Internet, Intranet, Zone des lokalen Computers usw.), Einschränkungen für diese Seite. Webseiten auf dem lokalen Computer befinden sich in der Zone des lokalen Computers und haben die wenigsten Sicherheitseinschränkungen. Die Sicherheit der Zone des lokalen Computers gilt für alle lokalen Dateien und Inhalte, die von Internet Explorer verarbeitet werden. Dieses Feature trägt dazu bei, Angriffe zu erschweren, in denen die Zone des lokalen Computers als Angriffsmittel zum Laden bösartigen HTML-Codes verwendet wird.

Konsistente MIME-Verarbeitung

Internet Explorer verwendet MIME-Daten (Multipurpose Internet Mail Extensions), um zu bestimmen, wie mit Dateien verfahren werden soll, die von einem Webserver gesendet wurden. Diese Richtlinieneinstellung legt fest, ob Internet Explorer verlangt, dass alle Dateitypinformationen, die von Webservern zur Verfügung gestellt werden, konsistent sein müssen. Wenn als MIME-Typ einer Datei text/plain angegeben wurde, die MIME-Ermittlung jedoch zeigt, dass es sich bei der Datei um eine ausführbare Datei handelt, benennt Internet Explorer die Datei um. Dazu wird die Datei im Internet Explorer-Cache gespeichert und deren Erweiterung geändert.

Sicherheitsfunktion für MIME-Sniffing

Diese Richtlinieneinstellung legt fest, ob die MIME-Ermittlung von Internet Explorer das Heraufstufen der Datei eines Typs zu einem gefährlicheren Dateityp verhindert. Beispielsweise wird nicht zugelassen, dass ein Skript aus einer Datei ausgeführt wird, die als Textdatei gekennzeichnet ist.

Objektzwischenspeicherungsschutz

Diese Richtlinieneinstellung legt fest, ob auf einen Objektverweis zugegriffen werden darf, wenn der Benutzer innerhalb der selben Domäne oder zu einer anderen Domäne navigiert.

Sicherheitseinschränkungen für Skriptfenster

Internet Explorer bietet Skripts die Möglichkeit, programmgesteuert zusätzliche Fenster verschiedenen Typs zu öffnen und die Größe und Position vorhandener Fenster zu ändern. Die Sicherheitsfunktion Fenstereinschränkungen schränkt Popupfenster ein und verhindert, dass Skripts Fenster anzeigen, in denen Titel- und Statusleiste für den Benutzer nicht sichtbar sind oder die Sichtbarkeit der Titel- und Statusleiste anderer Fenster behindern.

Schutz vor Zonenanhebung

Internet Explorer legt Einschränkungen für jede geöffnete Webseite fest. Diese Einschränkungen hängen davon ab, wo sich die Webseite befindet (Internet, Intranet, Zone des lokalem Computers usw.). Für Webseiten auf dem lokalen Computer gelten beispielsweise die wenigsten Sicherheitseinschränkungen. Sie befinden sich in der Zone des lokalen Computers, was diese Zone zu einem beliebten Ziel für Benutzer mit bösartigen Absichten macht. Der Schutz vor Zonenanhebung deaktiviert auch JavaScript-Navigation, wenn kein Sicherheitskontext vorhanden ist.

Informationsleiste

Diese Richtlinieneinstellung ermöglicht es Ihnen zu verwalten, ob die Informationsleiste für Internet Explorer-Prozesse angezeigt wird, wenn Datei- oder Codeinstallationen eingeschränkt sind. Standardmäßig wird die Informationsleiste für Internet Explorer-Prozesse angezeigt.

ActiveX-Installation einschränken

Diese Richtlinieneinstellung ermöglicht das Blocken der Eingabeaufforderung für die Installation von ActiveX®-Steuerelementen für Internet Explorer-Prozesse.

Dateidownload einschränken

Diese Richtlinieneinstellung aktiviert das Blocken der Eingabeaufforderung für nicht vom Benutzer initiierte Dateidownloads.

Add-On-Verwaltung

Diese Richtlinieneinstellung ermöglicht Ihnen sicherzustellen, dass alle Internet Explorer-Add-Ons, die nicht in der Richtlinieneinstellung Add-On-Liste aufgeführt sind, gesperrt werden.

Die Add-On-Verwaltung umfasst die folgenden Richtlinieneinstellungen:

•	Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind. Standardmäßig definiert die Richtlinieneinstellung Add-On-Liste eine Liste von Add-Ons, die per Gruppenrichtlinie zugelassen oder gesperrt werden. Benutzer können jedoch immer noch die Add-On-Verwaltung in Internet Explorer verwenden, um Add-Ons zu verwalten, die nicht in der Richtlinieneinstellung Add-On-Liste aufgeführt sind. Diese Richtlinieneinstellung beraubt die Benutzer dieser Option auf effektive Weise – für alle Add-Ons wird Sperrung angenommen, wenn sie nicht ausdrücklich durch die Richtlinieneinstellung Add-On-Liste zugelassen werden.
•	Add-On-Liste. Diese Richtlinieneinstellung ermöglicht es Ihnen, eine Liste der von Internet Explorer zugelassenen oder gesperrten Add-Ons zu verwalten. Diese Liste kann mit der Richtlinieneinstellung Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind verwendet werden, die definiert, dass hier nicht aufgeführte Add-Ons als gesperrt betrachtet werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine Liste der von Internet Explorer zugelassenen oder gesperrten Add-Ons eingeben. Geben Sie für jeden Eintrag, den Sie zur Liste hinzufügen, die folgenden Informationen ein: Name des Wertes (die Klassenkennung, CLSID) für das Add-On, und einen Wert, bei dem es sich um eine Zahl handelt, die angibt, ob Internet Explorer das zu ladende Add-On ablehnen oder zulassen soll.
•	Prozessliste. Diese Richtlinieneinstellung ermöglicht es Ihnen zu verwalten, ob für die aufgeführten Prozesse die Benutzerpräferenzen der Add-On-Verwaltung (wie dort eingegeben) oder Richtlinieneinstellungen gelten. Standardmäßig verwenden Internet Explorer-Prozesse die Benutzerpräferenzen und Richtlinieneinstellungen der Add-On-Verwaltung. Diese Richtlinieneinstellung ermöglicht Ihnen die Erweiterung der Unterstützung für diese Benutzerpräferenzen und Richtlinieneinstellung auf bestimmte Prozesse, die in der Prozessliste aufgeführt sind.
•	Alle Prozesse. Diese Richtlinieneinstellung ermöglicht es Ihnen zu verwalten, ob für Prozesse die Benutzerpräferenzen der Add-On-Verwaltung (wie dort angegeben) oder Richtlinieneinstellungen gelten. Standardmäßig ignorieren andere Prozesse als Internet Explorer-Prozesse oder die in der Richtlinieneinstellung Prozessliste aufgeführten Prozesse die Benutzereinstellungen und Richtlinieneinstellungen der Add-On-Verwaltung.

Eingeschränkte Netzwerkprotokollsperrung

Mit den Sicherheitseinschränkungen der Netzwerkprotokollsperrung wird eine Liste mit eingeschränkten Protokollen gesteuert. Der Knoten Eingeschränkte Protokolle pro Sicherheitszone in Netzwerkprotokollsperrung bietet Richtlinieneinstellungen, die verwendet werden, um eine Liste der eingeschränkten Protokolle für die Sicherheitszonen Internet, Intranet, vertrauenswürdige Sites, eingeschränkte Sites und lokaler Computer festzulegen. Diese Richtlinieneinstellungen können konfiguriert werden, um durch eingeschränkte Protokolle erhaltene aktive Inhalte daran zu hindern, auf eine unsichere Weise ausgeführt zu werden. Zu diesem Zweck kann der Benutzer zur Bestätigung aufgefordert werden, oder die Inhalte können einfach deaktivieren werden. Diese Richtlinieneinstellungen gelten für alle Prozesse, die für die Sicherheitseinschränkung optiert haben.

Weitere Informationen über das Feature Sicherheitsfunktionen finden Sie in "Part 5: Web Browsing Security" des Leitfadens "Changes to Functionality in Microsoft Windows XP with Service Pack 2" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=29126.

Zum Seitenanfang

URL-Aktionen

Mit SP2 stehen neue Richtlinieneinstellungen zum Steuern von Aktionen (URL-Aktionen) bereit, die unter Verwendung der Internet Explorer-Registerkarte Sicherheit konfiguriert werden können. Eine URL-Aktion ist eine Aktion, die ein Browser unternehmen kann und die für den lokalen Computer ggf. ein Sicherheitsrisiko darstellt, wie das Ausführen eines Java-Applets oder eines ActiveX-Steuerelements. URL-Aktionen entsprechen Sicherheitseinstellungen in der Registrierung, die die Aktion bezeichnen, die für dieses Feature in der Sicherheitszone unternommen werden muss, in der sich der URL befindet. Zu den URL-Aktionseinstellungen gehören je nach Anforderung Aktivieren, Deaktivieren und Bestätigen.

Zur Bereitstellung einer erweiterten Sicherheitsverwaltung für URL-Aktionen in Internet Explorer können die neue Gruppenrichtlinieneinstellungen Sicherheitsseite verwendet werden. Mit der Verwendung von Gruppenrichtlinien zum Steuern der Sicherheit für URL-Aktionen können standardmäßige Internet Explorer-Konfigurationen für alle Benutzer und Computer in der Organisation erstellt werden, wobei diese Richtlinieneinstellungen dann vom System in Kraft gesetzt werden.

Für noch mehr Sicherheit sollten Richtlinien für alle URL-Zonen aktiviert werden, indem die Richtlinieneinstellungen der Vorlage für die Sicherheitszone verwendet werden, damit sichergestellt ist, dass mit der Gruppenrichtlinie eine bekannte Konfiguration anstelle einer unbekannten Einstellung aktiviert wird, die aus den benutzerseitig angegebenen Präferenzen ausgelesen wird. Weitere Informationen enthält der Abschnitt "Richtlinieneinstellungen der Vorlage für URL-Aktionen" an späterer Stelle in diesem Dokument. Wenn Sie mithilfe der Vorlagen für Sicherheitszone Sicherheitsrichtlinien für alle Zonen festlegen, sollten Sie auch erwägen, die Richtlinieneinstellung zum Deaktivieren der Sicherheitsseite zu aktivieren, die bewirkt, dass auf Benutzeroberfläche von Internet Explorer nicht mehr zugegriffen werden kann. Diese Richtlinieneinstellung Sicherheitsseite deaktivieren finden Sie im Knoten Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung.

Sie können basierend auf den spezifischen Geschäftsanforderungen auch verschiedene Benutzer- oder Computerkonfigurationen für die Sicherheitsrichtlinie URL-Aktionen erstellen Sie können separate GPOs (Gruppenrichtlinienobjekte) erstellen und Richtlinieneinstellungen für URL-Aktionen festlegen, den auf die speziellen Anforderungen von Benutzer- und Computergruppen zugeschnitten sind. Auf diese Weise können Sie die Richtlinieneinstellungen für URL-Aktionen nach Bedarf optimieren.

Ggf. müssen Sie in einige Sicherheitsfunktionen in einer gegebenen Sicherheitszone deaktivieren; diese Möglichkeit dient primär der Anwendungskompatibilität. Wenn Benutzer beispielsweise eine bestimmte Anwendung im Extranet benötigen und diese Anwendung nicht ausgeführt werden kann, weil eine Einschränkung unter Windows XP mit SP2 dies verhindert, können Sie eine Richtlinieneinstellung mit einer URL-Aktion definieren, die erlaubt, dass die Anwendung ausgeführt wird.

Die Richtlinieneinstellungen zum Steuern von URL-Aktionen stehen sowohl unter dem Knoten Computerkonfiguration als auch unter dem Knoten Benutzerkonfiguration des Gruppenrichtlinienobjekt-Editors unter \Adminstrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite zur Verfügung. Die Richtlinieneinstellungen für URL-Aktionen werden an die folgenden Registrierungsadressen in die Unterschlüssel unter Zonen, \0, \1, \2,\ 3\ und \4, geschrieben:

Hinweis: Die Zeile wurde zur besseren Lesbarkeit in mehrere Zeilen unterteilt. Wenn Sie diese Zeile in einem System testen möchten, müssen Sie sie als einzelne Zeile ohne Zeilenumbruch eingeben.

•	HKEY_LOCAL_MACHINE\ Software\Policies\Microsoft\Windows\ CurrentVersion\Internet Settings\Zones
•	HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ CurrentVersion\Internet Settings\Zones

Darüber hinaus sollten Sie sich auch mit den Richtlinieneinstellungen des Features Sicherheitsfunktionen auskennen. Einige der Einstellungen für URL-Aktionen treten erst in Kraft, wenn die entsprechende Richtlinie des Features Sicherheitsfunktionen aktiviert ist. Internet Explorer prüft, ob die Sicherheitsfunktion aktiviert ist. Falls ja und wenn die Sicherheitsfunktion mit URL-Aktionen arbeitet, wird die Einstellung für die Aktion basierend auf der Sicherheitszone des URLs geprüft. Näheres hierzu enthält der Abschnitt "Feature Sicherheitsfunktionen" an früherer Stelle in diesem Dokument.

In Internet Explorer, Version 4.0 oder höher, unterteilt der Browser die URL-Namespaces in URL-Sicherheitszonen, denen dann unterschiedliche Vertrauensebenen zugeordnet werden. Zu diesen Sicherheitszonen gehören die folgenden:

•	Lokale Intranetzone. Benutzer verwenden die lokale Intranetzone für Inhalte, die sich im Intranet der Organisation befinden. Da sich die Server und Daten innerhalb der Firewall der Organisation befinden, kann der Benutzer oder die Organisation den Inhalten im Intranet eine höhere Vertrauensebene zuweisen.
•	Zone der vertrauenswürdigen Sites. Benutzer verwenden die Zone der vertrauenswürdigen Sites für Inhalte, die sich auf Websites befinden, die als achtbarer oder vertrauenswürdiger als andere Sites im Internet betrachtet werden. Benutzer können diese Zone verwenden, um diesen Sites eine höhere Vertrauensebene zuzuweisen und so die Anzahl der Authentifizierungsanforderungen zu verringern. Der Benutzer fügt die URLs von vertrauenswürdigen Websites dieser Zone hinzu.
•	Internetzone. Benutzer verwenden die Internetzone für Websites im Internet, die keiner anderen Zone angehören. Diese Standardeinstellung bewirkt, dass Internet Explorer immer die Bestätigung des Benutzers anfordert, wenn potenziell unsichere Inhalte zum Download bereitstehen. Websites, die keiner der anderen Zonen zugeordnet werden, fallen automatisch in diese Zone.
•	Zone für eingeschränkte Sites. Benutzer verwenden die Zone für eingeschränkte Sites für Websites mit Inhalten, die beim Download Probleme verursachen können oder bereits verursacht haben. Benutzer können diese Zone verwenden, damit sie von Internet Explorer immer benachrichtigt werden, wenn potenziell unsichere Inhalte zum Download bereitstehen oder damit Internet Explorer verhindert, dass Inhalte gedownloadet werden. Der Benutzer fügt die URLs von solchen nicht vertrauenswürdigen Websites dieser Zone hinzu.
•	Zone des lokalen Computers. Dies ist eine implizite Zone für Inhalte, die auf dem lokalen Computer gespeichert sind. Die Inhalte auf dem Computer des Benutzers werden, mit Ausnahme der Inhalte, die Internet Explorer im lokalen System zwischenspeichert, als höchst vertrauenswürdig betrachtet.
•	Gesperrte Zone des lokalen Computers. Unter Windows XP mit SP2 stellt die gesperrte Zone des lokalen Computers ein höchst eingeschränkte Version der Sicherheitseinstellungen dar, die für die Zone des lokalen Computers verwendet werden. Allen lokalen Dateien und Inhalten, die von Internet Explorer verarbeitet werden, werden in der Zone des lokalen Computers weitere stringente Sicherheitsrichtlinien zugewiesen. Hierbei wird davon ausgegangen, dass die Sperrung der Zone des lokalen Computers aktiviert ist. Die gesperrte Zone des lokalen Computers bietet mehr Steuerungsmöglichkeiten über die Ausführung aller Codeinhalte. Hiermit werden die Fähigkeiten der Zone des lokalen Computers zum Abwehren von Angriffen erheblich verbessert, bei denen versucht wird, lokale Inhalte zum Ausführen von böswilligem HTML-Code zu verwenden. Nehmen wir als Beispiel die Zonenanhebung. Mit den normalen Einstellungen kann jeder Code seine Berechtigungen so ausbauen, dass er in die Zone des lokalen Computers gelangt. Ist jedoch die gesperrte Zone des lokalen Computers aktiviert, werden Zonenanhebungen erfolgreich abgewehrt.

Die ersten vier Zonen stehen auf der Benutzeroberfläche von Internet Explorer zur Verfügung. Die Zonen des lokalen Computers und die gesperrten Zonen des lokalen Computers können nur vom Administrator konfiguriert werden.

Mit SP2 stehen Richtlinieneinstellungen für URL-Aktionen für alle URL-Sicherheitszonen in Internet Explorer bereit: Internetzone, Intranetzone, Zone der vertrauenswürdigen Sites, Zone der eingeschränkten Sites, Zone des lokalen Computers und gesperrte Zone des lokalen Computers.

Jede dieser Richtlinieneinstellungen für URL-Sicherheitszonen umfasst eine Reihe von URL-Aktionen, und für jede URL-Aktion gibt es einen Standardwert, der festlegt, wie in dieser Sicherheitszone mit der jeweiligen URL-Aktion umgegangen wird. Wenn Sie beispielsweise die Richtlinieneinstellung Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen nicht konfigurieren, werden außer in der Zone für eingeschränkte Sites Dateien basierend auf dem für jede Zone definierten Inhalt geöffnet. Beachten Sie, dass diese Standardwerte in der Registrierung als Benutzereinstellungen festgelegt werden, wenn Sie die Richtlinieneinstellung nicht konfigurieren, und dass die Benutzer dementsprechend in der Lage sind, über die Benutzeroberfläche von Internet Explorer oder die Registrierung Änderungen an diesen Werten vorzunehmen.

Richtlinieneinstellungen für URL-Aktionen in Sicherheitszonen

Jede URL-Aktion verfügt über einen Standard, der in jeder URL-Sicherheitszone festgelegt ist und vorgeblendet wird, wenn eine Richtlinie über eine bestimmte Vorlage eine angewendet wird. Tabelle 3 enthält eine Liste der URL-Aktionen.

Tabelle 3. Richtlinieneinstellungen für URL-Aktionen in Sicherheitszonen

Sicherheitseinstellung der Benutzeroberfläche	Beschreibung
Download von signierten ActiveX-Steuerelementen	Verwaltet den Download von signierten ActiveX-Komponenten aus der URL-Zone der HTML-Seite, die das Steuerelement enthält.
Download von unsignierten ActiveX-Steuerelementen	Verwaltet den Download von unsignierten ActiveX-Komponenten aus der URL-Zone der HTML-Seite, die das Steuerelement enthält.
ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind	Verwaltet die Ausführung von ActiveX-Steuerelemente und Plugins von HTML-Seiten in der Zone.
ActiveX-Steuerelemente und Plugins ausführen	Legt fest, ob die Objektsicherheit des ActiveX-Steuerelements für Seiten in der URL-Sicherheitszone außer Kraft gesetzt oder durchgesetzt wird. Die Objektsicherheit sollte nur dann außer Kraft gesetzt werden, wenn alle ActiveX-Steuerelemente und Skripts, die auf Seiten in der Zone mit dem Steuerelement interagieren könnten, so vertrauenswürdig sind, dass keine Sicherheitsverletzung zu befürchten ist. Dies ist eine Kombination aus URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY und URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY.
Active Scripting zulassen	Legt fest, ob Skriptcode auf Seiten in der URL-Sicherheitszone ausgeführt wird oder nicht.
Scripting von Java-Applets	Legt fest, ob Skriptcode auf HTML-Seiten in der URL-Sicherheitszone Java-Applets verwenden darf, wenn die Eigenschaften, Methoden und Ereignisse des Applets für Skripts offen liegen.
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind	Legt fest, ob das Scripting von sicheren ActiveX-Steuerelemente zulässig ist.
Auf Datenquellen über Domänengrenzen hinweg zugreifen	Legt fest, ob die Ressource über Domänegrenzen auf Datenquellen zugreifen darf.
Einfügeoperationen über ein Skript zulassen	Legt fest, ob mit Skripts Einfügeoperationen vorgenommen werden dürfen.
Unverschlüsselte Formulardaten übermitteln	Legt fest, ob HTML-Formulare, die sich auf Seiten in der URL-Sicherheitszone befinden oder die an Server in der Zone übermittelt wurden, zulässig sind. Dies ist eine Kombination aus den Flags URLACTION_HTML_SUBMIT_FORMS_FROM und URLACTION_HTML_SUBMIT_FORMS_TO.
Schriftartdownloads zulassen	Legt fest, ob der Download von HTML-Schrittarten zulässig ist.
Dauerhaftigkeit der Benutzerdaten	Ermittelt, ob die Dauerhaftigkeit von Benutzerdaten aktiviert ist.
Subframes zwischen verschiedenen Domänen bewegen	Legt fest, ob Subframes zwischen verschiedenen Domänen bewegt werden dürfen.
META REFRESH zulassen	Legt fest, ob der Browser eines Benutzers auf eine andere Webseite umgeleitet werden kann, wenn der Autor der Webseite mit der Einstellung Meta Refresh (Tag) arbeitet, um Browser auf eine andere Webseite umzuleiten.
Gemischte Inhalte anzeigen	Legt fest, ob Benutzer nicht sichere Elemente und Steuerelemente anzeigen kann und ob er eine Sicherheitsinformationsmeldung zum Anzeigen von Seiten erhält, die sowohl sichere als auch nicht sichere Elemente enthalten.
Installation von Desktopelementen zulassen	Legt fest, ob Desktopelemente installiert werden können.
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen	Legt fest, ob Verschiebe- oder Kopiervorgänge zulässig sind.
Dateidownloads zulassen	Legt fest, ob aus der URL-Sicherheitszone der HTML-Seite mit dem Link zu dem Download Dateidownloads zulässig sind.
Programme und Dateien in einem IFRAME starten	Legt fest, ob das Starten von Anwendungen und Dateien aus der URL-Sicherheitszone zulässig ist.
Popupblocker verwenden	Legt fest, ob unerwünschte Popupfenster angezeigt werden. Popupfenster, die geöffnet werden, wenn der Endbenutzer auf einen Link klickt, werden nicht blockiert.
Anmeldungsoptionen	Minimalwert für Netzwerkflags für URL-Aktionen.
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat vorhanden ist	Legt fest, ob die Benutzer aufgefordert werden, ein Zertifikat auszuwählen, wenn kein oder nur ein Zertifikat vorhanden ist.
Java-Berechtigungen	Legt die Java-Berechtigungen für die Zone fest.
Berechtigungen für Softwarechannel	Legt die Vertrauensebene für Softwareaktualisierungschannels fest.
Binär- und Skriptverhalten zulassen	Steuert dynamisches Binär- und Skriptverhalten: Komponenten, die bestimmte Funktionen für die zugeordneten HTML-Elemente kapseln.
Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern	Legt fest, ob .NET Framework-Komponenten, die mit Authenticode signiert sind, in Internet Explorer ausgeführt werden können.
Nicht mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern	Legt fest, ob .NET Framework-Komponenten, die nicht mit Authenticode signiert sind, in Internet Explorer ausgeführt werden können.
Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen	Steuert MIME-Sniffing für das Heraufstufen von Dateien von einem Typ zu einem anderen basierend auf einer MIME-Ermittlung. Eine MIME-Ermittlung liegt vor, wenn Internet Explorer den Dateityp anhand einer Bitsignatur erkennt.
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren	Legt fest, ob Websites aus Zonen mit niedrigeren Berechtigungen, wie aus der Zone für eingeschränkte Sites, in dieser Zone navigieren können.
Skript-initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen	Steuert Einschränkungen für skript-initiierte Popupfenster und Fenster, die Titel- und Statusleiste umfassen.
Automatische Eingabeaufforderung für Dateidownloads	Legt fest, ob der Benutzer bei nicht vom Benutzer initiierten Dateidownloads zur Bestätigung aufgefordert wird. Ungeachtet dieser Einstellung wird das Dialogfenster für Dateidownloads bei benutzerseitig initiierten Downloads angezeigt.
Automatische Eingabeaufforderung für ActiveX-Steuerelemente	Steuert, ob Benutzer bei der Installation von ActiveX-Steuerelementen automatisch zur Bestätigung aufgefordert werden.
Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen	Steuert, ob eine Ressource auf einer Seite, auf die über ein Protokoll zugegriffen wird, das in einer bestimmten URL-Zone eingeschränkt ist, aktive Inhalte wie Skripts, ActiveX-, Java- und Binär-Komponenten ausführen darf. Die Liste der eingeschränkten Protokolle für jede Zone kann im Abschnitt Eingeschränkte Protokolle der Netzwerkprotokollsperrungsrichtlinie festgelegt werden.

Aufnehmen von lokalen Intranetsites und Netzwerkpfaden in die Intranetzone

SP2 bietet erweiterte Richtlinieneinstellungen, die verwendet werden können, um Intranetsites und Netzwerkpfade (UNC-Pfade) für die Aufnahme in die lokale Intranetsicherheitszone anzugeben. Zu diesem Zweck können die folgenden Richtlinieneinstellungen im Knoten Internetsystemsteuerung\Sicherheitsseite verwendet werden:

•	Intranetsites: Alle lokalen (Intranet-) Sites einschließen, die nicht in anderen Zonen aufgeführt sind. Diese Richtlinieneinstellung steuert, ob lokale Sites, die nicht explizit einer beliebigen Sicherheitszone zugeordnet sind, zwangsweise in die lokale Intranetsicherheitszone gesetzt werden.
•	Intranetsites: Alle Netzwerkpfade (UNC) einschließen. Diese Richtlinieneinstellung steuert, ob URLs, die UNC-Pfade repräsentieren, der lokalen Intranetsicherheitszone zugeordnet werden.
•	Intranetsites: Alle Sites, die den Proxyserver umgehen, einbeziehen. Diese Richtlinieneinstellung steuert, ob Sites, die den Proxyserver umgehen, der lokalen Intranetsicherheitszone zugeordnet werden.

Zuordnen von Sites zu Sicherheitszonen

Mit SP2 steht eine neue Gruppenrichtlinieneinstellung bereit, die es ermöglicht, die Sicherheitseinschränkungen für ausgewählte Sites auf Sitebasis zu verwalten, indem der Sicherheitszone ein URL zugeordnet wird und dann die Sicherheitseinstellungen für diese Zone durch andere Richtlinieneinstellungen festgelegt werden. Die Richtlinieneinstellung Liste der Site-zu-Zonenzuweisungen ermöglicht das Verwalten einer Liste der Sites, die einer bestimmten Sicherheitszone zugeordnet werden sollen. Es gibt Zonennummern, den Sicherheitseinstellungen zugeordnet wurden, die für alle Sites in der Zone gelten.

Die Richtlinieneinstellung Liste der Site-zu-Zonenzuweisungen ordnet Zonen Sites zu, indem die folgenden Werte für die Internetsicherheitszonen verwendet werden: (1) Intranetzone, (2) Zone der vertrauenswürdigen Sites, (3) Internetzone und (4) Zone der eingeschränkten Sites. Wenn Sie diese Richtlinieneinstellung auf aktiviert setzen, können Sie eine Liste der Sites und der zugehörigen Zonennummern eingeben. Die Zuordnung einer Site zu einer Zone stellt sicher, dass die Sicherheitseinstellungen der angegebenen Zone auf die Site angewendet werden. Weitere Informationen zu dieser Richtlinieneinstellung finden Sie im Erläuterungstext.

Bei der Konfiguration der Richtlinieneinstellung Liste der Site-zu-Zonenzuweisungen für die Computerkonfiguration und die Benutzerkonfiguration werden beide Listen verwendet. Wird diese Richtlinieneinstellung nur für Computer oder für Benutzer festgelegt, werden Listen, die als Präferenzen gespeichert wurden, ignoriert.

Unter Windows XP mit SP2 können Sie neben der Verwendung von individuellen Richtlinieneinstellungen für die Verwaltung von URL-Aktionen diese URL-Aktionen auch mit den Richtlinieneinstellungen von Vorlagen steuern, wodurch standardmäßige Richtlinieneinstellungen für alle URL-Aktionen in eine bestimmten Internet Explorer-Sicherheitszone bereitstehen. Anschließend kann, wie im nächsten Abschnitt erläutert, für die Vorlage eine Sicherheitsebene angegeben werden.

Hinweis
Wenn Sie in einer Sicherheitszone Richtlinieneinstellungen für einzelne URL-Aktionen festlegen und dann eine Sicherheitsvorlage für diese Zone angeben, werden die Werte der Richtlinieneinstellungen für die einzelne URL-Aktion hiermit außer Kraft gesetzt.

Vorlagenrichtlinieneinstellung für URL-Aktionen

SP2 stellte eine Reihe von standardmäßigen vorkonfigurierten Richtlinieneinstellungen für die Steuerung von URL-Aktionen in Form von Vorlagenrichtlinieneinstellungen für URL-Sicherheitszonen in Internet Explorer bereit. Die folgenden Vorlagenrichtlinieneinstellungen können für die Steuerung aller URL-Sicherheitszonen in Internet Explorer verwendet werden.

•	Vorlage für die Internetzone
•	Vorlage für die Intranetzone
•	Vorlage für die Zone der vertrauenswürdigen Sites
•	Vorlage für die Zone der eingeschränkten Sites
•	Vorlage für die Zone des lokalen Computers
•	Vorlage für die gesperrte Zone des lokalen Computers

Für jede der Vorlagenrichtlinieneinstellungen für URL-Aktionen kann eine der folgenden Sicherheitsebenen festgelegt werden:

•	Sehr niedrig. Diese Einstellung wird in der Regel für URL-Sicherheitszonen verwendet, die Websites enthalten, denen der Benutzer vollständig vertraut. Dies ist die Standardsicherheitsebene für die Zone der vertrauenswürdigen Sites.
•	Niedrig. Diese Einstellung kann für URL-Sicherheitszonen verwendet werden, die Websites enthalten, die im Regelfall keine Schäden am Computer oder an den Daten verursachen. Dies ist die Standardsicherheitsebene für die Intranetzone.
•	Mittel. Diese Einstellung kann für URL-Sicherheitszonen verwendet, die Websites enthalten, denen der Benutzer zwar nicht vertraut, die er aber auch nicht als nicht vertrauenswürdig einstuft. Dies ist die Standardsicherheitsebene für die Internetzone.
•	Hoch. Diese Einstellung kann für URL-Sicherheitszonen verwendet werden, die Websites enthalten, die potenziell Schäden am Computer oder an den Daten verursachen könnten. Dies ist die Standardsicherheitsebene für die Zone der eingeschränkten Sites.

Unter Verwendung dieser Richtlinieneinstellungsvorlagen für URL-Sicherheitszonen kann eine Sicherheitsebene für die Zone festgelegt werden, mit der eine Standardkonfiguration für alle URL-Aktionen bereitsteht. Dies trägt dazu bei zu verhindern, dass die Benutzer die Sicherheit auf nicht mehr akzeptable Ebenen herabsetzen.

Wenn Sie individuelle URL-Aktionen festlegen müssen, die sich von denen in der Richtlinieneinstellungsvorlage einer gegebenen Sicherheitszone unterscheiden, können Sie individuelle Richtlinieneinstellungen zum Steuern dieser URL-Aktion konfigurieren. Es wird davon ausgegangen, dass mit dieser Vorgehensweise primär Probleme mit der Anwendungskompatibilität gelöst werden sollen, was ggf. voraussetzt, dass Internet Explorer-Funktionen deaktiviert werden, damit die Anwendung ausgeführt werden kann.

Hinweis
Die Sicherheitseinstellung für die Sperrung der Zone des lokalen Computers vergleicht die Einstellungen in der Zone des lokalen Computers mit denen in der gesperrten Zone des lokalen Computers. Wird für eine dieser Zonen eine Sicherheitsebene gewählt (was auch die Auswahl von keinerlei Sicherheit umfasst), sollte die gleiche Änderung auch für die andere Zone vorgenommen werden.

Die Richtlinieneinstellungen der Vorlage für URL-Aktionen stehen sowohl unter dem Knoten Computerkonfiguration als auch unter dem Knoten Benutzerkonfiguration des Gruppenrichtlinienobjekt-Editors unter \Adminstrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite zur Verfügung.

Tabelle 4 enthält eine Liste der Standardwerte für URL-Aktionen für die Richtlinieneinstellungsvorlagen für die URL-Sicherheitszone.

Tabelle 4. Standardwerte der Vorlagenrichtlinieneinstellungen für die Sicherheit von URL-Aktionen

Sicherheitseinstellung der Benutzeroberfläche	Vorlage für hohe Sicherheit	Vorlage für mittlere Sicherheit	Vorlage für niedrige Sicherheit	Vorlage für sehr geringe Sicherheit	Sicherheitsvorlage für die Zone des lokalen Computers	Sicherheitsvorlage für die gesperrte Zone des lokalen Computers
Download von signierten ActiveX-Steuerelementen	Deaktivieren	Bestätigen	Bestätigen	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Download von unsignierten ActiveX-Steuerelementen	Deaktivieren	Deaktivieren	Deaktivieren	Bestätigen	Aktivieren	Deaktivieren
ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind	Deaktivieren	Deaktivieren	Deaktivieren	Bestätigen	Bestätigen	Deaktivieren
ActiveX-Steuerelemente und Plugins ausführen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Active Scripting zulassen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Scripting von Java-Applets	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Auf Datenquellen über Domänengrenzen hinweg zugreifen	Deaktivieren	Deaktivieren	Bestätigen	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Einfügeoperationen über ein Skript zulassen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Unverschlüsselte Formulardaten übermitteln	Bestätigen	Bestätigen	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Schriftartdownloads zulassen	Bestätigen	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Dauerhaftigkeit der Benutzerdaten	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Subframes zwischen verschiedenen Domänen bewegen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
META REFRESH zulassen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Gemischte Inhalte anzeigen	Bestätigen	Bestätigen	Bestätigen	Bestätigen	Bestätigen	Standardwerte für die ausgewählte Sicherheitsebene*
Installation von Desktopelementen zulassen	Deaktivieren	Bestätigen	Bestätigen	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen	Bestätigen	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Verwendet den Standardwert der ausgewählten Sicherheitszone*
Dateidownloads zulassen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Programme und Dateien in einem IFRAME starten	Deaktivieren	Bestätigen	Bestätigen	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Popupblocker verwenden	Aktivieren	Aktivieren	Deaktivieren	Deaktivieren	Deaktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Anmeldungsoptionen	Hohe Sicherheit	Mittlere Sicherheit	Mittlere Sicherheit	Aktivieren	Aktivieren	Standardwerte für die ausgewählte Sicherheitsebene*
Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zertifikat vorhanden ist	Deaktivieren	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Java-Berechtigungen	Deaktivieren	Hohe Sicherheit	Mittlere Sicherheit	Niedrige Sicherheit	Mittlere Sicherheit	Deaktivieren
Berechtigungen für Softwarechannel	Hohe Sicherheit	Mittlere Sicherheit	Mittlere Sicherheit	Niedrige Sicherheit	Niedrige Sicherheit	Standardwerte für die ausgewählte Sicherheitsebene*
Binär- und Skriptverhalten zulassen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Hohe Sicherheit
Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren	Deaktivieren
Nicht mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren	Deaktivieren
Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren	Deaktivieren	Aktivieren	Aktivieren	Bestätigen	Deaktivieren	Deaktivieren
Skript-initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen	Deaktivieren	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Automatische Eingabeaufforderung für Dateidownloads	Deaktivieren	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Automatische Eingabeaufforderung für ActiveX-Steuerelemente	Deaktivieren	Deaktivieren	Aktivieren	Aktivieren	Aktivieren	Deaktivieren
Zugriff auf den Computer für aktive Inhalte über eingeschränkte Protokolle zulassen	Deaktivieren	Bestätigen	Bestätigen	Bestätigen	Bestätigen	Nicht verfügbar

* Standardwerte für ausgewählte Sicherheitsebene: Dies bedeutet, dass bei Aktivierung der Vorlagenrichtlinieneinstellung Gesperrte Zone des lokalen Computers und Festlegen der Sicherheitsebene z. B. auf Hoch, die Standardwerte der Standardvorlage verwendet werden, die für die Zone mit hoher Sicherheit verwendet werden. Die einzigen Ausnahmen sind URL-Aktionen mit festen Standardwerten, wie in Tabelle 4 angegeben. Standardmäßig wird die hohe Sicherheitsebene für die Zone der eingeschränkten Sites verwendet.

Weitere Informationen über die Einstellungen für URL-Aktionen und wie diese mit Sicherheitszonen zusammenhängen, finden Sie im Dokument "About URL Security Zones Templates" auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=26001 (nur auf Englisch verfügbar).

Weitere Informationen über URL-Richtlinienflags und URL-Aktionsflags für Internet Explorer finden Sie in den Dokumenten "URL Policy Flags" auf der MSDN-Website unter http://go.microsoft.com/fwlink/?LinkId=32832 (nur auf Englisch verfügbar) und "URL Action Flags" im MSDN-Bereich der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=32833(nur auf Englisch verfügbar).

Konfigurieren von separaten Gruppenrichtlinienobjekten für Zonenvorlagen und die Richtlinieneinstellungen für URL-Aktionen

Möglicherweise müssen Sie individuelle Richtlinien für URL-Aktionen anwenden, um Gruppen mit Benutzern oder Computern anzugeben, verwenden jedoch die Richtlinieneinstellungen der Zonenvorlage für alle anderen Objekte. Wenn Sie so vorgehen möchten, müssen Sie die Vorlagenrichtlinieneinstellungen in dem einen Gruppenrichtlinienobjekt und alle zugehörigen individuellen Richtlinieneinstellungen in einem separaten Gruppenrichtlinienobjekt konfigurieren. Sie können diese Gruppenrichtlinienobjekte nun für bestimmte Benutzer- und Computergruppen anwenden, indem Sie die Sicherheitsgruppenfilterung verwenden, um die Gruppenrichtlinienobjekte solchen Gruppen zuzuweisen. Falls erforderlich können Sie auf die Option Erzwungen für die Verknüpfung des Gruppenrichtlinienobjekts verwenden, um sicherzustellen, dass die Einstellungen in diesem Gruppenrichtlinienobjekt Vorrang vor den Einstellungen in dem mit einem untergeordneten Active Directory-Container (wie einer Organisationseinheit) verbundenen Gruppenrichtlinienobjekt haben.

Wissenswertes zum Filtern des Umfangs der Anwendung von Gruppenrichtlinien unter Verwendung von Sicherheitsgruppen und zu den Vererbungsregeln für Gruppenrichtlinien finden Sie im Whitepaper "Group Policy Infrastructure" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=14950. Weitere Informationen finden Sie auch in der Onlinehilfe der Gruppenrichtlinien-Verwaltungskonsole.

Anwendung von Einstellungen und Richtlinieneinstellungen

In Fällen, in denen der Benutzer eine Einstellung vornimmt und der Administrator eine Richtlinieneinstellung festlegt, die der benutzerdefinierten Einstellung widerspricht, setzen die Gruppenrichtlinieneinstellungen die benutzerdefinierten Einstellungen außer Kraft. Benutzerdefinierte Einstellungen und Gruppenrichtlinieneinstellungen werden in unterschiedlichen Bereichen der Registrierung gespeichert.

Internet Explorer sucht in der folgenden Reihenfolge nach einer Richtlinieneinstellung:

•	Richtlinienstruktur HKEY_LOCAL_MACHINE
•	Richtlinienstruktur HKEY_CURRENT_USER
•	Einstellungsstruktur HKEY_CURRENT_USER
•	Einstellungsstruktur HKEY_LOCAL_MACHINE

Die Einstellungen werden wie folgt angewendet:

•

Computerrichtlinien werden beim Starten des Computers angewendet.

•

Nach den Computerrichtlinien werden die Benutzerrichtlinien bei der Anmeldung des Benutzers angewendet.

•

Wenn weder Computer- noch Benutzerrichtlinieneinstellungen festgelegt wurden, werden die Benutzereinstellungen verwendet.

Hinweis
Standardmäßig zeigt das Dialogfeld Internetoptionen in der Systemsteuerung die Richtlinieneinstellungen beim Öffnen an, und der Benutzer kann über die Benutzeroberfläche seine Einstellungen ändern. Diese Einstellungen werden zwar in der Registrierung gespeichert, wenn die Richtlinie deaktiviert wurde, sie setzen aber nicht die Gruppenrichtlinieneinstellungen außer Kraft.
Es ist möglich, mit einer Richtlinieneinstellung zu verhindern, dass der Benutzer die Einstellungen für Sicherheitszonen sehen und ändern kann. Zu diesem Zweck kann die Richtlinieneinstellung Sicherheitsseite deaktivieren verwendet werden, mit der die Registerkarte Sicherheit aus dem Dialogfeld Internetoptionen entfernt wird. Sie müssen diese Richtlinieneinstellung jedoch umsichtig verwenden. Wenn Sie Vorlagenrichtlinieneinstellungen einsetzen, um die einzelnen URL-Sicherheitszonen in Internet Explorer zu steuern, ist diese Richtlinie ggf. geeignet. Wenn Sie allerdings nur einige wenige URL-Aktionen mit Richtlinieneinstellungen verwalten, ist die Verwendung dieser Einstellung ggf. nicht angebracht.

Implementierungsszenarien

Es gibt zahlreiche Methoden zum Konfigurieren von Richtlinieneinstellungen für Internet Explorer. Die neuen Richtlinieneinstellungen bieten erheblich mehr Flexibilität bei der Verwaltung von Internet Explorer. Die jeweils geeignete Vorgehensweise ist von Ihrem Gesamtkonzept zum Verwalten von Benutzern und Computern und von Ihren spezifischen Geschäftsanforderungen abhängig. Sie können damit beginnen, die Entscheidungen im folgenden Diagramm zu bewerten.

Bild maximieren

Gruppenrichtlinien und Internet Explorer Administration Kit

Gruppenrichtlinien sind das empfohlene Tool für die Verwaltung von Internet Explorer für Clientcomputer im Unternehmensnetzwerk. Internet Explorer unterstützt die Gruppenrichtlinienverwaltung für alle neue Features in SP2 und für alle URL-Aktionen in Verbindung mit der Registerkarte Sicherheit. Die Weiterentwicklung von Internet Explorer Administration Kit (IEAK) wurde mit der Veröffentlichung von IEAK 6, Service Pack 1, abgeschlossen.

Für Computer unter Windows 2000 oder späteren Betriebssystemversionen, die nicht Mitglied einer Active Directory-Domäne sind, wird empfohlen, dass Administratoren und Anwendungsentwickler Internet Explorer Administration Kit 6, Service Pack 1, verwenden, um Internet Explorer für die Endbenutzer anzupassen. Weitere Informationen finden Sie unter "Microsoft Internet Explorer 6 Administration Kit, Service Pack 1" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=26002.

IEAK bietet einige wichtige Funktionen, die aktuell nicht mit Gruppenrichtlinien verwaltet werden können. Für diese Bereiche muss IEAK verwendet werden:

•	Single-Disk Branding. Bei Computern, die aktuell mit Internet Explorer 4.01, SP1 oder höher ausgestattet sind, kann mit dem Anpassungs-Assistenten eine einzelne Diskette erstellt werden, die benutzerdefinierte Text- und Logoinformationen enthält.
•	Benutzerdefinierte Komponenten und Add-Ons. Es können bis zu 16 benutzerdefinierte Komponenten hinzugefügt werden, die die Benutzer zusammen mit dem Browser installieren können. Bei diesen Komponenten kann es sich um komprimierte Kabinettdateien (.cab) oder um selbstentpackende ausführbare Dateien (.exe) handeln. Sie können zudem die Version der Microsoft-Komponente angeben, die die Benutzer installieren, und Sie können die neueste verfügbare Version unter Verwendung der automatischen Versionssynchronisierung (AVS) installieren.
•	Konfiguration von Optionen auf der Registerkarte Erweitert von Internet Explorer.

Zum Seitenanfang

5 von 10

In diesem Beitrag

•	Dokument im Word-Format downloaden (englischsprachig)
•	Einführung
•	Bereitstellen von Gruppenrichtlinieneinstellungen in SP2
•	Windows-Firewall
•	Richtlinieneinstellungen für Internet Explorer
•	Richtlinieneinstellungen für die Internetkommunikationsverwaltung
•	Sicherheitsbezogene Richtlinieneinstellungen
•	Richtlinieneinstellungen für automatische Updates
•	Infrastruktur
•	Verwandte Hyperlinks