Einschränkung der Zone "Lokaler Computer"
Veröffentlicht: 22. Jul 2004 | Aktualisiert: 14. Nov 2004
Wenn in Internet Explorer eine Webseite geöffnet wird, werden die möglichen Aktionen der Seite abhängig von der Position der Webseite eingeschränkt. Webseiten im Internet können zum Beispiel bestimmte Aktionen nicht ausführen, wie etwa auf Informationen auf der Festplatte zugreifen, da IE ihre Funktionalität basierend auf den Einstellungen einschränkt, die für die Internetzone konfiguriert sind.
Webseiten, die sich auf dem lokalen Computer befinden, werden dagegen in die Zone "Lokaler Computer" gestellt, wo die Sicherheitsbeschränkungen am geringsten sind. Die Zone "Lokaler Computer" ist eine Internet Explorer-Sicherheitszone, doch sie wird nicht in den Einstellungen für Internet Explorer angezeigt. Vor Service Pack 2 gestattete die Zone "Lokaler Computer", dass Webinhalte mit weniger strengen Beschränkungen ausgeführt werden konnten, da der lokale Inhalt als sicher betrachtet wurde. Leider versuchen Angreifer auch, die Zone "Lokaler Computer" zu nutzen, um ihre Zugriffsberechtigungen heraufzusetzen und die Computersicherheit zu gefährden.
In Windows XP Service Pack 2 werden für alle lokalen Dateien und den gesamten lokalen Inhalt, der von Internet Explorer verarbeitet wird, in der Zone "Lokaler Computer" zusätzliche Sicherheitsfunktionen angewendet.
Dieses Feature schränkt HTML-Code in der Zone "Lokaler Computer" und in Internet Explorer bereitgestellten HTML-Code erheblich ein. Dies trägt dazu bei, Angriffe abzuwehren, wenn die Zone "Lokaler Computer" als Angriffsfläche verwendet wird, um böswilligen HTML-Code zu laden.
Wenn Internet Explorer in der Zone "Lokaler Computer" ausgeführt wird, werden die Standardsicherheitseinstellungen für die Sicherheitszonen, die sogenannten URLActions, durch Einstellungen aufgehoben, die noch strenger sind als die der Internetzone. Es handelt sich hierbei um folgende Einstellungen:
URLACTION_ACTIVEX_ RUN = Deaktivieren
URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY = Deaktivieren
URLACTION_SCRIPT_ RUN = Eingabeaufforderung
URLACTION_CROSS_DOMAIN_ DATA = Eingabeaufforderung
URLACTION_BINARY_BEHAVIORS_BLOCK = Deaktivieren
URLACTION_JAVA_PERMISSIONS = Deaktivieren
Mit dieser Änderung kann verhindert werden, dass schädlicher HTML-Code, der auf den Computer des Benutzers gelangt ist, seine Zugriffsberechtigungen erhöht. Code mit auf diese Weise erhöhten Zugriffsberechtigungen kann dann über ein ActiveX-Steuerelement oder durch das Lesen von Informationen mithilfe eines Skripts beliebigen Code ausführen.
Aufgrund dieser Änderung werden ActiveX-Skripts in lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, nicht ausgeführt. Bei Skripts in lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, wird der Benutzer nach der Ausführungsberechtigung gefragt.
Die folgenden Einstellungen in Tabelle 6 wurden in Windows XP Service Pack 2 für das Browsen hinzugefügt bzw. geändert.
Name der Einstellung |
Position |
Standardwert |
Mögliche Werte |
IExplore.exe |
HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown |
1 |
1 - Wendet eingeschränkte Einstellungen für Iexplore.exe und Explorer.exe an. |
ApplicationName.exe |
HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer\main \FeatureControl\FEATURE_LocalMachine_Lockdown |
Keine |
1 - Wendet eingeschränkte Einstellungen für ApplicationName.exe an. Jeder andere Wert deaktiviert die Schutzmaßnahmen für ApplicationName.exe. |
Tabelle 6: Neue Funktionen oder Änderungen für das Browsen in Windows XP Service Pack 2
Benutzer können auf Probleme mit Anwendungen stoßen, die mit diesen strengeren Regeln und Einstellungen nicht kompatibel sind.
Implikationen für den Entwickler
Einführung
Erhöhter Netzwerkschutz
Neuer Speicherschutz
Verbesserte E-Mail-Sicherheit
Erweiterte Sicherheit beim Browsen
Zusammenfassung