Windows XP Service Pack 2 - Handbuch für die Anwendungskompatibilität
Minimieren von Kompatibilitätsproblemen
Auf dieser Seite
EinführungNachdem Sie die Tests von Anwendungen und die Identifizierung von Kompatibilitätsproblemen abgeschlossen haben, müssen Sie diese Inkompatibilitäten im nächsten Schritt beheben. Die optimale Vorgehensweise besteht darin, die inkompatible Software neu zu entwickeln oder zu aktualisieren, um sie an die verbesserte Sicherheitsbasis von Windows XP SP2 anzupassen. Allerdings wird häufig eine kurzfristige Korrektur so lange benötigt, bis eine dauerhaftere Lösung implementiert werden kann. Diese kurzfristige Vorgehensweise ermöglicht die Ausführung von Anwendungen durch selektives Reduzieren der von Windows XP SP2 implementierten Sicherheitseinstellungen. In diesem Kapitel werden Techniken zur Problemminimierung beschrieben, bei denen eine Kombination aus Benutzeroberfläche, Skripts und Active Directory-Gruppenrichtlinien verwendet wird. Die Problemminimierung umfasst das Implementieren eines Kompatibilitätszeitrahmens, um die Bereitstellung von Korrekturen zur Problemminimierung nachzuverfolgen. Sobald vollständige Anwendungskompatibilität durch das Neuschreiben oder Aktualisieren von Anwendungen erzielt wurde, können die reduzierten Sicherheitseinstellungen entfernt werden. Weitere Informationen zu Änderungen und Erweiterungen von Gruppenrichtlinieneinstellungen für Windows XP SP2 finden Sie auf der Microsoft-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/600520.mspx Anwenden von Korrekturen zur ProblemminimierungFür das Anwenden von Korrekturen zur Problemminimierung auf Computern unter Windows XP SP2 ist eine vorsichtige Vorgehensweise erforderlich - mit vollem Bewusstsein über die Auswirkungen vorgenommener Änderungen. Änderungen an Sicherheitseinstellungen in Windows XP SP2 sollten nur bei bestimmten Problemen mit der Anwendungskompatibilität ausgeführt werden und die Sicherheit nur in dem Umfang reduzieren, der für die Aufrechterhaltung der Anwendungsfunktionalität unbedingt erforderlich ist. Internet ExplorerInternet Explorer weist die meisten Verbesserungen in Windows XP SP2 auf. Weil es sich bei Internet Explorer um ein beliebtes Front-End für Webanwendungen handelt, wirken sich diese neuen Features wahrscheinlich auf die Anwendungsfunktionalität aus. Dieser Abschnitt befasst sich mit Techniken zur Problemminimierung für die folgenden Internet Explorer-Features:
FunktionssteuerungDie Funktionssteuerungseinstellungen legen fest, welche Prozesse - einschließlich Internet Explorer - von vielen der Sicherheitsfeatures in Windows XP SP2 betroffen werden. Wenn die Einstellung Funktionssteuerung aktiviert ist, können Sicherheitsfeatures über die Windows XP SP2-Funktionalität gesteuert werden, wie z. B. die Sicherheitseinstellungen in Internet Explorer. Die Funktionssteuerung konfiguriert die Sicherheitseinstellungen für die einzelnen Features nicht direkt, ermöglicht es aber, dass die Konfiguration wirksam wird. Über die Funktionssteuerung kann bei einzelnen Anwendungen das Implementieren von Sicherheitseinstellungen gewählt bzw. abgelehnt werden. Diese Flexibilität gibt Administratoren die Möglichkeit, die Sicherheit in bestimmten Bereichen, die zu Inkompatibilität führen können, zu verringern. Damit erhalten sie eine einfache Option für Sicherheitskonfigurationen. Hinweis: Wenn die Einstellung Funktionssteuerung deaktiviert ist, wird das Internet Explorer-Verhalten auf dasjenige unter Windows XP Service Pack 1 (SP1) zurückgesetzt. Es gibt verschiedene Verfahren zum Konfigurieren der Funktionssteuerung in Windows XP SP2. Hierzu gehören die folgenden Verfahren:
Diese Optionen ermöglichen es Ihnen, die geeignetste Methode für die Umgebung auszuwählen. Verwenden des Dialogfelds "Sicherheitseinstellungen"Sie können die Funktionen der Benutzeroberfläche über Internetoptionen in der Systemsteuerung konfigurieren und dazu die Registerkarte Sicherheit im Dialogfeld Internetoptionen verwenden. Nach dem Klicken auf die Schaltfläche Benutzerdefinierte Stufe wird das in Abbildung 3.1 wiedergegebene Dialogfeld Sicherheitseinstellungen angezeigt. Auf derselben Registerkarte können Sie die Zonenmitgliedschaft konfigurieren, indem Sie die zutreffende Zone auswählen und auf die Schaltfläche Sites klicken. Abbildung 3.2 zeigt das Dialogfeld Eingeschränkte Sites, über das dieser Sicherheitszone Websites hinzugefügt werden. Die Kombination dieser Schnittstellen ermöglicht die manuelle Konfiguration von Sicherheitszonen und deren Features. Verwenden des Registrierungs-EditorsSie können Sicherheitsfeatures mithilfe von Regedit, dem Windows XP-Registrierungs-Editor, direkt konfigurieren, obwohl die Verwendung von Regedit als Konfigurationsmethode nicht empfohlen wird. Sobald die benötigten Registrierungspfade identifiziert wurden, können Sie die erforderlichen Änderungen mithilfe eines Skripts oder einer REG-Datei vornehmen. Starten Sie Regedit, und wechseln Sie zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer\Main\FeatureControl Dieser Schlüssel enthält einen untergeordneten Schlüssel für jede Funktion. Abbildung 3.3 zeigt den Inhalt des Registrierungsschlüssels für die Funktionssteuerung, FeatureControl. Jeder featurespezifische Schlüssel enthält Werte für individuelle Einstellungen. Durch Eingabe des Wertes 1 wird die Windows XP SP2-Sicherheitskonfiguration für das entsprechende Feature aktiviert. Mit dem Wert 2 wird das Feature so konfiguriert, dass es sich wie unter Windows XP SP1 verhält. Mit dem Wert * wird eine Standardkonfiguration für alle nicht speziell definierten Prozesse bereitgestellt. Die Werte für die einzelnen Featureschlüssel sind den in Abbildung 3.4 wiedergegebenen Werten ähnlich.  Abbildung 3.4 Featurespezifische Registrierungsschlüsselwerte zur Anzeige der Konfiguration für individuelle Prozesse HINWEIS: Alle entsprechenden Einstellungen in HKEY_COMPUTER_USER setzen die Einstellungen in HKEY_LOCAL_MACHINE außer Kraft. Außerdem setzen die über Gruppenrichtlinien festgelegten Einstellungen die entsprechenden Einstellungen in HKEY_CURRENT_USER bzw. HKEY_LOCAL_MACHINE außer Kraft. Erstellen und Ausführen einer REG-DateiMithilfe von Regedit können Sie einen bestimmten Featureschlüssel in eine REG-Datei exportieren. Diese Datei kann mit einem beliebigen Text-Editor bearbeitet und dann durch ihre Ausführung in die Registrierung auf dem Zielcomputer importiert werden. Abbildung 3.5 zeigt den Inhalt einer typischen Exportdatei für die Registrierung.  Abbildung 3.5 Inhalt einer REG-Datei, der aus dem Registrierungsschlüssel "Feature_Behaviors" exportiert wurde. Eine empfehlenswerte Methode zum Erstellen der REG-Datei besteht darin, dass ein Administrator einen Testcomputer konfiguriert, bevor er die relevanten Schlüssel exportiert. Ausführen eines SkriptsAlternativ dazu können Sie ein Skript schreiben, um die Registrierung zu bearbeiten und die erforderliche Konfiguration zu implementieren. Die folgende Auflistung ist ein Beispiel für ein geeignetes Skript. Hinweis: Einige der folgenden Codezeilen werden zur besseren Lesbarkeit in mehreren Zeilen wiedergegeben.
Set WshShell = CreateObject("Wscript.Shell")
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BEHAVIORS
\MyApp.exe", "1", "REG_DWORD"
Implementieren von Active Directory-GruppenrichtlinienActive Directory-Gruppenrichtlinien bieten Administratoren eine einfache Möglichkeit zum Bereitstellen von Sicherheitseinstellungen auf mehreren Computern. Die Einstellungen von Funktionssteuerung für Internet Explorer befinden sich in der Computer- und der Benutzerkonfiguration unter folgendem Pfad: Administrative Templates\Windows Components \Internet Explorer\Security Features Abbildung 3.6 zeigt die Einstellungen von Funktionssteuerung in Gruppenrichtlinien.  Abbildung 3.6 Active Directory-Gruppenrichtlinieneinstellungen für "Funktionssteuerung" Hier können Sie angeben, ob die sichere Windows XP SP2-Konfiguration für bestimmte Prozesse bei jedem Feature gilt. Gruppenrichtlinien stellen zusätzliche featurespezifische Konfigurationen für einige Features bereit. So lässt beispielsweise Binärverhalten eine Liste von Verhalten zu, die vom Administrator genehmigt wurden, Add-On-Verwaltung stellt eine bestimmte Add-On-Liste bereit, und Netzwerkprotokollsperrung kann für jede Internet Explorer-Sicherheitszone konfiguriert werden. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Funktionssteuerung Testen der Anwendungskompatibilität für die Funktionssteuerung UrlActionsEinige der in diesem Handbuch behandelten Features werden mithilfe der UrlAction-Sicherheit konfiguriert. Vor der Veröffentlichung von Windows XP SP2 konnten diese Features zonenweise konfiguriert werden; allerdings war das Internet Explorer Administration Kit (IEAK) erforderlich, um Konfigurationseinstellungen für mehrere Systeme im Rahmen einer Sicherheitsrichtlinie festzulegen. Bei Windows XP SP2 ist diese Funktionalität jetzt in die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console - GPMC) eingeschlossen, obwohl die Konfiguration weiterhin über die Benutzeroberfläche, mithilfe von Skripts oder durch Importieren von REG-Dateien durchgeführt werden kann. Genauso wie die Einstellungen von Funktionssteuerung können UrlActions auf der Registerkarte Sicherheit des Dialogfelds Internetoptionen konfiguriert werden. Abbildung 3.7 zeigt das Internet Explorer-Dialogfeld Sicherheitseinstellungen für eine bestimmte Sicherheitszone. Über diese Schnittstelle können verschiedene UrlActions in den einzelnen Zonen aktiviert bzw. deaktiviert werden. Über die Dialogfelder Sicherheitseinstellungen und Sites können Sie UrlActions und Websitemitgliedschaften organisieren, um die Kompatibilitätsprobleme zu verringern. Sie können UrlActions auch konfigurieren, indem Sie mithilfe von Skripts oder REG-Dateien auf die Registrierung direkt zugreifen. In der Registrierung wird jede Sicherheitszone unter folgendem Schlüssel definiert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Internet Settings\Zones Der Schlüssel Zones verfügt über 5 untergeordnete Schlüssel, die von 0 bis 4 nummeriert sind und die Konfiguration für die folgenden Sicherheitszonen enthalten: 0 = Lokaler Computer 1 = Intranet 2 = Vertrauenswürdige Sites 3 = Internet 4 = Eingeschränkte Sites Zum Konfigurieren der Sperrung der Zone des lokalen Computers können Sie folgenden Registrierungsschlüssel verwenden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Internet Settings\Lockdown-Zones\0 Jeder Zonenschlüssel enthält jede konfigurierbare Aktion für die jeweilige Zone. Abbildung 3.8 zeigt die Registrierungsschlüssel und Werte, in denen die Sicherheitszonenkonfiguration gespeichert ist. UrlActions werden in der Registrierung durch einen numerischen Wert dargestellt. In Tabelle 3.1 wird der Name der UrlAction mit der in der Registrierung jeweils angezeigten Nummer verknüpft. Tabelle 3.1 UrlActions und zugehörige numerische Kennungen
In Tabelle 3.2 werden die numerischen Kennungen der UrlActions mit möglichen Konfigurationswerten kombiniert. Tabelle 3.2 Numerische Kennungen und Konfigurationsoptionen von UrlActions
Zum Konfigurieren von Sicherheitszonen können Sie eine REG-Datei aus einem exportierten Zonenschlüssel verwenden und bei Bedarf bearbeiten, oder Sie verwenden ein Skript, um die Registrierung direkt wie in dem oben wiedergegebenen Beispiel zu bearbeiten. Weitere Informationen zu den Verfahren zum Hinzufügen, Ändern oder Löschen von Registrierungsunterschlüsseln und Werten mithilfe einer REG-Datei finden Sie auf der Microsoft-Website unter: http://support.microsoft.com/default.aspx?kbid=310516 Es ist auch möglich, die Konfiguration von UrlActions mithilfe von Gruppenrichtlinien zonenweise zu bearbeiten. Die UrlAction-Einstellungen für Internet Explorer befinden sich in der Computer- und der Benutzerkonfiguration unter dem folgenden Pfad: Administrative Templates\Windows Components \Internet Explorer\Internet Control Panel\Security Page Abbildung 3.9 zeigt die Konfiguration von Sicherheitszonen in der Gruppenrichtlinienkonsole. Zonenvorlagen können ebenfalls über die Registrierung oder mithilfe von Gruppenrichtlinien konfiguriert werden. Diese Vorlagen bieten die Möglichkeit, Standardkonfigurationen schnell und problemlos auf Gruppen von Computern anzuwenden. Sie können eine Vorlage über das Internet Explorer-Dialogfeld Sicherheitseinstellungen anwenden, indem Sie auf die gewünschte Einstellung und dann auf die Schaltfläche Zurücksetzen klicken. Abbildung 3.10 zeigt, wo eine Sicherheitszonenvorlage anzuwenden ist. In der Registrierung werden die Vorlageneinstellungen in folgendem Schlüssel gespeichert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Internet Settings\TemplatePolicies Auch in diesem Fall können Sie die Konfiguration mithilfe einer REG-Datei oder eines Skripts ändern. Alternativ dazu verwenden Sie Active Directory-Gruppenrichtlinien zum Konfigurieren von Zonenvorlagen unter: Administrative Templates\Windows Components \Internet Explorer\Internet Control Panel\Security Page In Tabelle 3.3 werden die konfigurierbaren numerischen Werte für diese Vorlagen aufgelistet. Tabelle 3.3 Konfigurierbare Werte für Sicherheitszoneneinstellungen
In Tabelle 3.4 wird die Standardkonfiguration für die einzelnen Sicherheitszonen angegeben. Tabelle 3.4 Standardwerte für Sicherheitszoneneinstellungen
Verwenden Sie die Funktionssteuerung und UrlActions gemeinsam, um Sicherheitseinstellungen in den Internet Explorer-Sicherheitszonen zu konfigurieren. Falls bei Anwendungen Kompatibilitätsprobleme auftreten, versuchen Sie, die Sicherheitseinstellungen für die jeweilige Zone zu ändern, ohne die Sicherheit für den Computer insgesamt zu schwächen. Bei Bedarf können Sie ein Sicherheitsfeature nur für bestimmte Prozesse über die Funktionssteuerung deaktivieren bzw. aktivieren. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Testen der Anwendungskompatibilität für UrlActions BinärverhaltenDas Binärverhalten kann über die Funktionssteuerung und die UrlAction-Sicherheit aktiviert bzw. deaktiviert werden, wie weiter oben in diesem Handbuch beschrieben wurde. Zusätzliche Informationen zu dieser Technologie im Handbuch finden Sie in den folgenden Abschnitten: Unterabschnitt "Funktionssteuerung" des Abschnitts "Anwenden von Korrekturen zur Problemminimierung" Unterabschnitt "UrlActions" des Abschnitts "Anwenden von Korrekturen zur Problemminimierung" Außer dem Zulassen von Binärverhalten in bestimmten Zonen ist es möglich, eine Liste spezifischer, vom Administrator genehmigter Verhalten mithilfe des folgenden Registrierungsschlüssels zu konfigurieren: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Internet Settings\Allowed Behaviors \#%Namespace%#%Behavior%=DWORD:00000001 Ersetzen Sie ggf. die Variablen Namespace und Behavior (Verhalten). Statt sämtliche Binärverhalten aktivieren oder deaktivieren zu müssen, kann ab jetzt die vom Administrator genehmigte Einstellung verwendet werden. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Testen der Anwendungskompatibilität für Binärverhalten Sperrung der Zone des lokalen ComputersAnwendungen, die lokale HTML-Dateien in Internet Explorer verarbeiten, sind wahrscheinlich von der Sicherheit des lokalen Computers betroffen. Die Sperrung der Zone des lokalen Computers kann über die Funktionssteuerung und die UrlAction-Sicherheit konfiguriert werden, wie weiter oben in diesem Handbuch erläutert wurde. Zusätzliche Informationen zu dieser Technologie im Handbuch finden Sie in den folgenden Abschnitten: Unterabschnitt "Funktionssteuerung" des Abschnitts "Anwenden von Korrekturen zur Problemminimierung" Unterabschnitt "UrlActions" des Abschnitts "Anwenden von Korrekturen zur Problemminimierung" Bei Internet Explorer ist das Feature Sperrung der Zone des lokalen Computers standardmäßig aktiviert. Mithilfe von Active Directory-Gruppenrichtlinien können Sie die Ausführung aktiver Inhalte von CDs ohne Eingabeaufforderung zulassen. Abbildung 3.11 zeigt, wo diese Einstellung in den Gruppenrichtlinien zu finden ist.  Abbildung 3.11 Verwenden von Gruppenrichtlinien, um die Ausführung aktiver Inhalte von CD zuzulassen Früher sind Entwickler möglicherweise davon ausgegangen, aktive Inhalte, wie z. B. Skripts und ActiveX-Steuerelemente, in der Zone des lokalen Computers auszuführen zu können. Unter Windows XP SP2 kann diese Vorgehensweise jetzt fehlschlagen. Wenden Sie die folgenden Techniken zur Problemminimierung an, damit eine Anwendung weiterhin funktionsfähig bleibt. Weil die Zone Lokaler Computer jetzt restriktiver als andere Zonen ist, können Anwendungen einen Webkennzeichnungskommentar ("Mark of the Web") in HTML-Dateien verwenden. Dieses Internet Explorer-Feature ermöglicht es, dass HTML-Dateien in eine andere Sicherheitszone als die Zone Lokaler Computer gezwungen werden, damit Skripts oder ActiveX-Komponenten auf der Grundlage einer anderen Sicherheitsrichtlinie ausgeführt werden können. Diese Einstellung funktioniert in Internet Explorer, Version 4 und höher. Zur Identifizierung von HTML-Dateien, die aus einer bestimmten Domäne gedownloadet wurden (und deshalb die Sicherheitseinstellungen derjenigen Zone aufweisen, in der die darauf angewendete Domäne enthalten ist), fügen Sie den folgenden Kommentar mit dem entsprechenden Domänennamen hinzu: <!--saved from url=(0022)http://www.microsoft.com--> Die Zahl in Klammern bezieht sich auf die Länge des URLs. Wenn Sie sicherstellen möchten, dass die Seite immer als Bestandteil einer bestimmten Zone behandelt wird, fügen Sie den folgenden Kommentar mit dem entsprechenden Zonennamen hinzu: <!--saved from url=(0013)about:internet--> Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Sperrung der Zone des lokalen Computers Testen der Anwendungskompatibilität für die Sperrung der Zone des lokalen Computers MIME-VerarbeitungFür die Arbeit mit der neuen MIME-Verarbeitungssicherheit müssen Webserver einheitliche Content-Type-Header und Dateinamenerweiterungen definieren. Als Alternative kann der HTTP-Header Content-disposition=attachment: hinzugefügt werden. Dieses Element sendet die Datei direkt an den zugehörigen Erweiterungshandler statt an den MIME-Handler. Wenn eine Anwendung eine vom MIME-Handler zurückgewiesene Datei in Internet Explorer ausführt, können Sie dieses Verhalten programmgesteuert ändern, damit der Handler die Datei verarbeiten kann. Falls diese Vorgehensweise nicht möglich ist, können Sie festlegen, dass Internet Explorer den MIME-Handler bei einer Nichtübereinstimmung von MIME/Erweiterung ignoriert, indem Sie dem folgenden Bereich der Registrierung die ProgID des Handlers hinzufügen: HKEY_CLASSES_ROOT\PROG_ID_OF_MIMEHANDLER_TO_IGNORE \PreferExecuteOnMisMatch=DWORD:00000001 Falls eine Nichtübereinstimmung zwischen der ProgID des MIME-Handlers und dem Erweiterungshandler vorliegt, kann ein Entwickler die ProgID-Registrierung des MIME-Handlers entfernen. Wenn der MIME-Handler und der Erweiterungshandler von derselben CLSID stammen und sogar wenn der MIME-Handler die Datei zurückweist, lässt Internet Explorer die Dateiausführung im Erweiterungshandler zu. Wenn Sie zusätzliche Eingabeaufforderungen für Dateidownloads verhindern möchten, deren Ursache die Zuordnung des MIME-Handlers zu einer Datei in der Liste AssocIsDangerous ist, registrieren Sie den betreffenden MIME-Handler unter dem folgenden Schlüssel als sicher: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\InternetSettings\Secure_MIME_Handlers Dieser Schlüssel sollte den Wert 00000001enthalten, dessen Name die ProgID des MIME-Handlers ist und dessen Typ DWORD lautet. Wenn die MIME-Ermittlung zur Verwendung ungeeigneter Dateityphandler führt, deaktivieren Sie nach Möglichkeit die Funktion für die entsprechende Zone, wie weiter oben in diesem Handbuch beschrieben wurde. Die MIME-Ermittlung wird über die Einstellung Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen gesteuert. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die MIME-Verarbeitung" Testen der Anwendungskompatibilität für die MIME-Verarbeitung ObjektzwischenspeicherungsschutzIn diesem Fall können Sie die Windows XP SP2-Konfiguration dieses Features über die Funktionssteuerung deaktivieren oder den Objektzwischenspeicherungsschutz mithilfe der UrlAction-Sicherheit zonenweise konfigurieren, wie weiter oben in diesem Handbuch beschrieben wurde. Als Alternative kann der Entwickler den Anwendungscode zum erneuten Zwischenspeichern des Objekts neu schreiben, bevor der Zugriff auf das Objekt erfolgt. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Objektzwischenspeicherung" Testen der Anwendungskompatibilität für die Objektzwischenspeicherung FenstereinschränkungenWenn die Einschränkung bei Skript-initiierten Fenstern zu Problemen mit der Anwendungskompatibilität führt, können Sie die Windows XP SP2-Konfiguration dieses Features über die Funktionssteuerung deaktivieren oder Fenstereinschränkungen mithilfe der UrlAction-Sicherheit zonenweise konfigurieren, wie weiter oben in diesem Handbuch beschrieben wurde. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in Fenstereinschränkungen Testen der Anwendungskompatibilität für Fenstereinschränkungen Schutz vor ZonenanhebungWenn der Schutz vor Zonenanhebung zu Problemen mit der Anwendungskompatibilität bei vertrauenswürdigen Webseiten führt, können Sie die Windows XP SP2-Konfiguration für das Feature über die Funktionssteuerung deaktivieren oder es mithilfe der UrlAction-Sicherheit zonenweise (oder websiteweise) deaktivieren, wie weiter oben in diesem Handbuch beschrieben wurde. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in den Schutz vor Zonenanhebung Testen der Anwendungskompatibilität für den Schutz vor Zonenanhebung InformationsleisteDie Informationsleiste zeigt Informationen zu verschiedenen Ereignissen an. In den folgenden Abschnitten werden diese Informationstypen erläutert. Installationsaufforderung für Add-OnsViele Webseiten oder Anwendungen funktionieren nur dann einwandfrei, wenn Benutzer Code installieren. Wenn die Informationsleiste dazu führt, dass Benutzer Installationsoptionen vermissen, sollten die Entwickler sicherstellen, dass sich das ActiveX-Steuerelement für die Installation auf der Seite befindet, zu der die Benutzer umgeleitet werden. In Tabelle 3.5 werden die von der Installationsaufforderung für Add-Ons bereitgestellten Informationen zusammengefasst. Tabelle 3.5 Von der Installationsaufforderung für Add-Ons bereitgestellte Informationen
Geblockte PopupbenachrichtigungDieses Feature identifiziert geblockte Popupfenster in der Informationsleiste. In Tabelle 3.6 werden die Benachrichtigungsoptionen für das Popupblocken zusammengefasst. Tabelle 3.6 Popupblockieroptionen für die Informationsleiste
Eingabeaufforderungen für automatische DownloadsBenachrichtigungen über automatische Downloads, die ohne Benutzereingriff beginnen, werden jetzt in der Informationsleiste statt in einem Popupdialogfeld angezeigt. Webseiten sollten einen Hyperlink enthalten - idealerweise mit der Angabe des URLs für den Inhalt, damit Benutzer den Dateidownload einleiten können. Wenn für das Navigieren zur Ressource ein Skript verwendet wird, sollte dieses innerhalb des Kontextes des OnClick-Ereignishandlers synchron ausgeführt werden. In Tabelle 3.7 werden die Benachrichtigungsoptionen für automatische Downloads zusammengefasst. Tabelle 3.7 Automatische Downloadoptionen für die Informationsleiste
Geblockte aktive InhalteWindows XP SP2 blockt möglicherweise einige aktive Inhalte, die für das Funktionieren von Anwendungen erforderlich sind. In diesem Fall wird in der Informationsleiste eine entsprechende Erläuterung angezeigt. In Tabelle 3.8 werden die Benachrichtigungsoptionen für das Blocken aktiver Inhalte zusammengefasst. Tabelle 3.8 Optionen für geblockte aktive Inhalte für die Informationsleiste
ActiveX-Komponenten wurden aufgrund von Sicherheitseinstellungen geblocktBei Windows XP SP2 werden Informationen im Zusammenhang mit geblockten ActiveX-Komponenten jetzt in der Informationsleiste angezeigt. In Tabelle 3.9 werden die Benachrichtigungsoptionen für das Blocken von ActiveX-Komponenten zusammengefasst. Tabelle 3.9 Optionen zum Blocken von ActiveX-Komponenten für die Informationsleiste
Webseiten sollten Eingabeaufforderungen für Dateidownloads enthalten, auf die der Benutzer klicken kann. Seiten, auf die ein Benutzer umgeleitet wird, sollten auch Informationen zum Installieren der erforderlichen Add-Ons anzeigen. Wenn eine Aktualisierung zu einem Add-On veröffentlicht wird, sollte diese die gleiche GUID (Globally Unique Identifier) wie die Originaldatei aufweisen. Auf diese Weise wird verhindert, dass die Neuinstallation eine Eingabeaufforderung in der Informationsleiste generiert. Beim Auftreten von Kompatibilitätsproblemen können Sie die Informationsleiste über die Funktionssteuerung konfigurieren, wie weiter oben in diesem Handbuch beschrieben wurde. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Informationsleiste Testen der Anwendungskompatibilität für die Informationsleiste PopupverwaltungPopupblocker können in der Benutzeroberfläche durch Klicken auf die Option Popupblocker des Internet Explorer-Menüs Extras konfiguriert werden. Abbildung 3.12 zeigt das Internet Explorer-Menü Popupblocker. Nach dem Klicken auf Popupblockereinstellungen wird das in Abbildung 3.13 wiedergegebene Dialogfeld Popupblockereinstellungen angezeigt. In diesem Dialogfeld kann ein Benutzer Popups für festgelegte Websites zulassen. Hinweis: Es ist möglich, Popups temporär zuzulassen, indem beim Klicken auf einen Hyperlink auf der Webseite ALT gedrückt gehalten wird. Popupblocker können mit den weiter oben in diesem Handbuch im Abschnitt über die UrlAction-Sicherheit beschriebenen Methoden aktiviert bzw. deaktiviert werden. Zusätzliche Informationen zu dieser Technologie im Handbuch finden Sie in folgendem Abschnitt: Unterabschnitt "UrlActions" des Abschnitts "Anwenden von Korrekturen zur Problemminimierung" Mithilfe von Active Directory-Gruppenrichtlinien können Sie eine Liste von Websites konfigurieren, auf denen Popups selbst dann verwendet werden dürfen, wenn die Blockierung aktiviert ist. Zu diesem Zweck verwenden Sie die Einstellungen in: Administrative Templates\Windows Components \Internet Explorer\ Pop-up Allow List Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Popupverwaltung Testen der Anwendungskompatibilität für die Popupverwaltung Add-On-VerwaltungSie können installierte Internet Explorer-Add-Ons über den Internet Explorer-Menübefehl Add-Ons verwalten identifizieren. Abbildung 3.14 zeigt diesen Menübefehl mit dem zugehörigen Dialogfeld Add-Ons verwalten. Über das Dialogfeld Add-Ons verwalten können Sie Add-Ons aktivieren bzw. deaktivieren oder ActiveX-Steuerelemente aktualisieren. Ein Administrator kann die folgenden drei Modi für Add-On-Verwaltung konfigurieren:
Diese Modi können über die Registrierung mit folgendem Registrierungsschlüssel konfiguriert werden: Management Mode HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Ext\ManagementMode:DWORD 0 = Normal 1 = AllowList 2 = DenyList AllowList HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Ext\AllowList AllowList enthält Unterschlüssel mit der CLSID der zugelassenen Add-Ons. DenyList HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Ext\DenyList DenyList enthält Unterschlüssel mit der CLSID der gesperrten Add-Ons. Alternativ können Sie Add-Ons über Active Directory-Gruppenrichtlinien im folgenden Pfad konfigurieren: Administrative Templates\Windows Components \Internet Explorer\Security Features Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Add-On-Verwaltung Testen der Anwendungskompatibilität für die Add-On-Verwaltung Windows-FirewallUnter Windows XP SP2 ist die Windows-Firewall standardmäßig aktiviert. Wenn Sie eingehende Kommunikation zulassen möchten, müssen Sie einen bestimmten Port öffnen oder ein Programm in die Ausnahmenliste einschließen. Wenn ein Dienst oder eine Anwendung einen bestimmten Port abzuhören versucht, wird der Benutzer mit einem Dialogfeld über diese Aktion informiert. Falls der Benutzer über Administratorrechte verfügt, enthält das Dialogfeld auch die Möglichkeit zum Öffnen des Ports. Globale KonfigurationSie können die Windows-Firewall über die Eigenschaften einer beliebigen Netzwerkverbindung für alle Verbindungen konfigurieren. Die Registerkarte Erweitert enthält die Schaltfläche Einstellungen. Abbildung 3.15 zeigt das Dialogfeld Windows-Firewall.  Abbildung 3.15 Konfigurationsschnittstelle "Windows-Firewall" Das Dialogfeld Windows-Firewall enthält mehrere Konfigurationsoptionen. Auf der Registerkarte Allgemein kann die Firewall deaktiviert (wird nicht empfohlen) oder in den Modus Keine Ausnahmen zulassen versetzt werden, in dem die Ausnahmenliste ignoriert wird. Die Registerkarte Ausnahmen lässt den Zugriff auf ein Programm oder einen Port auf der folgenden Grundlage zu:
Wenn ein Programm oder ein Port in die Ausnahmenliste eingeschlossen wird, kann der Zugriffsbereich durch Klicken auf die Schaltfläche Bereich ändern und Auswählen einer der folgenden Optionen definiert werden:
Schnittstellenspezifische KonfigurationZum Konfigurieren von Einstellungen für einzelne Netzwerkschnittstellen klicken Sie auf die Registerkarte Erweitert, wählen Sie die gewünschte Schnittstelle aus, und klicken Sie auf die Schaltfläche Einstellungen. Abbildung 3.16 zeigt die schnittstellenspezifischen Konfigurationen für die Windows-Firewall. Zum Konfigurieren der Windows-Firewall über die Befehlszeile oder mithilfe von Skripts verwenden Sie den Befehl Netsh Firewall. Sie können die Windows-Firewalleinstellungen in Active Directory-Gruppenrichtlinien über die Einstellungen in folgendem Pfad konfigurieren: Administrative Templates\Network \Network Connections\Windows Firewall Bei Computern, die einer Domäne angehören, ermöglichen Gruppenrichtlinien das Konfigurieren der beiden folgenden Profile:
Die Standardrichtlinie ist zweckmäßig für mobile Benutzer. Wenn die Windows-Firewall zu Kompatibilitätsproblemen führt, müssen Sie statische Ports in der Firewall möglicherweise öffnen oder die Anwendung in die Ausnahmenliste einschließen. Zur Aufrechterhaltung der Funktionalität gibt es unter anderem die folgenden Einstellungen:
Abbildung 3.17 zeigt ein Beispiel für das Windows-Firewall-Protokoll. Programmgesteuertes Öffnen von PortsUnabhängige Softwarehersteller (Independent Software Vendors - ISVs) können ihre Programme während der Installation über die INetFWAuthorizedApplication-API in die Ausnahmenliste einbeziehen. ISVs sollten Folgendes beachten:
Weitere Informationen zu INetFwAuthorizedApplication finden Sie auf der Microsoft-Website unter: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ics/ics/inetfwauthorizedapplication.asp (englischsprachig). Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in die Windows-Firewall Testen der Anwendungskompatibilität für die Windows-Firewall Datenausführungsverhinderung (DEP)Windows XP SP2 stellt für die Konfiguration der Datenausführungsverhinderung (Data Execution Prevention - DEP) die Starteinträge in der Datei boot.ini, System in der Systemsteuerung sowie das Application Compatibility Toolkit (ACT) bereit. Globale KonfigurationDEP wird standardmäßig so konfiguriert, dass nur die Windows-Basisanwendungen und -dienste geschützt werden. Diese Konfigurationsrichtlinienebene lautet OptIn. DEP kann so konfiguriert werden, dass eine der vier in Tabelle 3.10 beschriebenen Richtlinienebenen verwendet wird. Tabelle 3.10 Die vier Richtlinienebenen von DEP
Die hardware- und softwareseitig durchgesetzte DEP wird auf dieselbe Weise konfiguriert. Wenn die systemweite DEP-Richtlinie auf OptIn festgelegt ist¸ werden die gleichen Windows-Basisanwendungen und -dienste von der sowohl hardware- als auch softwareseitig durchgesetzten DEP geschützt. Wenn das System für die hardwareseitig durchgesetzte DEP nicht fähig ist, werden die Windows-Basisanwendungen und -dienste nur von der softwareseitig durchgesetzten DEP geschützt. Wenn die systemweite DEP-Richtlinie auf OptOut festgelegt ist¸ werden die vom DEP-Schutz ausgeschlossenen Anwendungen von der sowohl hardware- als auch softwareseitig durchgesetzten DEP ausgeschlossen. Die vier systemweiten DEP-Konfigurationen werden über boot.ini-Optionen gesteuert. Es gibt folgende Boot.ini-Einstellungen: /noexecute=Richtlinienebene Dabei wird Richtlinienebene als AlwaysOn, AlwaysOff, OptIn oder OptOut definiert. Eine vorhandene /noexecute-Einstellung in der Datei Boot.ini wird nicht geändert, wenn Windows XP SP2 installiert ist oder wenn ein Image des Windows-Betriebssystems über Computer mit und ohne hardwareseitig durchgesetzte DEP-Unterstützung verschoben wird. Während der Installation von Windows XP SP2 ist die Richtlinienebene OptIn standardmäßig nur dann aktiviert, wenn in einer unbeaufsichtigten Installation eine andere Richtlinienebene angegeben wird. Wenn die Einstellung /noexecute=Richtlinienebene im Starteintrag für eine DEP unterstützende Windows-Version nicht vorhanden ist, ist das Verhalten genauso, als ob die Option /noexecute=OptIn eingeschlossen wäre. Endbenutzer, die als Administratoren angemeldet sind, können DEP zwischen den Richtlinien OptIn und OptOut über die Registerkarte Datenausführungsverhinderung im Dialogfeld Systemeigenschaften manuell konfigurieren. Im folgenden Verfahren wird beschrieben, wie DEP auf dem Computer manuell konfiguriert wird:
IT-Experten können die systemweite DEP-Konfiguration mit verschiedenen Methoden steuern. Die Datei Boot.ini kann mit Skripterstellungsmechanismen oder mit dem in Windows XP SP2 enthaltenen Tool Bootcfg.exe direkt geändert werden. Für unbeaufsichtigte Installationen von Windows XP SP2 können Sie mithilfe der Datei Unattend.txt eine bestimmte DEP-Konfiguration vorab durchführen. Mit dem Eintrag OSLoadOptionsVar im Abschnitt [Data] der Datei Unattend.txt können Sie eine systemweite DEP-Konfiguration festlegen. Anwendungsweise KonfigurationZum Zweck der Anwendungskompatibilität ist es beim Festlegen von DEP auf die Richtlinienebene OptOut möglich, DEP für einzelne 32-Bit-Anwendungen selektiv zu deaktivieren. EndbenutzerkonfigurationBei Endbenutzern kann DEP für eine Anwendung über die Registerkarte Datenausführungsverhinderung in Systemeigenschaften selektiv deaktiviert werden. Wenn Sie der Ausnahmenliste eine Anwendung hinzufügen möchten und die DEP-Richtlinie auf OptOut festgelegt ist, klicken Sie auf die Schaltfläche Hinzufügen, und wählen Sie das Programm aus, bei dem Sie DEP nicht verwenden möchten. Wenn bei einer Anwendung ein Problem mit DEP auftritt, empfängt der Benutzer eine Eingabeaufforderung. Falls der Benutzer ein Mitglied der Gruppe Lokale Administratoren ist, kann er die Anwendung vom DEP-Schutz ausschließen. Die Anwendung, von der die Eingabeaufforderung generiert wurde, wird in die DEP-Ausnahmenliste eingeschlossen, jedoch nicht als aktiviert gekennzeichnet. Abbildung 3.19 zeigt ein Warndialogfeld zu DEP. IT-ExpertenkonfigurationWindows XP SP2 stellt mehrere Methoden zum Konfigurieren von DEP im Unternehmen bereit. Deaktivieren von DEP für eine AnwendungFür Windows XP SP2-Bereitstellungen, bei denen eine Endbenutzerkonfiguration nicht möglich oder nicht praktikabel ist, bietet Windows XP SP2 eine neue Kompatibilitätskorrektur, mit der DEP für eine bestimmte Anwendung deaktiviert werden kann. Die Kompatibilitätskorrektur DisableNX kann mithilfe des im ACT enthaltene Programm Compatibility Administrator auf eine Anwendung angewendet werden. Nachdem die Kompatibilitätskorrektur DisableNX mithilfe des Compatibility Administrators auf ein Programm angewendet wurde, kann die daraus resultierende benutzerdefinierte Kompatibilitätsdatenbank (Custom Compatibility Database) für Systeme unter Windows XP SP2 bereitgestellt werden. Dies kann mit verschiedenen Methoden geschehen, darunter Anmeldeskripts, SMS oder Gruppenrichtlinien. Weitere Informationen zur Verwendung des Windows Application Compatibility Toolkits finden Sie auf der Microsoft-Website unter: http://www.microsoft.com/windows/appcompatibility/toolkit.mspx (englischsprachig) Aktivieren von DEP für eine AnwendungEs kann wünschenswert sein, den DEP-Schutz für mehrere Anwendungen über die Windows-Kernkomponenten hinaus zu aktivieren, ohne die systemweite DEP-Konfiguration auf die Richtlinienebene OptOut festzulegen. In diesem Szenario kann die Kompatibilitätskorrektur AddProcessParametersFlags mithilfe des Compatibility Administrators auf eine Anwendung angewendet werden, um den DEP-Schutz zu aktivieren. Die Kompatibilitätskorrektur AddProcessParametersFlags muss mit dem Befehlszeilen-Parameterwert "20000" hinzugefügt werden. Der Compatibility Administrator muss mit der Option /x gestartet werden, um einen Befehlszeilenwert für eine Kompatibilitätskorrektur festzulegen. Führen Sie die folgenden Schritte aus, um die Kompatibilitätskorrektur AddProcessParametersFlags auf eine Anwendung anzuwenden:
Nachdem die Anwendungskorrektur erstellt wurde, kann die daraus resultierende benutzerdefinierte Kompatibilitätsdatenbank (Custom Compatibility Database) für Systeme unter Windows XP SP2 bereitgestellt werden. Dies kann mit verschiedenen Methoden geschehen, darunter Anmeldeskripts, SMS oder Gruppenrichtlinien. Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Testen der Anwendungskompatibilität für DEP Distributed Component Object Model (DCOM)\Remoteprozeduraufruf (RPC)Durch die Sicherheit, die von Windows XP SP2 auf DCOM und RPCs angewendet wird, werden viele netzwerkbasierte Angriffe verhindert, die auf diese Dienste ausgerichtet sind. Aus diesem Grund sind sorgfältige Überlegungen erforderlich, bevor Sicherheitseinstellungen geändert werden, die sich auf die Netzwerkkommunikation auswirken. Distributed Component Object ModelWindows XP SP2 wendet DCOM-Sicherheit auf die COM-Serverkomponente an, um anonymen Zugriff zu verhindern. Die Berechtigungen werden in zwei Zugriffssteuerungslisten (Access Control Lists - ACLs) unterteilt:
Die systemweiten Zugriffssteuerungslisten befinden sich in der Verwaltungskonsole für Komponentendienste unter Eigenschaften von Arbeitsplatz. Abbildung 3.20 zeigt dieses Dialogfeld, das die Konfiguration von computerweiter DCOM-Sicherheit und standardmäßiger DCOM-Sicherheit für Anwendungen ermöglicht.  Abbildung 3.20 Konfigurationsschnittstelle für DCOM-Sicherheit zum Festlegen der systemweiten Konfiguration Für jeden Berechtigungstyp gibt es zwei Zugriffssteuerungslisten:
In Abbildung 3.21 zeigt die Konfigurationsschnittstelle für DCOM-Sicherheit für eine bestimmte Anwendung.  Abbildung 3.21 DCOM-Sicherheitsschnittstelle für den IIS-Verwaltungsdienst (IIS Admin Service) Computerweite Zugriffssteuerungslisten werden in der Registrierung gespeichert unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Ole \MachineAccessRestriction= ACL und HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Ole \MachineLaunchRestriction= ACL Berechtigungseinstellungen für computerweite Einschränkungen können über Gruppenrichtlinien festgelegt werden. Mit Active Directory-Gruppenrichtlinien können Sie computerweite Einstellungen in folgendem Pfad konfigurieren: Windows Settings\Security Settings \Local Policies\Security Options Abbildung 3.22 zeigt Gruppenrichtlinieneinstellungen für die DCOM-Konfiguration von Computerzugriffsberechtigungen.  Abbildung 3.22 Verwenden von Gruppenrichtlinien zum Festlegen einer computerweiten DCOM-Konfiguration Wenn Gruppenrichtlinien auf einem Computer wirksam sind, werden diese berücksichtigt, und die computerweite Einschränkungsberechtigung des lokalen Computers wird ignoriert. Durch die Konfiguration der DCOM-Zugriffssteuerungsliste wird eine neue Sicherheitsbeschreibung in der Registrierung erstellt. Wenn Sie einen COM-Server implementieren und eine Remoteaktivierung durch einen nicht administrativen COM-Client oder nicht authentifizierte Remoteaufrufe unterstützen möchten, sollten Sie sich zunächst überlegen, ob es sich dabei um die bestmögliche Konfiguration handelt. Falls dies zutrifft, müssen Sie die DCOM-Standardkonfiguration für computerweite Limits mit Limits bearbeiten ändern. Wenn Sie einen COM-Server implementieren und die Standardsicherheitseinstellungen außer Kraft setzen, müssen Sie überprüfen, ob die anwendungsspezifische Zugriffssteuerungsliste für Startberechtigung den entsprechenden Benutzern Aktivierungsberechtigung gewährt. Falls dies nicht zutrifft, müssen Sie diese Zugriffssteuerungsliste ändern, um den entsprechenden Benutzern Aktivierungsrechte zu erteilen. Damit wird verhindert, dass Anwendungen und Windows-Komponenten, die DCOM nutzen, fehlschlagen. Vorsicht: Bei unsachgemäßer Konfiguration können computerweite Einschränkungsberechtigungen dazu führen, dass Anwendungen und Windows-Komponenten, die DCOM nutzen, fehlschlagen. Besonders der Eintrag für die Zugriffssteuerung (Access Control Entry - ACE) Deny sollte mit Umsicht verwendet werden. Bevor Sie diese Einstellung anwenden, sollten Sie die Auswirkungen sorgfältig prüfen. Ein ACE Deny kann zu unerwünschten Ergebnissen führen und dafür sorgen, dass bestimmte Funktionen gesperrt werden, auf die Benutzer zugreifen müssen. Je nach Sicherheitsgruppe, für die Sie Deny festlegen, kann diese Einschränkung auch Auswirkungen auf die Administratoren des lokalen Computers haben. Darüber hinaus können DCOM-Anwendungen von Aktivierungssicherheitsüberprüfungen ausgeschlossen werden, indem der folgende Registrierungsschlüssel bearbeitet wird: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Ole\AppCompat\ActivationSecurityCheckExemptionList Fügen Sie einen der beiden folgenden Werte mit dem Namen der Anwendungs-ID hinzu, die aus dem Abschnitt "DCOM Config" der MMC Komponentendienste übernommen wurde: 0 = Die Anwendung wird von der Aktivierungssicherheitsüberprüfung nicht ausgeschlossen. 1 = Die Anwendung wird von der Aktivierungssicherheitsüberprüfung ausgeschlossen. Konfigurieren Sie diese Liste mithilfe der Gruppenrichtlinien unter: Administrative Templates\System\Distributed COM \Application Compatibility Settings Remoteprozeduraufruf (RPC)Windows XP SP2 bietet Entwicklern und Administratoren die Möglichkeit zur sicheren RPC-Kommunikation über die folgenden Einstellungen: Registrierungsschlüssel RestrictRemoteClients. Der Pfad zu diesem Schlüssel ist möglicherweise noch nicht vorhanden, sollte aber erstellt werden unter: HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\ Microsoft\Windows NT\RPC. Der Registrierungswert RestrictRemoteClients akzeptiert die folgenden Werte: 0 = Umgeht die neuen Schnittstelleneinschränkungen. Das Verhalten ist identisch mit demjenigen in Service Pack 1. 1 = (Standard) Schränkt den Zugriff auf alle RPC-Schnittstellen ein. Alle anonymen Remoteaufrufe werden vom RPC-Laufzeitsystem zurückgewiesen. Wenn eine Schnittstelle einen Sicherheitsrückruf registriert und das Flag RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH angibt, gilt diese Einschränkung nicht für die betreffende Schnittstelle. Falls der Schlüssel nicht vorhanden ist (Standard), nimmt das System dafür diesen Wert an. 2 = Wendet die neuen Schnittstelleneinschränkungen ohne Ausnahmen an. Dies ist identisch mit der Bedeutung des Wertes 1, abgesehen davon, dass das Flag RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH nicht zum Ausschluss einer Schnittstelle führt. Bei diesem Wert kann ein System keine anonymen Remoteaufrufe mit RPC empfangen. Anwendungen, die DCOM nutzen, funktionieren möglicherweise nicht einwandfrei, wenn dieser Wert festgelegt wird. Dieses neue Sicherheitsmodell ermöglicht es einem Administrator, die Systemangriffsfläche für das RPC-Protokoll zu begrenzen. Registrierungsschlüssel EnableAuthEpResolution. Der Pfad zu diesem Schlüssel ist möglicherweise noch nicht vorhanden, sollte aber erstellt werden unter: HKEY_LOCAL_MACHINE\ SOFTWARE\Policies \Microsoft\Windows NT\RPC. Dieser Wert muss auf dem Client festgelegt werden, um authentifizierte Kommunikation mit der RPC-Endpunktzuordnung auf dem Remotecomputer unter Windows XP SP2 zu aktivieren. Diese Konfiguration ist bei der Windows XP SP2-Standardeinstellung RestrictRemoteClients erforderlich. Die zulässigen Werte für EnableAuthEpResolution lauten: 0 = Deaktiviert 1 = Aktiviert Registrierungsflags der RPC-Schnittstelle. Es wurden drei neue Schnittstellenregistrierungsflags erstellt, die es einem Anwendungsentwickler erleichtern, eine RPC-Schnittstelle sicher zu gestalten. RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH. Wenn dieses Flag registriert ist, ruft das RPC-Laufzeitsystem den registrierten Sicherheitsrückruf für alle Aufrufe auf, unabhängig von den Sicherheitseinstellungen für den Aufruf. Ohne dieses Flag weist RPC alle nicht authentifizierten Aufrufe zurück, bevor sie den Sicherheitsrückruf erreichen. Dieses Flag funktioniert nur, wenn ein Sicherheitsrückruf registriert ist. RPC_IF_SEC_NO_CACHE Ein Sicherheitsrückruf wird für eine Schnittstelle registriert, um den Zugriff darauf zu beschränken. Der normale Sicherheitsrückruf nimmt die Identität des Clients an, um zu ermitteln, ob der Client über ausreichende Rechte für einen Aufruf der Schnittstelle verfügt. Wenn eine bestimmte Clientidentität einen Sicherheitsrückruf einmal bestanden hat, wird normalerweise immer der gleiche Sicherheitsrückruf übergeben. Das RPC-Laufzeitsystem nutzt dieses Muster, indem aufgezeichnet wird, wann eine individuelle Clientidentität einen Sicherheitsrückruf übergibt, und es überspringt den Sicherheitsrückruf für nachfolgende Aufrufe dieses Clients an dieselbe Schnittstelle. Diese Funktion wird als Sicherheitsrückruf-Zwischenspeicherung (Security Callback Caching) bezeichnet und wurde unter Windows 2000 eingeführt. Verwenden Sie unter Windows XP SP2 das Flag RPC_IF_SEC_NO_CACHE, um die Sicherheitsrückruf-Zwischenspeicherung für eine bestimmte Schnittstelle zu deaktivieren. Diese Konfiguration ist zweckmäßig, wenn sich die Sicherheitsüberprüfung ändert und dadurch eine Clientidentität, die zuvor zugelassen wurde, möglicherweise zurückgewiesen wird. RPC_IF_LOCAL_ONLY. Wenn eine Schnittstelle mit diesem Flag registriert wird, weist RPC Aufrufe von Remote-RPC-Clients zurück. Darüber hinaus werden lokale Aufrufe über alle ncadg_*- und ncacn_*-Protokollsequenzen (außer Named Pipes mit ncacn_np) ebenfalls zurückgewiesen. Ein Aufruf über ncacn_np wird von RPC nur zugelassen, wenn er von einem Serverdienst kommt. Ncalrpc-Aufrufe werden immer zugelassen. Die Standardsicherheitskonfigurationen in Windows XP SP2 können zu einigen Kompatibilitätsproblemen führen. Zu deren Lösung stehen die folgenden drei Möglichkeiten zur Verfügung, die in der zu bevorzugenden Reihenfolge aufgeführt sind.
Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Testen der Anwendungskompatibilität für DCOM/RPC Ausführungsdienst der AnlagenverwaltungBeim Ausführungsdienst der Anlagenverwaltung (Attachment Execution Service - AES) handelt es sich um eine neue Funktion in Windows XP SP2, die zu einigen wenigen Problemen mit der Anwendungskompatibilität führen kann. Der Ausführungsdienst der Anlagenverwaltung stellt neu gestaltete, einheitliche Dialogfelder für Datei- und Anlagendownloads anwendungsübergreifend bereit. Diese Dialogfelder enthalten die folgenden neuen Features:
Alle gedownloadeten ausführbaren Dateien werden auf Herausgeberinformationen überprüft. Nach dem Download einer Datei werden im Dialogfeld Authenticode Herausgeberinformationen angezeigt. Es ist möglich, den Download und die Ausführung von Dateien mit ungültiger Signatur im Dialogfeld Internetoptionen auf der Registerkarte Erweitert oder mithilfe von Active Directory-Gruppenrichtlinien unter der folgenden Adresse zu konfigurieren: Administrative Templates\Windows Components\ Internet Explorer\Internet Control Panel\Advanced Page Die Benutzeroberfläche zeigt eine Liste gefährlicher Dateitypen für Downloads von E-Mail-Dateianlagen an, die strenger als zuvor sind und zu zusätzlichen Benutzerbestätigungen führen können. Die Liste der Dateitypen kann nicht bearbeitet werden, doch es ist möglich, dieses Feature durch Klicken auf Optionen im Menü Extras für Outlook Express zu deaktivieren. Sie können die Verwendung der Liste gefährlicher Dateitypen auf der Registerkarte Sicherheit verhindern, indem Sie das Kontrollkästchen Speichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten, nicht zulassen deaktivieren. Abbildung 3.23 zeigt die Konfiguration der Liste gefährlicher Dateitypen in Outlook Express.  Abbildung 3.23 Konfigurationsoptionen für die Liste gefährlicher Dateitypen in Outlook Express Der Ausführungsdienst der Anlagenverwaltung kann verhindern, dass eine von einem Benutzer auf das lokale Dateisystem gedownloadete E-Mail-Anlage ausgeführt wird. Die Datei wird gekennzeichnet, damit ihre Quelle selbst bei einer Dateiausführung zu einem späteren Zeitpunkt bekannt ist. Eine als gefährlich eingestufte Datei wird blockiert. Für dieses Feature muss das NTFS-Dateisystem auf dem Computer des Benutzers vorhanden sein. Dieses Verhalten kann für die Datei auf der Registerkarte Allgemein der Dateieigenschaften geändert werden. Abbildung 3.24 zeigt, wie die Blockierung einer gedownloadeten ausführbaren Anlage aufgehoben wird.  Abbildung 3.24 Aufheben der Blockierung einer gedownloadeten ausführbaren Anlage in Windows Explorer Klicken Sie auf die nachstehenden Links, um zusätzliche Informationen zu dieser Technologie im Handbuch anzuzeigen: Einführung in den Ausführungsdienst der Anlagenverwaltung Testen der Anwendungskompatibilität für den Ausführungsdienst der Anlagenverwaltung Entfernen von Korrekturen zur ProblemminimierungBis jetzt wurde in diesem Kapitel erläutert, wie Korrekturen zur Problemminimierung zum Beheben von Problemen mit der Anwendungskompatibilität angewendet werden. Das Ziel dieses Prozesses besteht darin, das Funktionieren einer Anwendung zu ermöglichen, indem die Sicherheit in einem oder mehreren Bereichen reduziert wird. Falls Sie nach reiflicher Überlegung beschließen, die Standardsicherheit zu reduzieren und Korrekturen zur Problemminimierung anzuwenden, sollten Sie auch einen Prozess und einen Zeitrahmen zum Entfernen der Korrekturen sowie zum Neukonfigurieren, Neuentwickeln, Aktualisieren oder Aussondern der problematischen Anwendungen implementieren. Abbildung 3.25 zeigt die Optionen, mit denen Windows XP SP2 zum Bewältigen von Anwendungsinkompatibilitäten bereitgestellt werden kann.  Abbildung 3.25 Windows XP SP2-Bereitstellungspfade nach Problemen mit der Anwendungskompatibilität Der Prozess besteht aus den folgenden Schritten:
Falls es sich in Schritt 2 herausstellt, dass eine Problemminimierung erforderlich ist, verfahren Sie folgendermaßen:
ZusammenfassungIn diesem Kapitel wurde der Prozess veranschaulicht, mit dem die Betriebssystemsicherheit neu konfiguriert wird, damit Anwendungen nach der Implementierung von Windows XP SP2 erfolgreich ausgeführt werden können. Dieses Verfahren wird zwar nicht empfohlen, kann aber kurzfristig erforderlich werden. Die empfohlene Vorgehensweise besteht darin, Sicherheitskonfigurationen beizubehalten und erforderliche Änderungen an der Anwendung selbst vorzunehmen, damit sie unter Windows XP SP2 funktioniert. Falls eine Aktualisierung oder Änderung der Anwendung nicht möglich ist, sollten vorsichtige Änderungen an der Sicherheitskonfiguration vorgenommen werden - allerdings nur bis zu dem Umfang, in dem die problemlose Ausführung der Anwendung sichergestellt werden kann. Außerdem sollte ein definierter Entfernungsprozess entwickelt werden, um das Betriebssystem auf die höchstmögliche Sicherheit zurückzusetzen, sobald die Anwendung aktualisiert oder geändert wurde. Im nächsten Kapitel werden Bereitstellungsmethoden für Windows XP SP2 behandelt.
|
In diesem Beitrag
|
