Registrierungseinträge für Internet Explorer Sicherheitszonen für fortgeschrittene Benutzer

In diesem Artikel wird beschrieben, wie und wo Internet Explorer Sicherheitszonen und Datenschutzeinstellungen in der Registrierung gespeichert und verwaltet werden. Sie können Gruppenrichtlinie oder das Microsoft Internet Explorer Administration Kit (IEAK) verwenden, um Sicherheitszonen und Datenschutzeinstellungen festzulegen.

Ursprüngliche Produktversion: Internet Explorer 9, Internet Explorer 10
Ursprüngliche KB-Nummer: 182569

Datenschutzeinstellungen

Internet Explorer 6 und höhere Versionen haben eine Registerkarte Datenschutz hinzugefügt, um Benutzern mehr Kontrolle über Cookies zu geben. Diese Registerkarte (wählen SieTools und dannInternetoptionen aus) bietet Flexibilität zum Blockieren oder Zulassen von Cookies basierend auf der Website, von der das Cookie stammt, oder der Art des Cookies. Zu den Arten von Cookies gehören Cookies von Erstanbietern, Cookies von Drittanbietern und Cookies, die keine kompakte Datenschutzrichtlinie haben. Diese Registerkarte enthält auch Optionen zum Steuern von Websiteanforderungen für physische Standortdaten, die Möglichkeit, Popups zu blockieren und Symbolleisten und Erweiterungen auszuführen, wenn InPrivate-Browsen aktiviert ist.

Es gibt unterschiedliche Datenschutzebenen in der Internetzone, und sie werden in der Registrierung am gleichen Speicherort wie die Sicherheitszonen gespeichert.

Sie können auch eine Website hinzufügen, um Cookies basierend auf der Website zu aktivieren oder zu blockieren, unabhängig von der Datenschutzrichtlinie auf der Website. Diese Registrierungsschlüssel werden im folgenden Registrierungsunterschlüssel gespeichert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Domänen, die als verwaltete Website hinzugefügt wurden, werden unter diesem Unterschlüssel aufgeführt. Diese Domänen können einen der folgenden DWORD-Werte enthalten:

0x00000005 – Immer blockieren
0x00000001 – Immer zulassen

Sicherheitszoneneinstellungen

Benutzer können für jede Zone steuern, wie internet Explorer elemente mit höherem Risiko wie ActiveX-Steuerelemente, Downloads und Skripts behandelt. Internet Explorer Sicherheitszoneneinstellungen werden unter den folgenden Registrierungsunterschlüsseln gespeichert:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Diese Registrierungsschlüssel enthalten die folgenden Schlüssel:

• TemplatePolicies
• ZoneMap
• Zonen

Wenn die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden in Gruppenrichtlinie aktiviert ist oder wenn der Security_HKLM_only DWORD-Wert vorhanden ist und im folgenden Registrierungsunterschlüssel den Wert 1 aufweist, werden nur lokale Computereinstellungen verwendet, und alle Benutzer verfügen über die gleichen Sicherheitseinstellungen:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Wenn die Security_HKLM_only Richtlinie aktiviert ist, werden HKLM-Werte von Internet Explorer verwendet. Die HKCU-Werte werden jedoch weiterhin in den Zoneneinstellungen auf der Registerkarte Sicherheit in Internet Explorer angezeigt. In Internet Explorer 7 zeigt die Registerkarte Sicherheit des Dialogfelds Internetoptionen die folgende Meldung an, um anzugeben, dass die Einstellungen vom Systemadministrator verwaltet werden:

Einige Einstellungen werden von Ihrem Systemadministrator verwaltet. Wenn die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden in Gruppenrichtlinie nicht aktiviert ist oder wenn der Security_HKLM_only DWORD-Wert nicht vorhanden oder auf 0 festgelegt ist, werden die Computereinstellungen zusammen mit den Benutzereinstellungen verwendet. In den Internetoptionen werden jedoch nur Benutzereinstellungen angezeigt. Wenn dieser DWORD-Wert beispielsweise nicht vorhanden oder auf 0 festgelegt ist, HKEY_LOCAL_MACHINE werden Einstellungen zusammen mit HKEY_CURRENT_USER Einstellungen gelesen, aber nur HKEY_CURRENT_USER Einstellungen werden in den Internetoptionen angezeigt.

TemplatePolicies

Der TemplatePolicies Schlüssel bestimmt die Einstellungen der Standardsicherheitszonenebenen. Diese Ebenen sind Niedrig, Mittel niedrig, Mittel und Hoch. Sie können die Einstellungen der Sicherheitsstufe aus den Standardeinstellungen ändern. Sie können jedoch keine weiteren Sicherheitsstufen hinzufügen. Die Schlüssel enthalten Werte, die die Einstellung für die Sicherheitszone bestimmen. Jeder Schlüssel enthält einen Beschreibungszeichenfolgenwert und einen Zeichenfolgenwert anzeigename, die den Text bestimmen, der auf der Registerkarte Sicherheit für jede Sicherheitsstufe angezeigt wird.

ZoneMap

Der ZoneMap Schlüssel enthält die folgenden Schlüssel:

• Domänen
• EscDomains
• ProtocolDefaults
• Bereiche

Der Domains Schlüssel enthält Domänen und Protokolle, die hinzugefügt wurden, um ihr Verhalten gegenüber dem Standardverhalten zu ändern. Wenn eine Domäne hinzugefügt wird, wird dem Domains Schlüssel ein Schlüssel hinzugefügt. Unterdomänen werden als Schlüssel unter der Domäne angezeigt, in der sie gehören. Jeder Schlüssel, der eine Domäne auflistet, enthält ein DWORD mit einem Wertnamen des betroffenen Protokolls. Der Wert von DWORD entspricht dem numerischen Wert der Sicherheitszone, in der die Domäne hinzugefügt wird.

Der EscDomains Schlüssel ähnelt dem Domänenschlüssel, mit der Ausnahme, dass der EscDomains Schlüssel für die Protokolle gilt, die vom Internet Explorer Enhanced Security Configuration (IE ESC) betroffen sind. IE ESC wurde in Microsoft Windows Server 2003 eingeführt und gilt nur für Serverbetriebssysteme.

Der ProtocolDefaults Schlüssel gibt die Standardsicherheitszone an, die für ein bestimmtes Protokoll (ftp, http, https) verwendet wird. Um die Standardeinstellung zu ändern, können Sie entweder ein Protokoll zu einer Sicherheitszone hinzufügen, indem Sie auf der Registerkarte Sicherheitdie Option Websites hinzufügen auswählen, oder Sie können einen DWORD-Wert unter dem Schlüssel Domänen hinzufügen. Der Name des DWORD-Werts muss mit dem Protokollnamen übereinstimmen und darf keine Doppelpunkte (:) oder Schrägstriche (/) enthalten.

Der ProtocolDefaults Schlüssel enthält auch DWORD-Werte, die die Standardsicherheitszonen angeben, in denen ein Protokoll verwendet wird. Sie können die Steuerelemente auf der Registerkarte Sicherheit nicht verwenden, um diese Werte zu ändern. Diese Einstellung wird verwendet, wenn eine bestimmte Website nicht in eine Sicherheitszone fällt.

Der Ranges Schlüssel enthält Bereiche von TCP/IP-Adressen. Jeder tcp/IP-Bereich, den Sie angeben, wird in einem willkürlich benannten Schlüssel angezeigt. Dieser Schlüssel enthält einen :Range Zeichenfolgenwert, der den angegebenen TCP/IP-Bereich enthält. Für jedes Protokoll wird ein DWORD-Wert hinzugefügt, der den numerischen Wert der Sicherheitszone für den angegebenen IP-Bereich enthält.

Wenn die Urlmon.dll-Datei die öffentliche MapUrlToZone-Funktion verwendet, um eine bestimmte URL in eine Sicherheitszone aufzulösen, verwendet sie eine der folgenden Methoden:

• Wenn die URL einen vollqualifizierten Domänennamen (FQDN) enthält, wird der Domänenschlüssel verarbeitet.

  Bei dieser Methode setzt eine genaue Standortüberstimmung eine zufällige Übereinstimmung außer Kraft.

• Wenn die URL eine IP-Adresse enthält, wird der Ranges Schlüssel verarbeitet. Die IP-Adresse der URL wird mit dem Wert verglichen, der :Range in den willkürlich benannten Schlüsseln unter dem Ranges Schlüssel enthalten ist.

Zonen

Der Zones Schlüssel enthält Schlüssel, die jede Sicherheitszone darstellen, die für den Computer definiert ist. Standardmäßig werden die folgenden fünf Zonen definiert (nummeriert 0 bis vier):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Jeder dieser Schlüssel enthält die folgenden DWORD-Werte, die die entsprechenden Einstellungen auf der benutzerdefinierten Registerkarte Sicherheit darstellen.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Hinweise zu 1200, 1A00, 1A10, 1E05, 1C00 und 2000

Die folgenden beiden Registrierungseinträge wirken sich darauf aus, ob Sie ActiveX-Steuerelemente in einer bestimmten Zone ausführen können:

• 1200 Dieser Registrierungseintrag wirkt sich darauf aus, ob Sie ActiveX-Steuerelemente oder Plug-Ins ausführen können.
• 2000 Dieser Registrierungseintrag steuert binäres Verhalten und Skriptverhalten für ActiveX-Steuerelemente oder Plug-Ins.

Hinweise zu 1A02, 1A03, 1A05 und 1A06

Die folgenden vier Registrierungseinträge werden nur wirksam, wenn die folgenden Schlüssel vorhanden sind:

• {AEBA21FA-782A-4A90-978D-B72164C80120} Erstanbieter-Cookie *
• {A8A88C49-5EB2-4990-A1A2-0876022C854F} Drittanbieter-Cookie *

Registrierungseinträge

• 1A02 Zulassen persistenter Cookies, die auf Ihrem Computer gespeichert werden #
• 1A03 Cookies pro Sitzung zulassen (nicht gespeichert) #
• 1A05 Dauerhafte Cookies von Drittanbietern zulassen *
• 1A06 Sitzungscookies von Drittanbietern zulassen *

Diese Registrierungseinträge befinden sich im folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

In diesem Registrierungsunterschlüssel <ist ZoneNumber> eine Zone wie 0 (null). Der 1200 Registrierungseintrag und der 2000 Registrierungseintrag enthalten jeweils eine Einstellung namens Administrator genehmigt. Wenn diese Einstellung aktiviert ist, wird der Wert für den bestimmten Registrierungseintrag auf 00010000 festgelegt. Wenn die Einstellung Vom Administrator genehmigt aktiviert ist, überprüft Windows den folgenden Registrierungsunterschlüssel, um eine Liste genehmigter Steuerelemente zu finden:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Die Anmeldeeinstellung (1A00) kann einen der folgenden Werte (hexadezimal) aufweisen:

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Datenschutzeinstellungen (1A10) werden vom Schieberegler "Datenschutz" verwendet. Die DWORD-Werte sind wie folgt:

Alle Cookies blockieren: 00000003
Hoch: 00000001
Mittelhoch: 00000001
Mittel: 00000001
Niedrig: 00000001
Alle Cookies akzeptieren: 00000000

Basierend auf den Einstellungen im Schieberegler werden auch die Werte in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} oder beides geändert.

Die Java-Berechtigungseinstellung (1C00) weist die folgenden fünf möglichen Werte (binär) auf:

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Wenn Benutzerdefiniert ausgewählt ist, wird {7839DA25-F5FE-11D0-883B-0080C726DCBB} (die sich am gleichen Registrierungsspeicherort befindet) verwendet, um die benutzerdefinierten Informationen in einer Binärdatei zu speichern.

Jede Sicherheitszone enthält den Description-Zeichenfolgenwert und den Zeichenfolgenwert Anzeigename. Der Text dieser Werte wird auf der Registerkarte Sicherheit angezeigt, wenn Sie eine Zone im Feld Zone auswählen. Es gibt auch einen Symbolzeichenfolgenwert, der das Symbol festlegt, das für jede Zone angezeigt wird. Mit Ausnahme der Zone "Arbeitsplatz" enthält jede Zone einen CurrentLevel- , MinLevel- und RecommendedLevel DWORD-Wert. Der MinLevel -Wert legt die niedrigste Einstellung fest, die verwendet werden kann, bevor Sie eine Warnmeldung erhalten, CurrentLevel ist die aktuelle Einstellung für die Zone und RecommendedLevel ist die empfohlene Stufe für die Zone.

Die Werte für Minlevel, RecommendedLevelund CurrentLevel bedeuten Folgendes:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Der Flags DWORD-Wert bestimmt die Fähigkeit des Benutzers, die Eigenschaften der Sicherheitszone zu ändern. Um den Flags Wert zu ermitteln, fügen Sie die Nummern der entsprechenden Einstellungen zusammen hinzu. Die folgenden Flags Werte sind verfügbar (dezimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Wenn Sie Einstellungen sowohl der E- HKEY_LOCAL_MACHINals auch der HKEY_CURRENT_USER Unterstruktur hinzufügen, sind die Einstellungen additiv. Wenn Sie websites zu beiden Unterstrukturen hinzufügen, sind nur die Websites im HKEY_CURRENT_USER sichtbar. Die Websites in der HKEY_LOCAL_MACHINE Unterstruktur werden weiterhin gemäß ihren Einstellungen erzwungen. Sie sind jedoch nicht verfügbar, und Sie können sie nicht ändern. Diese Situation kann verwirrend sein, da eine Website möglicherweise nur in einer Sicherheitszone für jedes Protokoll aufgeführt ist.

References

Weitere Informationen zu Funktionsänderungen in Microsoft Windows XP Service Pack 2 (SP2) finden Sie auf der folgenden Microsoft-Website:

Teil 5: Verbesserte Browsersicherheit

Weitere Informationen zu URL-Sicherheitszonen finden Sie auf der folgenden Microsoft-Website:

Informationen zu URL-Sicherheitszonen

Weitere Informationen zum Ändern der Sicherheitseinstellungen für Internet Explorer finden Sie auf der folgenden Microsoft-Website:

Ändern der Sicherheits- und Datenschutzeinstellungen für Internet Explorer 11

Weitere Informationen zur Sperrung von Internet Explorer Zone des lokalen Computers finden Sie auf der folgenden Microsoft-Website:

Internet Explorer Zonensperre für lokale Computer

Weitere Informationen zu Werten, die den Aktionen zugeordnet sind, die in einer URL-Sicherheitszone ausgeführt werden können, finden Sie unter URL-Aktionsflags.