Sicherheitsoptionen in Internet Explorer

Durch die Sicherheitszonen von Internet Explorer können Sie Sicherheitsoptionen für verschiedene Zonen von Webinhalten angeben. Eine Zone stellt eine Sammlung von Websites dar, die Sie der gleichen Vertrauenswürdigkeitsstufe zuordnen. Sie weisen eine Website einer bestimmten Zone zu und stellen entsprechende Sicherheitsoptionen für diese Zone ein.

Sie können die Standardeinstellungen von Internet Explorer so anpassen, dass sie den Sicherheitsfeatures Ihres Systems am besten entsprechen. Für ein sicheres Intranet können Sie beispielsweise in der Regel eine Sicherheitseinstellung von Niedrig oder eine geeignete angepasste Einstellung verwenden (nachdem die lokale Intranetzone für den Firewall konfiguriert wurde).

Die folgenden Absätze beschreiben ausführlich die Bedeutung der Sicherheitsoptionen von Internet Explorer, damit Sie die richtigen Sicherheitsentscheidungen für jede Option in jeder Zone treffen können. Alle Sicherheitsoptionen beziehen sich auf den Internet Explorer-Browser; sie gelten nicht systemweit. Andere Internetprogramme ignorieren teilweise diese Optionen. Diese Liste enthält die Sicherheitsoptionen von Internet Explorer für 32-Bit-Versionen des Browsers, wobei einige Optionen für 16-Bit-Versionen des Browsers ebenfalls gelten.

Die folgenden Einstellungen bzw. Abschnitte gelten nicht:

• 16-Bit-Versionen des Browsers
  Benutzerauthentifizierung
  Schriftartdownload
  Zugriffsrechte für Softwarechannel
  Installation von Desktopobjekten
  Active Scripting
  Anwendungen und Dateien in einem IFRAME starten

Um die Firmensicherheitsoptionen einzustellen, müssen Sie die Einstellungen mit IEAK bearbeiten. Der Benutzer zeigt die Sicherheitsoptionen im Browser an, indem er im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit klickt. Um benutzerdefinierte Einstellungen anzuzeigen, wählt der Benutzer eine Sicherheitszone aus und klickt dann auf Stufe anpassen.

ActiveX-Steuerelemente und Plugins

Diese Optionen steuern, wie ActiveX-Steuerelemente und -Plugins vom Administrator genehmigt, gedownloadet, ausgeführt und gescriptet werden. Weitere Informationen über das Verwalten und Genehmigen von ActiveX-Steuerelementen finden Sie unter Verwalten von ActiveX-Steuerelementen.

Wenn ein Benutzer ein ActiveX-Steuerelement von einer anderen Site als der downloadet, in der das Steuerelement verwendet wird, verwendet Internet Explorer die restriktiveren der Zoneneinstellungen der beiden Sites. Wenn beispielsweise ein Benutzer eine Webseite innerhalb einer Zone anzeigt, die einen Download erlaubt (Aktivieren), der Code jedoch aus einer anderen Zone gedownloadet wird, die eine Benutzereingabe erfordert, wird die Benutzereingabeeinstellung verwendet.

ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
Diese Option bestimmt, ob ein als sicher für Scripting markiertes ActiveX-Steuerelement mit einem Skript interagieren kann. Beachten Sie, dass Steuerelemente, die als sicher für die Initialisierung gekennzeichnet sind und mit PARAM-Tags geladen werden, durch diese Option nicht betroffen werden. Diese Option wird ignoriert, wenn ActiveX-Steuerelemente initialisieren und ausführen, die nicht "sicher" sind auf Aktivieren gesetzt wurde, da diese Einstellung jegliche Objektsicherheit umgeht. Sie können nicht unsichere Steuerelemente scripten, während Sie das Scripting sicherer Steuerelemente blockieren.

ActiveX-Steuerelemente initialisieren und ausführen, die nicht "sicher" sind
ActiveX-Steuerelemente werden entweder als sicher oder unsicher klassifiziert. Diese Option steuert, ob ein Skript mit unsicheren Steuerelementen interagieren darf. Unsichere Steuerelemente sind nicht zur Verwendung auf Internetwebseiten gedacht, können jedoch in bestimmten Fällen auf Seiten verwendet werden, bei denen absolut sicher ist, dass die Steuerelemente nicht in böswilliger Absicht eingesetzt werden. Die Objektsicherheit sollte erzwungen werden, wenn nicht alle ActiveX-Steuerelemente und Skripte, die möglicherweise mit Seiten der Zone interagieren, vertrauenswürdig sind. Die Einstellungen lauten folgendermaßen:

ActiveX-Steuerelemente und Plugins ausführen
Diese Option legt fest, ob ActiveX-Steuerelemente und -Plugins auf Seiten aus der angegebenen Zone ausgeführt werden können. Das Deaktivieren dieser Option verhindert die Ausführung aller ActiveX-Steuerelemente und ­Plugins; daher werden die anderen ActiveX-Einstellungen ignoriert. Download, Ausführung und Scripting von ActiveX-Steuerelementen stellen drei verschiedene Schritte mit gesonderten Optionen dar. Bei den Downloadoptionen wird unterschieden zwischen signierten und nicht signierten Steuerelementen. Scriptingoptionen können für sichere und unsichere Steuerelemente gesondert eingestellt werden. Ob ein Steuerelement sicher für Scripting (oder Initialisierung) ist, wird vom Autor des Steuerelements bestimmt und sollte nicht mit dem Signieren verwechselt werden; Signieren und Sicherheit sind unabhängig voneinander. Weitere Informationen finden Sie im Microsoft Site Builder Network Workshop.

Download von signierten ActiveX-Steuerelementen
Diese Option ermöglicht Benutzern den Download signierter ActiveX-Steuerelemente von Seiten aus der Zone. Die Einstellungen lauten folgendermaßen:

• Aktivieren ermöglicht den Benutzern einen nicht sichtbaren Download beliebiger signierter Steuerelemente.
• Fragen zeigt eine Warnung an, bevor Benutzer Steuerelemente downloaden, die von nicht vertrauenswürdigen Herausgebern signiert wurden. Bei dieser Einstellung können Benutzer weiterhin einen unsichtbaren Download von durch vertrauenswürdige Herausgeber signiertem Code durchführen.
• Ablehnen verhindert, dass Benutzer signierte Steuerelemente downloaden.

Download von unsignierten ActiveX-Steuerelementen
Diese Option ermöglicht Benutzern den Download unsignierter ActiveX-Steuerelemente von Seiten aus der Zone. Diese Art von Code ist möglicherweise gefährlich, insbesondere dann, wenn er aus einer nicht vertrauenswürdigen Zone stammt.

• Aktivieren setzt die Objektsicherheit außer Kraft. ActiveX-Steuerelemente werden ausgeführt, mit Parametern geladen und gescriptet, ohne dass die Objektsicherheit für nicht vertrauenswürdige Daten oder Skripte eingestellt wird. Diese Einstellung wird außer in sicheren und verwalteten Zonen nicht empfohlen. Durch diese Einstellung werden sowohl unsichere als auch sichere Steuerelemente initialisiert und gescriptet, und die Option ActiveX-Steuerelemente ausführen, die für Scripting sicher sind wird ignoriert.
• Fragen versucht, die Objektsicherheit zu erzwingen. Wenn das ActiveX-Steuerelement jedoch nicht für nicht vertrauenswürdige Daten oder Skripte sicher gemacht werden kann, erhält der Benutzer die Option, das Steuerelement mit Parametern oder gescriptet zu laden.
• Deaktivieren erzwingt die Objektsicherheit für nicht vertrauenswürdige Daten oder Skripte. ActiveX-Steuerelemente, die nicht sicher gemacht werden können, werden nicht mit Parametern oder gescriptet geladen.

Java

Java-Einstellungen

Die Java-Optionen stehen nur zur Verfügung, wenn die Microsoft VM installiert ist.

Diese Optionen steuern den Download und die Ausführung von Java innerhalb der Zone. Bei Java-Downloads werden, wenn ein Steuerelement von einer anderen Site gedownloadet wird als der, in der die Seite verwendet wird, die Einstellungen der restriktiveren Zone der beiden Sites verwendet. Wenn beispielsweise ein Benutzer auf eine Webseite innerhalb einer Zone zugreift, die einen Download erlaubt, der Code jedoch aus einer anderen Zone gedownloadet wird, die eine Benutzereingabe erfordert, wird die Benutzereingabeeinstellung verwendet.

Nachstehend werden die Einstellungen für die meisten Plattformen erörtert. Für 16-Bit-Versionen von Windows-Betriebssystemen lauten die verfügbaren Einstellungen für Java-Berechtigungen Aktivieren und Deaktivieren.

Jede Optionseinstellung legt Folgendes fest:

• Die maximale Berechtigungsstufe, die signierten Anwendungen, die aus der Zone gedownloadet werden, stumm gewährt wird.
• Die Berechtigungen, die unsignierten Applets gewährt werden, die aus der Zone gedownloadet werden.
• Die Berechtigungen, die Skripten auf Seiten in der Zone gewährt werden, die Applets aufrufen.

Die fünf Optionen lauten folgendermaßen:

• Benutzerdefiniert steuert die Berechtigungseinstellungen individuell. Im Dialogfeld Angepasste Zugriffsrechte gibt die Registerkarte Nicht signiert die Berechtigungen sowohl für unsignierte Applets als auch für Skripte an, die Java aufrufen. Die Registerkarte Ohne Hinweis zugelassen gibt die Grenze an, bis zu der Applets stumm Berechtigungen gewährt werden.
• Niedrige Sicherheit ermöglicht das ungehinderte Ausführen aller Operationen durch Applets.
• Mittlere Sicherheit ermöglicht das Ausführen von Applets in ihrer Sandbox, einem Speicherbereich, außerhalb dessen das Programm keine Aufrufe durchführen kann. Außerdem bietet die Option Möglichkeiten wie beispielsweise "scratch space" (einen sicheren Speicherbereich auf dem Clientcomputer) sowie benutzergesteuerte Dateieingabe/-ausgabe.
• Hohe Sicherheit ermöglicht das Ausführen von Applets in ihrer Sandbox.
• Java deaktivieren ermöglicht kein Ausführen von Applets.

Scripting

Active Scripting
Diese Option legt fest, ob Skriptcode auf Seiten der Zone ausgeführt wird.

Scripting von Java-Applets
Diese Option bestimmt, ob Skripte in der Zone Objekte verwenden können, die innerhalb von Java-Applets definiert sind, so dass das Skript auf der Seite mit dem Java-Applet interagieren kann.

Download

Dateidownload
Diese Option steuert, ob Dateidownloads aus der Zone zulässig sind. Diese Option wird durch die Zone der Seite festgelegt, die den Downloadlink enthält, nicht durch die Zone, aus der die Datei übertragen wird.

Schriftartdownload
Diese Option legt fest, ob Benutzer HTML-Schriftarten von Seiten in der Zone downloaden dürfen.

Benutzerauthentifizierung

Anmeldung

Die HTTP-Authentifizierung berücksichtigt die Sicherheitsrichtlinien der Zone für Anmeldeinformationen, die einen der vier folgenden Werte haben können:

• Automatisches Anmelden nur in der Intranetzone: Fordert zur Eingabe von Benutzer-ID und -kennwort in anderen Zonen auf. Nachdem der Benutzer die Eingaben vorgenommen hat, kann dieser Wert unsichtbar für die restliche Sitzung weiter verwendet werden.
• Anonyme Anmeldung: Deaktiviert die HTTP-Authentifizierung; das Gastkonto wird nur für CIFS (Common Internet File System) verwendet.
• Nach Benutzername und Kennwort fragen: Fordert zur Eingabe von Benutzer-ID und -kennwort auf. Nachdem der Benutzer die Eingaben vorgenommen hat, kann dieser Wert unsichtbar für die restliche Sitzung weiter verwendet werden.
• Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort: Die Anmeldeinformationen werden unter Umständen unsichtbar durch NTLM (Windows NT Herausforderung/Rückmeldung) geprüft, ein Authentifizierungsprotokoll zwischen einem Endbenutzerclient und einem Anwendungsserver, bevor die Eingabeaufforderung angezeigt wird.

Verschiedenes

Auf Datenquellen über Domänengrenzen hinweg zugreifen
Diese Option gibt an, ob Komponenten, die Verbindungen zu Datenquellen herstellen, Verbindungen zu einem anderen Server aufbauen dürfen, um Daten zu ermitteln. Dies gilt nur für Datenbindungen, beispielsweise für aktive Datenobjekte. Die Einstellungen lauten folgendermaßen:

• Aktivieren ermöglicht den Datenbankzugriff auf jede beliebige Quelle, auch in anderen Domänen.
• Fragen erfordert eine Benutzereingabe, bevor der Datenbankzugriff auf jede beliebige Quelle in anderen Domänen ermöglicht wird.
• Deaktivieren ermöglicht den Datenbankzugriff nur auf dieselbe Domäne, in der sich die Seite befindet.

Unverschlüsselte Formulardaten übermitteln
Diese Option bestimmt, ob HTML-Seiten in der Zone Formulare an Server der Zone senden oder von diesen empfangen können. Formulare, die mit SSL (Secure Sockets Layer)-Verschlüsselung gesendet werden, sind immer zulässig; diese Einstellung wirkt sich nur auf das Übergeben von Formulardaten aus, die nicht SSL-verschlüsselt sind.

Anwendungen und Dateien in einem IFRAME starten
Diese Option steuert, ob Benutzer Anwendungen und Dateien von einem IFRAME-Tag (das ein Verzeichnis eines Ordners enthält) auf Webseiten dieser Zone aus starten können.

Installation von Desktopobjekten
Diese Option steuert, ob Benutzer Desktopelemente von Webseiten der Zone installieren können.

Ziehen und Ablegen oder Kopieren und Einfügen von Dateien
Diese Option steuert, ob Benutzer Ziehen und Ablegen oder Kopieren und Einfügen verwenden können, um Dateien von Webseiten innerhalb der Zone zu kopieren.

Zugriffsrechte für Softwarechannel
Die Einstellungen lauten folgendermaßen:

• Niedrige Sicherheit ermöglicht Folgendes:
• E-Mail-Benachrichtigung
• Autodownload
• Autoinstallation
• Mittlere Sicherheit ermöglicht Folgendes:
• E-Mail-Benachrichtigung
• Autodownload
• Hohe Sicherheit ermöglicht Folgendes:
• Keines der Softwarechannel-Verteilungsfeatures

Cookies

Cookies pro Sitzung annehmen (nicht gespeichert)
Bestimmt die Einstellungen für Cookies, Textdateien, in denen Benutzereinstellungen gespeichert werden und die von einer Website verwendet werden, während der Benutzer die Site besucht. Beispielsweise bestimmt diese Einstellung, ob ein "virtueller Einkaufswagen" erstellt werden kann, während ein Benutzer online einkauft. Sitzungsspezifische Cookies bleiben nicht auf der Festplatte gespeichert.

Die Einstellungen lauten folgendermaßen:

• Aktivieren bedeutet, dass Cookies automatisch akzeptiert werden.
• Fragen bedeutet, dass eine Benutzereingabe erforderlich ist, bevor ein Cookie erstellt wird.
• Deaktivieren bedeutet, dass keine Cookies erstellt werden. Wenn Sie sitzungsabhängige Cookies deaktivieren, arbeiten einige Websites unter Umständen nicht ordnungsgemäß.

Cookies annehmen, die gespeichert sind
Bestimmt die Einstellungen für Cookies, die für zukünftige Browsersitzungen auf der Festplatte des Benutzers gespeichert werden. Beispielsweise legt diese Einstellung fest, ob eine Liste von Einstellungen oder der Name eines Benutzers für den nächsten Besuch des Benutzers aufbewahrt werden.

Die Einstellungen lauten folgendermaßen:

• Aktivieren bedeutet, dass dauerhaft gespeicherte Cookies automatisch akzeptiert werden.
• Fragen bedeutet, dass eine Benutzereingabe erforderlich ist, bevor ein dauerhaftes Cookie erstellt wird.
• Deaktivieren bedeutet, dass keine dauerhaften Cookies erstellt werden. Wenn Sie dauerhafte Cookies deaktivieren, bewahren einige Websites ihre Einstellungen nicht bis zur Rückkehr des Benutzers in die Site auf.

Sicherheitsoptionen, die nicht konfiguriert werden können

Die folgenden Optionen sind fest eingestellt und können nicht vom Benutzer bearbeitet werden. Die Zoneneinstellungen Hoch, Mittel, Niedrig und Sehr niedrig wirken sich nicht auf das Verhalten dieser Optionen aus.

Starten aus Webansicht
Diese Option steuert, ob Benutzer Programme und Dateien aus einem Ordner, der als Webseite angezeigt wird, starten können. Diese Einstellung betrifft Benutzer von Windows 98 sowie Benutzer, die eine Aktualisierung von Internet Explorer 4 vorgenommen haben und die Windows Desktop-Aktualisierung verwenden. Die Zone des anpassenden Webinhalts, nicht die Zone des Ordners selbst, bestimmt diese Einstellung: