Zone Settings in Deep

Zonen Settings in Deep

Microsoft Deutschland GmbH, Microsoft Corporation

Published: July 2010

Author: Stephanus Schulte

Abstract

Dieser Guide bietet ihnen einen tieferen Einblick in die Funktionen und Konfigurationen der Internet Zonen von Microsoft® Windows™ Betriebssytemen.

Zone Settings in DeepInhaltsverzeichnis

Legal Notice

The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication.

This White Paper is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT.

Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation.

Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property.

Microsoft and product names identified in this document are either registered trademarks or trademarks of Microsoft Corporation in the U.S.A. and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners.

Inhaltsverzeichnis

Legal Notice

Links

Anmerkung:

Zonen Settings

.NET Framework

1.Loose XAML

Stats:

Erklärung:

Links:

Mögliche Werte:

Standardwerte:

Empfehlung:

2.XAML-Browseranwendungen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

3.XPS Dokumente

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Auf .NET Framework basierende Komponenten

4.Berechtigungen für Komponenten mit Manifesten

Stats:

Mögliche Werte:

Standardwerte:

Empfehlung:

5.Ausführen von Komponenten, die nicht mit Authenticode signiert sind

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

6.Ausführen von Komponenten, die mit Authenticode signiert sind

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

ActiveX-Steuerelemente und Plugins

7.Ausführen von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderungen zulassen

Stats:

Mögliche Werte:

Standardwerte:

Empfehlung:

8.Skriptlets zulassen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

9.Automatische Eingabeaufforderung für ActiveX-Steuerelemente

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

10.Binär- und Skriptverhalten

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

11.Videos und Animationen auf einer Webseite anzeigen, die keine externe Medienwiedergabe verwendet

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

12.Signierte ActiveX-Steuerelemente herunterladen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

13.Unsignierte ActiveX-Steuerelemente herunterladen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

14.ActiveX-Steuerelemente ausführen, die nicht für Scripting sicher sind

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

15.Die Verwendung von ActiveX ohne Zustimmung nur für genehmigte Domänen zulassen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

16.ActiveX-Steuerelemente und Plug-ins ausführen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

17.ActiveX-Steuerelmente ausführen, die für Scripting sicher sind

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Downloads

18.Automatische Eingabeaufforderung für Dateidownloads

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

19.Dateidownload

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

20.Schriftartdownload

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Enable .NET Framework setup

21.Enable .NET Framework setup

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Verschiedenes

22.Auf Datenquellen über Domänengrenzen hinweg zugreifen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

23.META Refresh zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

24.Skripting des Microsoft-Browsersteuerelements zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

25.Skript initiierte Fenster ohne Größen- bzw. Positionseinschränkungen zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

26.Verwendung eingeschränkter Protokolle mit aktiven Inhalten für Webseiten zulassen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

27.Öffnen von Fenstern ohne Adress- oder Statusleisten für Websites zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

28.Gemischte Inhalte anzeigen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

29.Keine Aufforderung zur Clientzertifikatauswahl, wenn kein oder nur ein Zeritifikat vorhanden ist

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

30.Ziehen und Ablegen oder Kopieren und Einfügen von Dateien

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

31.Lokalen Verzeichnispfad beim Hochladen von Dateien auf einen Server mit einbeziehen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

32.Installation von Desktopobjekten

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

33.Anwendungen und unsichere Dateien starten

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

34.Programme und Dateien in einem IFRAME starten

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

35.Fenster und Frames zwischen verschiedenen Domänen bewegen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

36.Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

37.Software channel permissions

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

38.Unverschlüsselte Formulardaten übermitteln

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

39.Phishingfilter verwenden

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

40.Use Pop-up Blocker

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

41.SmartScreen-Filter verwenden

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

42.Dauerhaftigkeit der Benutzerdaten

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

43.Websites, die sich in Webinhaltzonen niedriger Berechtigung befinden, können in diese Zone navigieren

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

Scripting

44.Active scripting

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

45.Programmatischen Zugriff auf die Zwischenablage zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

46.Allow status bar updates via script

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

47.Eingabeaufforderung für Informationen mithilfe von Skriptfenstern für Websites zulassen

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

48.XSS-Filter aktivieren

Stats:

Erklärung:

Beispiel:

Mögliche Werte:

Standardwerte:

Empfehlung:

49.Scripting von Java-Applets

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Benutzerauthentifizierung

50.Anmeldung

Stats:

Erklärung:

Mögliche Werte:

Standardwerte:

Empfehlung:

Zone Settings in DeepLinks

Links

Blog des Internet Explorer Support Team Deutschland:

Blog des IE Entwicklerteams:

How to use security zones in Internet Explorer:

Internet Explorer security zones registry entries for advanced users:

ActiveX Security: Improvements and Best Practices:

About URL Security Zone Templates:

Chapter 4 Security Zones IE Resource Kit

Anmerkung:

Die allgemeine Empfehlung für die Settings entspricht IMMERdem default Setting der jeweiligen Zone. Bei den Empfehlungen für die einzelnen Settings wird versucht gewisse Überlegungen miteinzubeziehen. Sofern der Leser sich diese Überlegungen zueigen macht, trägt er die alleinige Verantwortung für die Konsequenzen des Veränderns der Settings.

Der Autor oder die Microsoft Deutschland GmbH bzw. Microsoft Corporation schließen jegliche Haftung für entstandene Schäden aus, die durch eine Veränderung der Standard Einstellungen entstanden sind oder zukünftig entstehen.

Nicht zu jedem Zonensetting wurde ein Beispiel verlinkt/erstellt. Dies ist immer dann der Fall, wenn es durch mangelnde Verbreitung, nicht mehr (häufig) verwendete Settings oder erheblichen (externen) Aufwand nicht sinnvoll ist, dies im Rahmen dieses Dokuments zu tun.
Jegliche Änderung der Settings muss entsprechend der eingesetzten internen wie externen Anwendungen getestet und verifiziert werden, so dass keine (ungewollten) Einschränkungen entstehen oder Ausfälle auftreten.

Zone Settings in DeepLoose XAML

Zonen Settings

.NET Framework

1.Loose XAML

Stats:

GUI Name:Loose XAML / Loose XAML

Policy Name: Loose XAML-Dateien

Supported on: Mindestens Internet Explorer 7.0

Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\

Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID%

Registry value: 2402

Policy URL:

Erklärung:

Dies sind Dateien im Format ´eXtensible Application Markup Language´ (XAML). XAML ist eine deklarative Markupsprache auf XML-Grundlage. Sie wird gewöhnlich zum Erstellen intelligenter Benutzeroberflächen und von Grafiken verwendet, die die Windows Presentation Foundation nutzen.

Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden XAML-Dateien automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von XAML-Dateien zu bestätigen.

Wenn Sie dieseRichtlinieneinstellung deaktivieren, werden XAML-Dateien nicht in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob XAML-Dateien in Internet Explorer geladen werden sollen.

"Loose XAML" and "XAML browser applications"

Q: What is the meaning of the two options?

How does Internet Explorer differentiate between "loose XAML" and "XAML browser applications"?

A: Loose XAML refers to a .xaml file. These files can be navigated to and viewed in the browser. XAML browser applications are called XBAPs, and have a .xbap extension. The options let the user specify which of these .NET Framework content types are enabled or disabled, or whether to prompt for user consent to run in a particular security zone; for example, in Internet zone, prompt for user consent to run XBAPs, whereas in Intranet zone, simply enable them to run.

XBAPs are online-only WPF applications that run in the browser in a security sandbox. They provide much of the richness and power of WPF with the ease of deployment and navigation-style user experience of being hosted in the browser. XBAPs typically have C# or Visual Basic code behind them. Loose XAML are .xaml files without code behind them that can be run within the browser without compilation.

Loose XAML are .xaml files without code behind them that can be run within the browser without compilation.

Links:

XAML Overview (WPF)

Wikipedia: Extensible Application Markup Language

Frequently Asked Questions (FAQ) about the structure of .NET Framework-specific configuration options in Internet Explorer

Mögliche Werte:

0 => Aktivieren

3 => Deaktivieren

1 => Bestätigen

Standardwerte:

Eingeschränkte Seiten:

IE6: N/A;

IE7: Deaktivieren;

IE8: Deaktivieren

Internet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Vertrauenswürdigen Seiten:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Lokales Intranet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Empfehlung:

Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die Rechte des hostenden IE Prozesses beschränken.

Es spricht jedoch i.d.R. nichts dagegen, den Wert des „Hohen“ Templates - zumindest in der Internetzone, oder für alle Zonen, sofern keine XAML Applikationen verwendet werden und auch in der Zukunft nicht verwendet werden sollen - zu übernehmen und damit den Wert auf „Deaktivieren“ zu setzen.

Zone Settings in DeepXAML-Browseranwendungen

2.XAML-Browseranwendungen

Stats:

GUI Name: XAML-Browseranwendungen / XAML browser applications

Policy Name: XAML-Browseranwendungen

Supported on: Mindestens Internet Explorer 7.0

Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\

Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID%

Registry value: 2400

Policy URL:

Erklärung:

Hierbei handelt es sich um im Browser ausgeführte, mit ClickOnce bereitgestellte Anwendungen, die mithilfe von WinFX erstellt wurden. Diese Anwendungen werden in einem eigenen Sicherheitsbereich ("Sandbox") ausgeführt und machen die Möglichkeiten der Plattform von Windows Presentation Foundation für das Web nutzbar.

Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden XBAPs automatisch in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von XBAPs zu bestätigen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, werden XBAPs nicht in Internet Explorer geladen. Benutzer können dieses Verhalten nicht ändern.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob XBAPs in Internet Explorer geladen werden sollen.

Mögliche Werte:

0x0 => Aktivieren

0x3 => Deaktivieren

0x1 => Bestätigen

Standardwerte:

Eingeschränkte Seiten:

IE6: N/A;

IE7: Deaktivieren;

IE8: Deaktivieren;

Internet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Vertrauenswürdigen Seiten:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Lokales Intranet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Empfehlung:

Das default Setting ist „Aktivieren“, da die Angriffsmöglichkeiten einer XAML Applikation sich auf die Rechte des hostenden IE Prozesses beschränken.

Zone Settings in DeepXPS Dokumente

3.XPS Dokumente

Stats:

GUI Name: XPS-Dokumente / XPS documents

Policy Name: XPS-Dateien

Supported on: Mindestens Internet Explorer 7.0 (auf Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008)

Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\

Registry key: [HKCU|HKLM]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID%

Registry value: 2401

Policy URL:

Erklärung:

Diese Dateien wurden mit dem XML Paper Specification-Dokumentformat erstellt und enthalten in Seiten aufgeteilten Inhalt in einem festen Layout. Dieses Format ist über Plattformen, Geräte und Anwendungen hinweg portierbar.

Wenn Sie diese Richtlinieneinstellung aktivieren und in der Dropdownliste "Aktiviert" auswählen, werden xps-Dateien automatisch in Internet Explorer 7.0 geladen. Benutzer können dieses Verhalten nicht ändern. Wenn in der Dropdownliste "Bestätigen" ausgewählt ist, werden die Benutzer aufgefordert, das Laden von xps-Dateien zu bestätigen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, werden xps-Dateien nicht in Internet Explorer 7 geladen. Benutzer können dieses Verhalten nicht ändern.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer entscheiden, ob xps-Dateien in Internet Explorer 7.0 geladen werden sollen.

Hinweis:

Diese Einstellung wirkt sich nicht auf den stand-alone XPS Viewer aus dem Essential Pack und daher auch nicht auf Windows 7 und höher aus.

Mögliche Werte:

0x0 => Aktivieren

0x3 => Deaktivieren

0x1 => Bestätigen

Standardwerte:

Eingeschränkte Seiten:

IE6: N/A;

IE7: Deaktivieren;

IE8: Deaktivieren;

Internet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Vertrauenswürdigen Seiten:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Lokales Intranet:

IE6: N/A;

IE7: Aktivieren;

IE8: Aktivieren;

Empfehlung:

Dem Setzen des default Settings spricht nichts entgegen.

Zone Settings in DeepBerechtigungen für Komponenten mit Manifesten

Auf .NET Framework basierende Komponenten

4.Berechtigungen für Komponenten mit Manifesten

Stats:

GUI Name:Berechtigungen für Komponenten mit Manifesten / Permissions for components with manifest

Supported on: Mindestens Internet Explorer 7.0

Registry key: [HKLM|HKCU]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID%

Registry value: 2007

"Permissions for components with manifests"

Q: This option may be confusing, as the execution of a managed piece of code requires a manifest.

Does this refer only to published ClickOnce applications where a user launches the (native code based) setup by browsing to a URL with the .application extension?

What does "High Safety" mean?

A: This section refers to a new feature added in the .NET Framework 3.5. It allows you to add a ClickOnce-style manifest to a control in the browser. It does not apply to ClickOnce applications. More information is available in the blog post at That post also includes links to a series of posts covering the feature.

Mögliche Werte:

65535 => Hohe Sicherheit

0x3 => Deaktivieren

Standardwerte:

Eingeschränkte Seiten:

IE6: N/A;

IE7: Deaktivieren;

IE8: Deaktivieren;

Internet:

IE6: N/A;

IE7: Hoch;

IE8: Hoch;

Vertrauenswürdigen Seiten:

IE6: N/A;

IE7: Hoch;

IE8: Hoch;

Lokales Intranet:

IE6: N/A;

IE7: Hoch;

IE8: Hoch;

Empfehlung:

Da es eher selten vorkommt, dass ClickOnce Anwendungen in einem Unternehmensumfeld aus dem Internet gestartet werden, könnte hier zumindest für die Internet Zone das Setting „Deaktivieren“ gewählt werden.

5.Ausführen von Komponenten, die nicht mit Authenticode signiert sind

Stats:

GUI Name: Ausführen von Komponenten, die nicht mit Authenticode signiert sind / Run components not signed with Authenticode

Policy Name: Mit Authenticode signierte Komponenten ausführen, die .NET Framework erfordern

Supported on: Mindestens Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1

Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\%ZONENAME%\

Registry key: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%ZONEID%

Registry value: 2001

Policy URL:

Erklärung:

Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob mit Authenticode signierte .NET Framework-Komponente mit Internet Explorer ausgeführt werden können. Zu diesen Komponenten gehören verwaltete Steuerelemente, auf die von einem Objekttag verwiesen wird, und verwaltete ausführbare Dateien, auf die von einem Link verwiesen wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, führt Internet Explorer signierte verwaltete Komponenten aus. Wenn Sie in der Dropdownliste "Bestätigen" auswählen, werden die Benutzer gefragt, ob signierte verwaltete Komponenten ausgeführt werden sollen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, führt Internet Explorer signierte verwaltete Komponenten nicht aus.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, führt Internet Explorer signierte verwaltete Komponenten aus.

"Run components not signed with Authenticode"

Q: What does this option mean?

What does "components" refer to?

When is the Authenticode evidence check performed?

Is it done by Fusion or by Internet Explorer internal code?

When does Internet Explorer perform an Authenticode specific evidence check?

When does a custom CAS with publisher based trust come into play?

Does this apply for Authenticode signed setup packages (like MSI or CAB) or to the signature(s) of contained components?

What is the difference when a managed component is deployed by OBJECT tag using the overloaded managed syntax for the classid attribute vs. the 'classic' ActiveX approach with components compiled with ComInterop?

A: These settings apply only to managed controls (referenced by an object tag using the overloaded managed syntax for the classid attribute) and HREF-exes (managed applications referenced by a link). The Authenticode signature check is done by the CLR and is only checking whether or not the executable referenced by the object tag or link is signed with any Authenticode signature (not a specific Authenticode signature).