Einschränkung der Zone "Lokaler Computer"

  • Artikel

Veröffentlicht: 22. Jul 2004 | Aktualisiert: 14. Nov 2004

Wenn in Internet Explorer eine Webseite geöffnet wird, werden die möglichen Aktionen der Seite abhängig von der Position der Webseite eingeschränkt. Webseiten im Internet können zum Beispiel bestimmte Aktionen nicht ausführen, wie etwa auf Informationen auf der Festplatte zugreifen, da IE ihre Funktionalität basierend auf den Einstellungen einschränkt, die für die Internetzone konfiguriert sind.

Webseiten, die sich auf dem lokalen Computer befinden, werden dagegen in die Zone "Lokaler Computer" gestellt, wo die Sicherheitsbeschränkungen am geringsten sind. Die Zone "Lokaler Computer" ist eine Internet Explorer-Sicherheitszone, doch sie wird nicht in den Einstellungen für Internet Explorer angezeigt. Vor Service Pack 2 gestattete die Zone "Lokaler Computer", dass Webinhalte mit weniger strengen Beschränkungen ausgeführt werden konnten, da der lokale Inhalt als sicher betrachtet wurde. Leider versuchen Angreifer auch, die Zone "Lokaler Computer" zu nutzen, um ihre Zugriffsberechtigungen heraufzusetzen und die Computersicherheit zu gefährden.

In Windows XP Service Pack 2 werden für alle lokalen Dateien und den gesamten lokalen Inhalt, der von Internet Explorer verarbeitet wird, in der Zone "Lokaler Computer" zusätzliche Sicherheitsfunktionen angewendet.

Dieses Feature schränkt HTML-Code in der Zone "Lokaler Computer" und in Internet Explorer bereitgestellten HTML-Code erheblich ein. Dies trägt dazu bei, Angriffe abzuwehren, wenn die Zone "Lokaler Computer" als Angriffsfläche verwendet wird, um böswilligen HTML-Code zu laden.

Wenn Internet Explorer in der Zone "Lokaler Computer" ausgeführt wird, werden die Standardsicherheitseinstellungen für die Sicherheitszonen, die sogenannten URLActions, durch Einstellungen aufgehoben, die noch strenger sind als die der Internetzone. Es handelt sich hierbei um folgende Einstellungen:

  • URLACTION_ACTIVEX_ RUN = Deaktivieren

  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY = Deaktivieren

  • URLACTION_SCRIPT_ RUN = Eingabeaufforderung

  • URLACTION_CROSS_DOMAIN_ DATA = Eingabeaufforderung

  • URLACTION_BINARY_BEHAVIORS_BLOCK = Deaktivieren

  • URLACTION_JAVA_PERMISSIONS = Deaktivieren

Mit dieser Änderung kann verhindert werden, dass schädlicher HTML-Code, der auf den Computer des Benutzers gelangt ist, seine Zugriffsberechtigungen erhöht. Code mit auf diese Weise erhöhten Zugriffsberechtigungen kann dann über ein ActiveX-Steuerelement oder durch das Lesen von Informationen mithilfe eines Skripts beliebigen Code ausführen.

Aufgrund dieser Änderung werden ActiveX-Skripts in lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, nicht ausgeführt. Bei Skripts in lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, wird der Benutzer nach der Ausführungsberechtigung gefragt.

Die folgenden Einstellungen in Tabelle 6 wurden in Windows XP Service Pack 2 für das Browsen hinzugefügt bzw. geändert.

Name der Einstellung

Position

Standardwert

Mögliche Werte

IExplore.exe

HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown

HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown

1

1 - Wendet eingeschränkte Einstellungen für Iexplore.exe und Explorer.exe an.
Jeder andere Wert deaktiviert die Schutzmaßnahmen für Iexplore.exe und Explorer.exe.
Wenn die Einstellung für Iexplore.exe fehlt, wird sie nicht beachtet.
Wenn die Einstellung sowohl in HKEY_LOCAL_MACHINE als auch in HKEY_CURRENT_USER vorhanden ist, wird die strengere Einstellung verwendet.

ApplicationName.exe

HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown

HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown

Keine

1 - Wendet eingeschränkte Einstellungen für ApplicationName.exe an. Jeder andere Wert deaktiviert die Schutzmaßnahmen für ApplicationName.exe.
Wenn die Einstellung für ApplicationName.exe fehlt, wird sie nicht beachtet. Wenn die Einstellung in HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER vorhanden ist, wird die strengere Einstellung verwendet.

Tabelle 6: Neue Funktionen oder Änderungen für das Browsen in Windows XP Service Pack 2

Benutzer können auf Probleme mit Anwendungen stoßen, die mit diesen strengeren Regeln und Einstellungen nicht kompatibel sind.

Implikationen für den Entwickler

pfeilrechts.gif Einführung
pfeilrechts.gif Erhöhter Netzwerkschutz
pfeilrechts.gif Neuer Speicherschutz
pfeilrechts.gif Verbesserte E-Mail-Sicherheit
pfeilrechts.gif Erweiterte Sicherheit beim Browsen
pfeilrechts.gif Zusammenfassung