Verschärfen der Sicherheitseinstellungen für die lokale Zone in Internet Explorer

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 833633 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
833633 How to strengthen the security settings for the Local Machine zone in Internet Explorer
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Achtung: Wenn Sie die in diesem Artikel beschriebenen Änderungen durchführen, können Funktionen einiger Windows-Programme und -Komponenten verloren gehen. Microsoft empfiehlt, die Änderungen eingehend zu prüfen, bevor Sie diese in einer Produktumgebung vornehmen, um sicherzustellen, dass wichtige Programme weiterhin für alle Benutzer einwandfrei funktionieren.

Dieser Artikel beschreibt, wie ein Administrator die Sicherheitseinstellungen für die lokale Zone in Microsoft Internet Explorer verstärken kann. Die lokale Zone wird auch Zone "Arbeitsplatz" genannt. Die Informationen in diesem Artikel beziehen sich auf folgende Konfigurationen:
  • 32-Bit-Versionen von Internet Explorer auf 32-Bit-Versionen von Microsoft Windows
  • 64-Bit-Versionen von Internet Explorer auf 64-Bit-Versionen von Microsoft XP
  • 64-Bit-Versionen von Internet Explorer auf 64-Bit-Versionen von Microsoft Windows Server 2003
Hinweis: Microsoft Windows XP Service Pack 2 (SP2) schränkt die lokale Zone ein. Daher sollten Sie keine der in diesem Artikel beschriebenen Maßnahmen durchführen, wenn Sie Windows XP SP2 installiert haben. Weitere Informationen finden Sie auf den folgenden Websites von Microsoft:
http://www.microsoft.com/windowsxp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/windowsxp/sp2/ieoeoverview.mspx

Weitere Informationen

Zu Sicherheitszonen

Sie können im Internet Explorer vier Sicherheitszonen konfigurieren:
  • Internet
  • Lokales Intranet
  • Vertrauenswürdige Sites
  • Eingeschränkte Sites
Eine fünfte Zone, die lokale Zone, ist eine implizite Zone, die auf Ihrem lokalen Computer existiert. Die Sicherheitseinstellungen für diese Zone können nicht in Internet Explorer konfiguriert werden. Sie können die Sicherheitseinstellungen auch nicht über die Systemsteuerung der Internetoptionen ändern. Sie können aber, wenn Sie Administratorrechte besitzen, die Sicherheitseinstellungen für die Lokale Zone ändern, indem Sie eine Registrierungseinstellung ändern.

Sie können im Internet Explorer eine Website einer Sicherheitszone zuweisen. Eine Website, die sich in der Internetzone befindet, hat einen höheren Sicherheitslevel als eine Website, die sich in der Zone "Vertrauenswürdige Sites" oder der lokalen Intranetzone befindet. Indem Sie eine Website einer Sicherheitszone zuweisen, können Sie steuern, welche Handlungen eine Website auf Ihrem Computer vornimmt. Beispielsweise können Sie eine Website daran hindern, möglicherweise unsichere Vorgänge auf Ihrem Computer auszuführen, indem Sie die Website einer Sicherheitszone der restriktivsten Sicherheitsstufe zuweisen.

Eine Website in der lokalen Zone hat eine weniger restriktive Sicherheitseinstellung als eine Website, die sich in einer der anderen Zonen befindet. Eine Ausnahme zu dieser Regel stellen alle Inhalte dar, die Internet Explorer auf Ihrem lokalen Computer zwischenspeichert. Ein böswilliger Benutzer könnte willkürlichen Code auf Ihrem Computer ausführen, indem er die weniger restriktiven Sicherheitseinstellungen dieser lokalen Zone ausnutzt.

Bevor Sie die Sicherheitseinstellungen für die lokale Zone verstärken

Wenn Sie die Sicherheitseinstellungen für die lokale Zone verstärken, treten möglicherweise eine oder mehrere der folgenden Symptome auf:
  • Benutzer werden zur Eingabe des Kennworts aufgefordert, wenn Sie eine Datenquelle auf einer anderen Domäne öffnen.
  • Benutzer werden zur Eingabe des Kennworts aufgefordert, bevor Sie ein Skript auf einer Seite ausführen können.
  • ActiveX-Steuerelemente und Java-Programme können nicht ausgeführt werden.
  • Eine Website, die Benutzer versuchen zu öffnen, wird nicht korrekt dargestellt.

Wo die Sicherheitseinstellungen für die lokale Zone in der Registrierung gespeichert sind

Die Sicherheitseinstellungen für die lokale Zone sind in den folgenden Teilschlüsseln der Registrierung gespeichert, abhängig von den folgenden Bedingungen:
  • Wenn Sie Benutzern gestatten, eigene Sicherheitseinstellungen für Internet Explorer festzulegen, werden die Sicherheitseinstellungen für die lokale Zone in diesem Teilschlüssel gespeichert:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Wenn Sie alle Benutzer dazu zwingen, die gleichen Sicherheitseinstellungen für Internet Explorer zu verwenden, werden die Sicherheitseinstellungen für die lokale Zone in diesem Teilschlüssel gespeichert:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Standardmäßig werden die Einstellungen für die Sicherheitszone in der folgenden Teilstruktur der Registrierung gespeichert:
HKEY_CURRENT_USER
Da diese Teilstruktur dynamisch pro Benutzer geladen wird, haben die Einstellungen für einen Benutzer keinen Einfluss auf die Einstellungen für einen anderen Benutzer. Um festzustellen, ob alle Benutzer die gleichen Sicherheitseinstellungen haben, suchen Sie nach einer der folgenden Bedingungen:
  • Die Sicherheitszonen: Die Option Sicherheitszonen statisch festlegen in der Gruppenrichtlinie ist aktiviert.
  • Der Eintrag Security_HKLM_only DWORD ist vorhanden und hat einen Wert von 1.
Der Eintrag Security_HKLM_only DWORD ist in folgendem Teilschlüssel der Registrierung gespeichert:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Sicherheitseinstellungen für Computer und Benutzer werden verwendet, wenn eine der folgenden Bedingungen zutrifft:
  • Die Sicherheitszonen: Die Option Sicherheitszonen statisch festlegen ist in der Gruppenrichtlinie nicht aktiviert
  • Der Eintrag Security_HKLM_only DWORD ist nicht vorhanden
  • Der Eintrag Security_HKLM_only DWORD ist auf 0 gesetzt

Wenn der Eintrag Security_HKLM_only DWORD nicht vorhanden ist, oder der Eintrag Security_HKLM_only DWORD auf 0 gesetzt ist, liest Internet Explorer den Registrierungsschlüssel HKEY_LOCAL_MACHINE beziehungsweise HKEY_CURRENT_USER. In der Systemsteuerung erscheinen unter "Internetoptionen" jedoch nur die Einstellungen HKEY_CURRENT_USER.

Die in der Systemsteuerung unter "Internetoptionen" dargestellten Sicherheitseinstellungen haben entsprechende numerische Einträge in der Registrierung. Die folgende Tabelle zeigt die Standardeinstellungen für jede Sicherheitseinstellung. Die Tabelle zeigt ebenfalls die empfohlenen Werte an, die Sie verwenden können, um die Sicherheitseinstellungen der lokalen Zone zu verstärken.
Tabelle minimierenTabelle vergrößern
Name der Sicherheinstellung in der BenutzeroberflächeNumerischer Name des Registrierungswerts (Typ)Standardmäßige Daten des RegistrierungswertsEmpfohlene Daten des Registrierungswerts
ActiveX-Steuerelemente und Plugins ausführen1200 (DWORD)03
ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind1201 (DWORD)13
Active Scripting1400 (DWORD)01
Auf Datenquellen über Domänengrenzen hinweg zugreifen1406 (DWORD)01
Java-Berechtigungen1C00 (Binär)00 00 02 0000 00 00 00
In der vorhergehenden Tabelle stehen die Einstellungen für DWORD für folgendes:
  • 0 bedeutet, dass die Aktion aktiviert ist. Dies ist die Standardeinstellung.
  • 1 bedeutet, dass eine Eingabeaufforderung angezeigt wird.
  • 3 bedeutet, dass die Aktion deaktiviert ist.
Die Standardeinstellung 00 00 02 00 für den binären Wert gibt einen mittleren Sicherheitslevel an. Die Einstellung 00 00 00 00 deaktiviert Java.

Hinweis: Die Einstellung 1 könnte bei Active Scripting dazu führen, dass zu viele Eingabeauforderungen angezeigt werden. Daher sollten Sie Scripting zulassen. Um dies zu tun, geben Sie für Active Scripting einen Wert von 0 ein. Wenn Sie nicht wollen, dass Active Scripting zur Eingabe auffordert, ändern Sie die Zeile, die im nächsten Abschnitt "Ändern der Sicherheitseinstellungen für die lokale Zone" mit 1400 beginnt.

Ändern der Sicherheitseinstellungen für die lokale Zone


Warnung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Um die Sicherheitseinstellungen für die lokale Zone zu ändern, ändern Sie entweder den Eintrag DWORD oder den binären Eintrag. Wenden Sie die geeignete Methode für Ihre Umgebung an.

In der Active Directory-Verzeichnisdienstumgebungen

Verstärken der Standardeinstellungen für die lokale Zone
Verwenden Sie in einer Active Directory-Umgebung den "Editor für Gruppenrichtlinienobjekte", früher "Gruppenrichtlinien-Editor" genannt. Gehen Sie folgendermaßen vor, um die Sicherheitseinstellungen für die lokale Zone zu verstärken:
  1. Kopieren Sie den folgenden Text, und fügen Sie ihn anschließend in einen Texteditor wie z. B. Microsoft Editor ein.

    Wenn Benutzer ihre eigenen Sicherheitseinstellungen festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Wenn alle Benutzer die gleichen Sicherheitseinstellungen verwenden müssen, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. Speichern Sie die Datei unter dem Namen "ADHardenLMZ.reg".
  3. Führen Sie auf dem Computer, auf dem der Gruppenrichtlinienobjekt-Editor ausgeführt werden soll, die Datei "ADHardenLMZ.reg" aus, um die Einstellungen in die Registrierung zu importieren.
  4. Öffnen Sie für das zu ändernde Active Directory-Objekt den Gruppenrichtlinienobjekt-Editor.
  5. Sie werden möglicherweise nach den folgenden Maßnahmen gefragt:
    • Ausführung von Skripten zulassen
    • Bestätigen Sie, dass Sie mit der Ausführung von Skripten fortfahren möchten
    Klicken Sie in dieser Meldung auf Ja. Wenn Sie eine Meldung erhalten, dass Ihre aktuellen Einstellungen die Ausführung von ActiveX-Steuerelementen verhindern, klicken Sie auf OK.

    Hinweis: Nachdem Sie die Sicherheitseinstellungen für die lokale Zone verstärkt haben, wird das Hilfefenster nicht mehr im Gruppenrichtlinienobjekt-Editor angezeigt.
  6. Erweitern Sie Benutzerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Internet Explorer-Wartung und anschließend Sicherheitseinstellungen. Doppelklicken Sie auf Sicherheitszonen und Inhaltsfilter.
  7. Klicken Sie auf Aktuelle Einstellungen für Sicherheitszonen und Datenschutz importieren, und klicken Sie anschließend auf OK.
Standardeinstellungen für die lokale Zone vornehmen
Gehen Sie folgendermaßen vor, um die Standardeinstellungen für die lokale Zone wiederherzustellen:
  1. Kopieren Sie den folgenden Text, und fügen Sie ihn anschließend in einen Texteditor wie z. B. Microsoft Editor ein.

    Wenn Benutzer ihre eigenen Sicherheitseinstellungen festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]  "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00
    Wenn alle Benutzer die gleichen Sicherheitseinstellungen verwenden müssen, verwenden Sie den folgenden Text:
    REGEDIT4  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]  "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00  
  2. Speichern Sie die Datei unter ADDefaultLMZ.reg.
  3. Führen Sie auf dem Computer, auf dem der Gruppenrichtlinienobjekt-Editor ausgeführt werden soll, die Datei "ADDefaultLMZ.reg" aus, um die Standardeinstellungen in die Registrierung zu importieren.
  4. Öffnen Sie für das zu ändernde Active Directory-Objekt den Gruppenrichtlinienobjekt-Editor.
  5. Sie werden möglicherweise nach den folgenden Maßnahmen gefragt:
    • Ausführung von Skripten zulassen
    • Bestätigen Sie, dass Sie mit der Ausführung von Skripten fortfahren möchten
    Klicken Sie in dieser Meldung auf Ja. Wenn Sie eine Meldung erhalten, dass Ihre aktuellen Einstellungen die Ausführung von ActiveX-Steuerelementen verhindern, klicken Sie auf OK.

    Hinweis: Nachdem Sie die Sicherheitseinstellungen für die lokale Zone verstärkt haben, wird das Hilfefenster nicht mehr im Gruppenrichtlinienobjekt-Editor angezeigt.
  6. Erweitern Sie Benutzerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Internet Explorer-Wartung und anschließend Sicherheitseinstellungen. Doppelklicken Sie auf Sicherheitszonen und Inhaltsfilter.
  7. Klicken Sie auf Aktuelle Einstellungen für Sicherheitszonen und Datenschutz importieren, und klicken Sie anschließend auf OK.

In nicht-Active Directory-Verzeichnisdienstumgebungen

Standardeinstellungen für die lokale Zone verstärken
Um die Sicherheitseinstellungen für die lokale Zone zu verstärken, importieren Sie die aktualisierten Sicherheitseinstellungen in die Registrierung. Gehen Sie hierzu folgendermaßen vor:
  1. Kopieren Sie den folgenden Text, und fügen Sie ihn anschließend in einen Texteditor wie z. B. Microsoft Editor ein.

    Wenn Benutzer ihre eigenen Sicherheitseinstellungen für Internet Security festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Wenn Benutzer ihre eigenen Sicherheitseinstellungen festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Speichern Sie die Datei unter dem Namen "HardenLMZ.reg".
  3. Führen Sie die Datei "HardenLMZ.reg" auf allen Clientcomputern aus, um die verstärkten Einstellungen in die Registrierung zu importieren.
Standardeinstellungen für die lokale Zone vornehmen
Gehen Sie folgendermaßen vor, um die Standardeinstellungen für die lokale Zone wiederherzustellen:
  1. Kopieren Sie den folgenden Text, und fügen Sie ihn anschließend in einen Texteditor wie z. B. Microsoft Editor ein.

    Wenn Benutzer ihre eigenen Sicherheitseinstellungen für Internet Explorer festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Wenn Benutzer ihre eigenen Sicherheitseinstellungen festlegen können, verwenden Sie den folgenden Text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. Speichern Sie die Datei unter DefaultLMZ.reg.
  3. Führen Sie die Datei DefaultLMZ.reg auf allen Clientcomputern aus, um die Einstellungen in die Registrierung zu importieren.

Eine HTML-Datei aus der lokalen Zone der Internetzone zuweisen

Nachdem Sie die Sicherheitseinstellungen für die lokale Zone verstärkt haben, können Sie der Internetzone eine lokale HTML-Datei zuweisen, die Skripte, ActiveX-Steuerelemente oder Java-Programme enthält. Wenn Internet Explorer eine HTML-Datei öffnet, sucht Internet Explorer nach einem Kommentar "Von URL gespeichert". Wenn Internet Explorer den Kommentar "Von URL gespeichert" findet, verwendet Internet Explorer die Sicherheitseinstellungen für die Internetzone, anstatt der Einstellungen für die lokale Zone. Wenn die Internetzone so konfiguriert ist, dass Skripte, ActiveX-Steuerelemente oder Java-Programme ausgeführt werden, werden diese ausgeführt, ohne dass die im Abschnitt "Bevor Sie die Sicherheitseinstellungen für die lokale Zone verstärken" aufgeführten Symptome auftreten.

Um der Internetzone eine lokale HTML-Datei zuzuweisen, können Sie der lokalen HTML-Datei einen Kommentar "Von URL gespeichert" hinzufügen. Dieser Kommentar weist Internet Explorer an, die Sicherheitseinstellungen der Internetzone auf die HTML-Datei anzuwenden, die auf Ihrer Festplatte gespeichert ist. Der Kommentar muss wie folgt aussehen:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


Der Wert in der Klammer steht für die Anzahl der Zeichen in der URL, die auf das Gleichheitszeichen folgen. In diesem Beispiel ist der Eintrag 0023. Contoso steht für den Namen einer Website.

Verweise

Weitere Informationen dazu, wie Sie mithilfe einer .reg-Datei Änderungen an der Registrierung an zahlreiche Computer verteilen, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
310516 Mithilfe von .reg-Dateien (Dateien von Registrierungseinträgen) Registrierungsunterschlüssel und Werte hinzufügen, ändern oder löschen
Weitere Informationen zu Registrierungseinträgen für Sicherheitszonen in Internet Explorer finden Sie in folgendem Artikel der Microsoft Knowledge Base:
182569 Beschreibung der Registrierungseinträge für Internet Explorer-Sicherheitszonen
Weitere Informationen zu URL-Vorlagen für Sicherheitszonen finden Sie auf der folgenden Microsoft-Website:
http://go.microsoft.com/fwlink/?LinkID=12658

Eigenschaften

Artikel-ID: 833633 - Geändert am: Donnerstag, 17. November 2005 - Version: 3.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Keywords: 
KB833633
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com