Schilde hoch! Zentrale Sicherheitsfunktionen des Internet Explorer nutzen

Ordnungsmerkmale

erschienen in: <kes> 2004#6, Seite 18

Rubrik: Systeme und ihr Umfeld

Schlagwort: Browser-Sicherheit

Zusammenfassung: Zahlreiche alte und neue Schutzfunktionen des Internet Explorer können die Sicherheit beim Surfen verbessern – wenn man sie denn einsetzt. Eine besondere Bedeutung hat dabei das Zonenmodell. Erweiterungen aus dem XP Service Pack 2 und die zentrale Steuerung der Browser-Sicherheit durch Gruppenrichtlinien helfen ebenfalls.

Autor: Von Eric Tierling, Leichlingen

Während das Prinzip der minimalen Rechtevergabe bei Firewalls und Benutzerprivilegien schon längst gang und gäbe ist, heißt es bei Browsern üblicherweise noch immer "alles oder nichts". Dabei bietet der Internet Explorer (IE) schon seit langem die Möglichkeit, über das so genannte Zonenmodell ausgewählten Websites mehr zu erlauben als dem "Rest der Welt". So kann man beispielsweise aktive Inhalte einschränken, die im Zusammenhang mit Sicherheitslücken immer wieder mal zum Risikofaktor mutieren.

Um nicht jeder Web-Adresse einzeln alle Rechte zuordnen zu müssen, sieht das Zonenmodell standardmäßig fünf Kategorien (Zonen) vor, für deren "Teilnehmer" dieselben Berechtigungen gelten. Sofern die Unternehmens-Policy das gestattet, kann jeder Anwender bei Bedarf lokal eine Site mit wenigen Mausklicks in eine höhere Kategorie einordnen – alternativ lassen sich die Browser-Einstellungen aber auch selektiv oder komplett zentral steuern.

Neben diesen vier Zonen, die sich über das Register Sicherheit der IE-Internetoptionen bearbeiten lassen, existiert zudem die Zone "lokaler Computer", die dort nicht auftaucht und sich standardmäßig nur über die Registry bearbeiten lässt (Details zu den Registry-Schlüsseln siehe [5]). Diese Zone spezifiziert den eigenen PC und gibt zum Beispiel an, wie sicherheitstechnisch mit HTML-Code zu verfahren ist, der von der lokalen Festplatte aus gestartet wird.

Auch der zum Internet Explorer gehörende E-Mail-Client Outlook Express greift auf das Zonenmodell zurück: Standardmäßig gelten für die Anzeige von Nachrichten im HTML-Format die Sicherheitseinstellungen der eingeschränkten Sites (einstellbar über das Register Sicherheit in den Optionen von Outlook Express). Diese Zone gilt somit auch für E-Mail-Inhalte, die versuchen, mittels aktiver Inhalte Würmer oder Ähnliches auf den PC zu transportieren; sie sollte dementsprechend restriktiv eingestellt sein.

[Screenshot: IE-Internetoptionen/Sicherheit]
Abbildung 1: Der Internet Explorer ermöglicht es, Websites in Zonen einzuordnen und diese mit unterschiedlichen Sicherheitseinstellungen zu behandeln.

Sicherheit in Stufen

Für jede Zone lassen sich eine ganze Reihe von Sicherheitseinstellungen vornehmen. Hier kann man unter anderem definieren, wie der IE mit ActiveX-Elementen verfahren soll; weitere Einstellungen regeln den Umgang mit Java-Applets, Scripting, Schriftartdownloads und so weiter. Zur einfacheren Handhabung hat Microsoft Voreinstellungen für unterschiedliche Situationen zu den Sicherheitsstufen hoch, mittel, niedrig und sehr niedrig zusammengefasst. Somit ist es recht simpel, einen bestimmten Schutzgrad herzustellen und einer Zone ein bestimmtes Set von Sicherheitseinstellungen zuzuweisen. Auf Wunsch lassen sich die Einstellungen einer Zone aber auch abweichend von den Standardstufen konfigurieren (vgl. Abb 2).

Abhängig von den jeweiligen Sicherheitseinstellungen kann es sein, dass bestimmte Websites nicht korrekt dargestellt werden. Blockieren die Zonen-Vorgaben beispielsweise aktive Inhalte zur Menüführung, ist bei der betreffenden Seite unter Umständen keine Navigation mehr durchführbar. Letztlich gilt es, einen vernünftigen Kompromiss zwischen Sicherheit und Komfort zu finden. Eine Möglichkeit, die betreffende Website umfassender zu nutzen, besteht wie schon angedeutet durch die Einordnung in eine andere Zone.

[Screenshot: IE-Internetoptionen/Sicherheit/Stufe anpassen]
Abbildung 2: Detaillierte Sicherheitseinstellungen geben vor, wie der Internet Explorer mit Websites der zugehörigen Zone verfahren soll, beispielsweise im Hinblick auf ActiveX, Java-Applets und Scripting.

Zentrale Konfiguration

Um Zoneneinstellungen für alle Benutzer und Computer des Unternehmens zu konfigurieren, brauchen sich Administratoren weder in die Tiefen der Windows-Registry noch an jedem einzelnen Arbeitsplatz zu begeben. Vielmehr lassen sich die gewünschten Vorgaben auch von zentaler Stelle aus über die Gruppenrichtlinien des Active Directory konfigurieren.

Die Sicherheitseinstellungen der Zonen sind dabei unterhalb des Gruppenrichtlinien-Zweigs "Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite" zu finden; darüber lassen sich auch bestimmte Sicherheitsstufen vorkonfigurieren. Falls gewünscht, können Administratoren über die Gruppenrichtlinie "Sicherheitszonen: Benutzer können keine Einstellungen ändern" im Zweig "Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer" Anwendern die Möglichkeit entziehen, die Sicherheitseinstellungen einer Zone selbst anzupassen (Abb. 3). So bekommen Anwender erst gar keine Gelegenheit, ihre Zonenkonfiguration zu verändern und möglichweise so zu verstellen, dass dadurch ein Sicherheitsrisiko entsteht.

[Screenshot: Gruppenrichtlinie Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer]
Abbildung 3: Im Unternehmensnetzwerk können Administratoren Sicherheitseinstellungen zentral über die Gruppenrichtlinien des Active Directory definieren.

Die Einstellungen wichtiger URLs für den Internet Explorer sind hingegen in einem völlig anderen Gruppenrichtlinien-Zweig zu finden: Unterhalb von "Benutzerkonfiguration\Windows-Einstellungen\Internet Explorer-Wartung" lässt sich neben der Startseite des Webbrowsers auch festlegen, welche Websites in bestimmten Zonen enthalten sein sollen. Hierzu wird jedoch keine Liste definiert: Vielmehr werden als Vorgabe die Zonen-URLs des aktuell vom Administrator verwendeten Windows-PC herangezogen.

SP-2-Erweiterungen

Mit dem Windows XP Service Pack 2 (SP2) sind eine Reihe weiterer Gruppenrichtlinien hinzugekommen. Diese dienen nicht nur der zentralen Konfiguration der IE-Sicherheit, sondern ermöglichen Administratoren auch die Definition vieler anderer Security-Vorgaben – etwa zur Smartcard-Verwendung, für die Windows-Firewall oder Wireless-LANs. Eine ausführliche Beschreibung aller Gruppenrichtlinien und ihrer Bedeutung stellt Microsoft im Web als Excel-Datei zum Download bereit [6].

Andere Ergänzungen treten deutlicher zutage: Hier ist unter anderem die neue Informationsleiste zu nennen, die einem Benutzer klar vor Augen führt, wenn eine Webseite beispielsweise ein ActiveX-Element downloaden möchte, und von ihm dafür eine explizite Bestätigung erwartet (vgl. Abb. 4). Auch sonst zeigt sich der Internet Explorer von Windows XP SP2 deutlich informativer, etwa wenn es um den Download von Dateien mit unbekannter Herkunft geht: Unmissverständlich erfährt der Benutzer, ob der Anbieter diesen Download mit einer Signatur versehen hat. Vor allem für unbedarfte Surfer, die gerne einfach nur auf Ok klicken und sich keine weiteren Gedanken machen, was daraus resultieren kann, sind solche Maßnahmen hilfreich, um ein Sicherheitsbewusstsein zu entwickeln oder zu stärken.

Weitere SP2-Sicherheitsoptimierungen für den Internet Explorer sind "unter der Haube" zu finden: Der Objektzwischenspeicherungsschutz unterbindet beispielsweise, dass Webseiten zwischengespeicherte Informationen im Cache nutzen können, die von früher besuchten Sites stammen. Ebenfalls neu ist der Schutz vor Zonenanhebung: Diese Funktion verhindert, dass die auf einer Webseite angeklickten Links in einem Sicherheitskontext laufen, der höhere Privilegien als die Ausgangs-Webseite aufweist. Malware, die sich in den kaum beschränkten Sicherheitskontext des lokalen Computers einschleichen will, schiebt Microsoft dadurch einen Riegel vor.

[Screenshot: IE mit Informationsleiste]
Abbildung 4: Über die mit Windows XP SP2 im Internet Explorer eingeführte Informationsleiste kann der Benutzer entscheiden, was mit blockierten Downloads geschehen soll.

----------Anfang Textkasten----------

Data Execution Prevention

Zur Verbesserung der Sicherheit tragen im Windows XP Service Pack 2 auch neue Verfahren wie die Data Execution Prevention (DEP) bei. Diese Funktion nimmt Pufferüberläufen den Schrecken: DEP reduziert die Möglichkeit, dass Viren, Würmer und Co. solche Buffer Overflows zum Einschleusen von Programmcode missbrauchen und diesen in Bereiche des Arbeitsspeichers platzieren, der eigentlich nur für Daten vorgesehen ist. Der Software-basierte DEP-Schutz von Windows XP SP2 sichert dabei in erster Linie Systemdateien. Noch mehr Sicherheit gegen die Zweckentfremdung von Speicherbereichen bietet der Hardware-basierte DEP-Schutz: Dazu nutzt das System die in bestimmten neueren CPUs implementierte No-Execute-Funktion (NX), mittels derer bereits der Prozessor Datenbereiche des Arbeitsspeichers so markiert, dass darin versteckter oder eingeschleuster Code prinzipiell nicht zur Ausführung gelangt.

----------Ende Textkasten----------

Download-Kennzeichnung

Ebenfalls mit SP2 eingeführt wurde die Zonen-Markierung bei der Speicherung eines Downloads auf der Festplatte; hierzu dient der neue Anlagen-Manager. Dateien mit potenziell gefährlichem Inhalt, die der Benutzer über den Internet Explorer aus dem Internet heruntergeladen, per Windows Messenger oder als E-Mail-Anlage via Outlook Express bezogen hat, werden dadurch automatisch markiert. Wenn der Benutzer eine solche Datei (zum Beispiel über den Windows-Explorer) von seiner Festplatte starten möchte, weiß das Betriebssystem noch immer, dass sie aus einer möglicherweise unsicheren Quelle stammt. Der Benutzer wird mit einer Sicherheitswarnung konfrontiert (Abb. 5), die ihm auf Anfrage auch das damit verbundene Sicherheitsrisiko erläutert – anders als etwa beim Öffnen von Textdokumenten, die ohne einen derartigen Hinweis direkt geladen werden. Auch der SP2-ZIP-Entpacker unterstützt diese neue Kennzeichnung: Beim Entpacken heruntergeladener Archive werden die darin enthaltenen Dateien ebenfalls marki ert.

[Screenshot: XP-SP2-Sicherheitswarnung]
Abbildung 5: Windows XP SP2 informiert den Benutzer beim Öffnen einer Datei, die durch Internet Explorer, Outlook Express oder Windows Messenger auf den PC gelangt ist.

Diese Kennzeichnung erfolgt unabhängig vom Namen über ein Dateiattribut. Voraussetzung ist lediglich, dass die jeweiligen Dateien auf einem Datenträger gespeichert werden, der mit dem NT-File-System (NTFS) formatiert ist. Mit den älteren Dateisystemen FAT und FAT32 lässt sich dieser Schutzmechanismus also nicht einsetzen. Der Knowledge-Base-Artikel 883260 [7] enthält weitere Details zur Funktionsweise des neuen Anlagen-Managers. Dort ist auch beschrieben, bei welchen Dateierweiterungen (Extensions) der Anlagen-Manager von einem hohen, mittleren oder niedrigen Risiko ausgeht. Auf Wunsch können Administratoren diesen Listen per Gruppenrichtlinie um zusätzliche Dateierweiterungen ergänzen. Die entsprechenden Einstellungen hierfür sowie zum Verhalten des Anlagen-Managers im Allgemeinen findet man im Gruppenrichtlinien-Zweig "Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Anlagen-Manager".

[Screenshot: Gruppenrichtlinien Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anlagen-Manager]
Abbildung 6: Auch das Verhalten des Anlagen-Managers lässt sich per Gruppenrichtlinie vorgeben.

----------Anfang Textkasten----------

IE-Sicherheit bei Windows Server 2003

Über die Sicherheitsfunktionen von Windows XP hinaus wartet Windows Server 2003 mit einem speziellen Internet-Explorer-(IE-)Schutzmechanismus auf: Die so genannte "verstärkte Sicherheitskonfiguration für Internet Explorer" verhindert den unbedarften Aufruf von Webinhalten, und zwar sowohl aus Internet und Intranet als auch von der lokalen Festplatte. Dazu nutzt das System die IE-Sicherheitszonen. Zusätzlich zur bekannten Wirkungsweise findet dabei eine Unterteilung in Administratoren und Benutzer statt: Die Gruppenmitgliedschaft des interaktiv am Server angemeldeten Benutzers bestimmt, welche Websites besucht werden können.

Standardmäßig ist die verstärkte Sicherheitskonfiguration für den Internet Explorer auch für Administratoren aktiv. Die Komponente wird im Rahmen des Windows-Setup aktiviert beziehungsweise ausgeschaltet. Wahlweise lässt sich das Schutzmerkmal aber auch für Administratoren einschalten und für normale Benutzer explizit deaktivieren, was für Terminalserver sinnvoll sein kann, um Remotedesktop-Benutzer nicht bei jedem Besuch einer Website zunächst mit einem Dialogfeld zu konfrontieren, in dem diese über das weitere Sicherheitsvorgehen entscheiden müssen.

----------Ende Textkasten----------

Fazit

Für spezifische Einstellungen und das komplette Vorkonfigurieren des Webbrowsers bietet Microsoft zudem mit dem Internet Explorer Administration Kit (IEAK) ein Tool, über das Firmen sowohl die Sicherheitsvorgaben als auch das Look-and-Feel des Internet Explorer gezielt anpassen können. Gruppenrichtlinien-Vorgaben erhalten dabei Vorrang vor Einstellungen, die Administratoren über IEAK konfiguriert oder Benutzer in ihrem Webbrowser angegeben haben.

In Sachen Sicherheit hat Microsofts Internet Explorer also mehr zu bieten als man gemeinhin hört – erst recht mit dem SP 2 für Windows XP, dessen Verbesserungen auch in das kommende Service-Pack 1 für Windows Server 2003 Einzug halten werden. Individuelle Anpassungen an unterschiedliche Sicherheitsanforderungen lassen sich über das Zonenmodell umsetzen. Und Unternehmen können sicherheitsrelevante Einstellungen des Internet Explorer zentral über die Gruppenrichtlinien des Active Directory steuern. Dieses Verwaltungswerkzeug erleichtert damit nicht nur Administratoren ihre Arbeit, sondern sorgt auch dafür, dass die geplanten Sicherheitsvorgaben tatsächlich zur Anwendung gelangen und nicht durch lokale Registry-Tricks ausgehebelt werden können.

Eric Tierling ist freier Journalist und Autor zahlreicher Fachbücher ([externer Link] www.ito.de).

Literatur

[1]
Internet Explorer-Homepage von Microsoft Deutschland, [externer Link] www.microsoft.com/windows/ie_intl/de
[2]
Deutsches Internet Explorer Support-Center, [externer Link] http://support.microsoft.com/default.aspx?scid=fh;DE;ie
[3]
Internet Explorer 6 Resource Kit, [externer Link] www.microsoft.com/resources/documentation/ie/6/all/reskit/en-us/default.mspx
[4]
Windows XP Service-Pack-2-Erweiterungen für den Internet Explorer, [externer Link] www.microsoft.com/resources/documentation/ie/6/all/reskit/en-us/appendix.mspx
[5]
Beschreibung der Registry-Einträge für die Zonen des Internet Explorer, [externer Link] http://support.microsoft.com/?kbid=182569
[6]
Gruppenrichtlinien-Referenz für Windows XP SP2 als Excel-Datei, [externer Link] http://go.microsoft.com/fwlink/?linkid=15165
[7]
Funktionsweise der Kennzeichnung heruntergeladener Dateien, [externer Link] http://support.microsoft.com/?kbid=883260
[8]
Internet Explorer Administration Kit (IEAK), [externer Link] www.microsoft.com/windows/ieak/de
[9]
Whitepaper zur verstärkten Sicherheitskonfiguration für den Internet Explorer bei Windows Server 2003, [externer Link] www.microsoft.com/downloads/details.aspx?familyid=d41b036c-e2e1-4960-99bb-9757f7e9e31b&displaylang=en