Referenz
Sicherheit in Internet Explorer
Mit Internet Explorer können Sie die Sicherheit auf verschiedene Arten steuern: durch Sitezertifikate, -Herausgeber und . Sie können Zertifikate auf den Computern der Benutzer vorinstallieren und verhindern, dass Benutzer andere Zertifikate downloaden. Sie können auch Bewertungen bzw. Filter für die Inhalte einstellen, die Benutzer anzeigen.
können Sicherheitseinstellungen und Bewertungen in Schritt 4 und Schritt 5 des Assistenten für die Internet Explorer-Anpassung eingeben.
Informationen zu Sicherheitszonen
Die Sicherheitsoptionen von Explorer ermöglichen das Zuweisen bestimmter Websites zu verschiedenen Zonen. Dabei ist das Kriterium die Vertrauenswürdigkeit der Inhalte der Website.
Wenn Sie Internet Explorer installieren, werden die folgenden Sicherheitszonen eingerichtet:
- Eine Internetzone, die standardmäßig alle Internetsites enthält.
- Eine Lokale Intranetzone für Computer, die mit einem lokalen Netzwerk verbunden sind.
- Eine Zone für vertrauenswürdige Sites, der Sie Sites zuweisen können, denen Sie vertrauen.
- Eine Zone für eingeschränkte Sites, der Sie Sites zuweisen können, denen Sie nicht vertrauen.
- Eine Zone Arbeitsplatz, welche die Dateien auf dem lokalen Computer umfasst.
Folgende vier Standard-Sicherheitseinstellungen sind auf diese Zonen anwendbar: Hoch, Mittel, Niedrig und Sehr niedrig. Darüber hinaus können Sie für jede Zone benutzerdefinierte Sicherheitsstufen einstellen.
Sie können alle Sicherheitseinstellungen anzeigen, indem Sie in der Systemsteuerung auf das Symbol Internet und anschließend auf die Registerkarte Sicherheit klicken. Ausführliche Informationen zu diesen Optionen und ihrer Interaktion finden Sie unter Sicherheitsoptionen in Internet Explorer.
Denken Sie daran, dass die Sicherheit im Internet nur so gut wie Ihre Einstellungen ist. Internet Explorer bietet Ihnen die Informationen, die Sie benötigen, um die richtigen Sicherheitsentscheidungen zu treffen, und enthält flexible Hilfsprogramme, um diese Entscheidungen zu implementieren.
Sie können Sicherheitsoptionen mit Hilfe des Assistenten für die Internet Explorer-Anpassung vordefinieren und festlegen, ob Benutzer diese Einstellungen ändern können. Wenn Sie keine Voreinstellung für die Sicherheitsoptionen treffen, sollten Sie den Benutzern unter Umständen entsprechend den Anforderungen Ihrer Organisation und dem Erfahrungsstand der Benutzer Empfehlungen für die optimale Sicherheitsstufe geben.
Anmerkungen
- Wenn die für das zu erstellende Paket des Internet Explorer-Browsers gewählte Sprache von der Sprache des Internet Explorer-Browsers auf Ihrem Computer abweicht, weist die Sicherheitszonenoberfläche des erstellten Browsers unter Umständen nicht interpretierbare Zeichen auf.
- Die Zone Arbeitsplatz können Sie ausschließlich in IEAK konfigurieren, die Einstellungen sind auf der Browseroberfläche nicht verfügbar. Es wird empfohlen, grundsätzlich die Standardeinstellungen für diese Zone zu verwenden, sofern in Ihrer Organisation nicht besondere Anforderungen bestehen. Eine niedrigere Sicherheitseinstellung könnte ein Sicherheitsrisiko bedeuten, während eine höhere Sicherheitseinstellung die Funktionalität beeinträchtigen kann.
Weitere Informationen erhalten Sie unter folgenden Themen:
Die Internetzone besteht aus allen Sites, die nicht in anderen Zonen enthalten sind. Standardmäßig ist für die Internetzone die Sicherheitsstufe Mittel festgelegt. Wenn Sie beim Arbeiten im Internet mögliche Sicherheitsprobleme so weit wie möglich ausschließen möchten, können Sie die Einstellung auf Hoch setzen. Wenn Sie die Sicherheitseinstellung erhöhen, wird verhindert, dass einige Webseiten bestimmte potenziell gefährliche Operationen durchführen. Andererseits können hierdurch aber auch sinnvolle Funktionen nicht mehr zur Verfügung stehen, und einige Seiten arbeiten möglicherweise nicht mehr einwandfrei.
Sie können benutzerdefinierte Einstellungen wählen und so jede einzelne Sicherheitsentscheidung für die Zone kontrollieren. Klicken Sie hierfür in der Systemsteuerung auf das Symbol Internet, anschließend auf die Registerkarte Sicherheit und dann auf Stufe anpassen.
Sie können bestimmte Websites, denen Sie mehr oder weniger als denen in der Internetzone oder der lokalen Intranetzone vertrauen, zwei Zonen zuweisen. Um Sites zu diesen Zonen hinzuzufügen, wählen Sie zuerst die Zone und klicken dann auf Sites.
Der Zone für vertrauenswürdige Sites wird standardmäßig die Sicherheitsstufe Sehr niedrig zugewiesen. Diese Sicherheitsstufe bezieht sich auf höchst vertrauenswürdige Sites (beispielsweise auf Firmen, mit denen Sie häufig Geschäfte machen), die manchmal als "Extranet" bezeichnet werden. Wenn Sie eine Site der Zone für vertrauenswürdige Sites zuordnen, kann die Site leistungsfähigere Operationen durchführen. Außerdem fordert Internet Explorer Sie weniger häufig auf, Sicherheitsentscheidungen zu treffen. Fügen Sie dieser Zone eine Site nur dann hinzu, wenn Sie glauben, dass die Inhalte der Site Ihrem Computer niemals schaden können. Es wird dringend empfohlen, für die Zone für vertrauenswürdige Sites das Protokoll HTTPS: zu verwenden oder auf andere Art sicherzustellen, dass Verbindungen zu der Site sicher sind.
Der Zone eingeschränkter Sites wird standardmäßig die Sicherheitsstufe Hoch zugewiesen. Wenn Sie eine Site der Zone eingeschränkter Sites zuordnen, kann die Site nur minimale, sehr sichere Operationen durchführen. Diese Zone bezieht sich auf den seltenen Fall einer Site, der Sie nicht vertrauen. Wenn Sie eine hohe Sicherheitsstufe für Inhalte sicherstellen, die nicht vertrauenswürdig sind, arbeiten viele Seiten in dieser Zone nicht einwandfrei.
Um die Sicherheit zu gewährleisten, ist es zwingend erforderlich, dass die lokale Intranetzone zusammen mit dem und dem Firewall eingerichtet wird. Alle Sites in der Zone sollten "innerhalb des Firewalls" liegen, und Proxyserver sollten so konfiguriert sein, dass die Auflösung eines externen -Namens in dieser Zone nicht erlaubt wird. Das Konfigurieren der Sicherheit der Clientzone erfordert umfassende Kenntnisse über die vorhandenen Netzwerkkonfiguration, Proxyserver und sicheren Firewalls. Wenn Sie diese Kenntnisse nicht besitzen, setzen Sie sich mit Ihrem Netzwerkadministrator in Verbindung.
Standardmäßig besteht die lokale Intranetzone aus lokalen und solchen, die in Proxyumgehungen auf der Registerkarte Verbindung angegeben wurden. Sie konfigurieren diese Einstellungen im Bildschirm Verbindungseinstellungen des Assistenten für die Internet Explorer-Anpassung. Beachten Sie, dass jetzt für jeden Benutzer mehrere konfiguriert werden können. Der Netzwerkadministrator sollte bestätigen, dass diese Einstellungen für die Installation tatsächlich sicher sind, oder die Einstellungen so anpassen, dass sie sicher werden.
Beim Einrichten der Zone können Sie angeben, welche URL-Kategorien berücksichtigt werden sollen. Sie können außerdem bestimmte Sites zu der Zone hinzufügen.
So geben Sie im Browser die URL-Kategorien an, die in der Zone enthalten sein sollen
- Klicken Sie im Menü Extras von Internet Explorer auf Internetoptionen und dann auf die Registerkarte Sicherheit.
- Klicken Sie auf die Zone Lokales Intranet und dann auf Sites.
- Aktivieren Sie nach Bedarf die folgenden Kontrollkästchen:
Alle lokalen Sites (Intranet), die nicht in anderen Zonen aufgeführt sind, einbeziehen
Alle Sites, die den Proxyserver umgehen, einbeziehen
Alle Netzwerkpfade (UNCs) einbeziehen
Anmerkungen
- Um eine bestimmte Site zu dieser Zone hinzuzufügen, klicken Sie auf Erweitert, geben den URL ein und klicken dann auf Hinzufügen. Um die Serverüberprüfung zu verwenden, aktivieren Sie das Kontrollkästchen Für die Sites in dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
- Um URL-Kategorien für Ihre IEAK-Pakete anzugeben, klicken Sie im Bildschirm Sicherheitseinstellungen des Assistenten für die Internet Explorer-Anpassung auf Importieren der aktuellen Einstellungen der Sicherheitszonen und dann auf Einstellungen ändern.
Die Optionen der lokalen Intranetzone unterliegen den folgenden Regeln. Beachten Sie, dass das Hinzufügen einer Site Vorrang vor den folgenden Regeln hat:
- Alle lokalen Sites (Intranet), die nicht in anderen Zonen aufgeführt sind, einbeziehen: Intranetsites besitzen Namen, die keine Punkte enthalten, beispielsweise http://local). Ein Sitename wie beispielsweise http://www.microsoft.com ist nicht lokal, da er Punkte enthält. Diese Site wird daher der Internetzone zugewiesen. Die Regel für Intranetsitenamen gilt für URLs, die mit "file:" oder mit "http:" beginnen.
- Alle Sites, die den Proxyserver umgehen, einbeziehen: Typische Intranetkonfigurationen verwenden einen Proxyserver, um auf das Internet mit einer direkten Verbindung zu Intranetservern zuzugreifen. Diese Einstellung verwendet derartige Konfigurationsinformationen, um für die Zonendefinition Intranet- von Internetinhalten zu unterscheiden. Ist der Proxyserver auf andere Weise konfiguriert, sollten Sie die Option deaktivieren und die Dateien, die der lokalen Intranetzone zugewiesen werden, über andere Optionen bestimmen. In Systemen, die nicht über einen Proxyserver verfügen, wirkt sich die Einstellung nicht aus.
- Alle Netzwerkpfade (UNCs) einbeziehen: Netzwerkpfade (beispielsweise \\local\file.txt) werden normalerweise für lokale Netzwerkinhalte verwendet, die in der lokalen Intranetzone enthalten sein sollen. Sollen einige Netzwerkpfade nicht in der lokalen Intranetzone enthalten sein, sollten Sie die Option deaktivieren und die Dateien, die der lokalen Intranetzone zugewiesen werden, über andere Optionen bestimmen. Beispielsweise ist es in bestimmten CIFS (Common Internet File System)-Konfigurationen möglich, dass sich ein Netzwerkpfad auf Internetinhalte bezieht.
Nachdem die lokale Intranetzone als sicher bestätigt wurde, können Sie überlegen, ob Sie die Sicherheitsstufe der Zone auf Niedrig oder Sehr niedrig setzen, damit ein größerer Umfang leistungsfähiger Operationen durchgeführt werden kann. Sie können auch einzelne Sicherheitseinstellungen im Dialogfeld Sicherheitseinstellungen anpassen.
Wenn Teile Ihres Intranets weniger sicher oder auf andere Art nicht vertrauenswürdig sind, können sie aus dieser Zone ausgeschlossen werden, indem sie der Zone eingeschränkter Sites zugewiesen werden.
Die lokale Intranetzone sollte über IEAK konfiguriert werden. Sie können jedoch auch die Optionen der Registerkarte Sicherheit des Dialogfelds Internetoptionen verwenden.
Wenn Sie auf einen Webserver über eine Kurzform der ohne Domänenangabe verweisen möchten, können Sie ein Domänennamensuffix verwenden. Beispielsweise kann auf einen Webserver mit dem Namen beispiel.microsoft.com als beispiel verwiesen werden. Auf dieselben Inhalte kann außerdem durch die Eingabe http://beispiel.microsoft.com oder http://beispiel zugegriffen werden.
Um diese Möglichkeit einzurichten, müssen Sie das Domänensuffix zur Suchreihenfolge für Domänensuffixe in den -Eigenschaften hinzufügen. Hierzu führen Sie folgende Schritte aus:
- Klicken Sie mit der rechten Maustaste auf das Symbol Netzwerkumgebung, und klicken Sie dann auf Eigenschaften.
- Öffnen Sie das Dialogfeld Eigenschaften von Mirosoft TCP/IP.
- Klicken Sie auf die DNS-Registerkarte, und fügen Sie dann unter Suchreihenfolge für Domänensuffix die gewünschten Informationen hinzu.
Es ist wichtig, dass die Sicherheitszonen für diese Konfiguration ordnungsgemäß eingerichtet werden. Standardmäßig wird der URL ohne Punkte (http://beispiel) der lokalen Intranetzone zugerechnet, während der URL mit Punkten (http://beispiel.microsoft.com) zur Internetzone zählt. Daher müssen Sie die Zoneneinstellungen ändern, wenn Sie eine derartige Konfiguration verwenden und es keine Proxyserverumgehung gibt, um Inhalte eindeutig der richtigen Zone zuzuordnen.
Je nachdem, ob die über das Domänensuffix zugänglichen Inhalte als Intranet- oder Internetinhalte zu betrachten sind, müssen Sie die fraglichen Site-URLs den entsprechenden Zonen zuordnen. Um URLs wie http://beispiel der Internetzone zuzuweisen, deaktivieren Sie das Kontrollkästchen Alle lokalen Sites (Intranet), die nicht in anderen Zonen aufgeführt sind, einbeziehen für die lokale Intranetzone und nehmen die Site in die Siteliste der Zone auf.
Webinhalte können entweder über den DNS (Domain Name System)-Namen oder die IP (Internet Protocol)-Adresse angesprochen werden. Bei Sites, die beide Verfahren verwenden, ist es wichtig, beide Bezüge auf die gleiche Zone zu konfigurieren. Im Allgemeinen sind lokale Intranetsites entweder über den lokalen Namen oder über die in der Proxyumgehungsliste zu identifizieren. Alle anderen Namen und IP-Adressen werden der Internetzone zugewiesen. Wenn jedoch ein Sitename in die Siteliste der Zone für vertrauenswürdige oder für eingeschränkte Sites eingegeben wird, seine IP-Adresse hingegen nicht, wird die Site als Teil der Internetzone behandelt, wenn auf sie über die IP-Adresse zugegriffen wird.
Beachten Sie, dass ein Benutzer Inhalte von einer Zone in eine andere kopieren kann, wodurch unter Umständen die eingestellte Sicherheitsstufe des Inhalts erhöht oder erniedrigt werden kann.
Falls Sie die verwenden und sowohl Internet Explorer 5 (oder später) als auch Internet Explorer 4 von derselben Konfigurationsdatei unterstützen lassen, werden bestimmte Einstellungen, die für die beiden Versionen unterschiedlich sind, nicht für Internet Explorer 4 konfiguriert.
