Registrierungseinträge für Internet Explorer Sicherheitszonen für fortgeschrittene Benutzer
Warnung
Die eingestellte, nicht mehr unterstützte Desktop-Anwendung Internet Explorer 11 wurde durch ein Microsoft Edge-Update in bestimmten Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der Desktop-App von Internet Explorer 11.
In diesem Artikel wird beschrieben, wie und wo Internet Explorer Sicherheitszonen und Datenschutzeinstellungen in der Registrierung gespeichert und verwaltet werden. Sie können Gruppenrichtlinie oder das Microsoft Internet Explorer Administration Kit (IEAK) verwenden, um Sicherheitszonen und Datenschutzeinstellungen festzulegen.
Ursprüngliche Produktversion: Internet Explorer 9, Internet Explorer 10
Ursprüngliche KB-Nummer: 182569
Datenschutzeinstellungen
Internet Explorer 6 und höhere Versionen haben eine Registerkarte Datenschutz hinzugefügt, um Benutzern mehr Kontrolle über Cookies zu geben. Diese Registerkarte (wählen SieTools und dannInternetoptionen aus) bietet Flexibilität zum Blockieren oder Zulassen von Cookies basierend auf der Website, von der das Cookie stammt, oder der Art des Cookies. Zu den Arten von Cookies gehören Cookies von Erstanbietern, Cookies von Drittanbietern und Cookies, die keine kompakte Datenschutzrichtlinie haben. Diese Registerkarte enthält auch Optionen zum Steuern von Websiteanforderungen für physische Standortdaten, die Möglichkeit, Popups zu blockieren und Symbolleisten und Erweiterungen auszuführen, wenn InPrivate-Browsen aktiviert ist.
Es gibt unterschiedliche Datenschutzebenen in der Internetzone, und sie werden in der Registrierung am gleichen Speicherort wie die Sicherheitszonen gespeichert.
Sie können auch eine Website hinzufügen, um Cookies basierend auf der Website zu aktivieren oder zu blockieren, unabhängig von der Datenschutzrichtlinie auf der Website. Diese Registrierungsschlüssel werden im folgenden Registrierungsunterschlüssel gespeichert:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Domänen, die als verwaltete Website hinzugefügt wurden, werden unter diesem Unterschlüssel aufgeführt. Diese Domänen können einen der folgenden DWORD-Werte enthalten:
0x00000005 – Immer blockieren
0x00000001 – Immer zulassen
Sicherheitszoneneinstellungen
Benutzer können für jede Zone steuern, wie internet Explorer elemente mit höherem Risiko wie ActiveX-Steuerelemente, Downloads und Skripts behandelt. Internet Explorer Sicherheitszoneneinstellungen werden unter den folgenden Registrierungsunterschlüsseln gespeichert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Diese Registrierungsschlüssel enthalten die folgenden Schlüssel:
- TemplatePolicies
- ZoneMap
- Zonen
Hinweis
Standardmäßig werden Die Einstellungen für Sicherheitszonen in der HKEY_CURRENT_USER
Registrierungsunterstruktur gespeichert. Da diese Unterstruktur für jeden Benutzer dynamisch geladen wird, wirken sich die Einstellungen für einen Benutzer nicht auf die Einstellungen für einen anderen Benutzer aus.
Wenn die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden in Gruppenrichtlinie aktiviert ist oder wenn der Security_HKLM_only
DWORD-Wert vorhanden ist und im folgenden Registrierungsunterschlüssel den Wert 1 aufweist, werden nur lokale Computereinstellungen verwendet, und alle Benutzer verfügen über die gleichen Sicherheitseinstellungen:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Wenn die Security_HKLM_only
Richtlinie aktiviert ist, werden HKLM-Werte von Internet Explorer verwendet. Die HKCU-Werte werden jedoch weiterhin in den Zoneneinstellungen auf der Registerkarte Sicherheit in Internet Explorer angezeigt. In Internet Explorer 7 zeigt die Registerkarte Sicherheit des Dialogfelds Internetoptionen die folgende Meldung an, um anzugeben, dass die Einstellungen vom Systemadministrator verwaltet werden:
Einige Einstellungen werden von Ihrem Systemadministrator verwaltet. Wenn die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden in Gruppenrichtlinie nicht aktiviert ist oder wenn der
Security_HKLM_only
DWORD-Wert nicht vorhanden oder auf 0 festgelegt ist, werden die Computereinstellungen zusammen mit den Benutzereinstellungen verwendet. In den Internetoptionen werden jedoch nur Benutzereinstellungen angezeigt. Wenn dieser DWORD-Wert beispielsweise nicht vorhanden oder auf 0 festgelegt ist,HKEY_LOCAL_MACHINE
werden Einstellungen zusammen mitHKEY_CURRENT_USER
Einstellungen gelesen, aber nurHKEY_CURRENT_USER
Einstellungen werden in den Internetoptionen angezeigt.
TemplatePolicies
Der TemplatePolicies
Schlüssel bestimmt die Einstellungen der Standardsicherheitszonenebenen. Diese Ebenen sind Niedrig, Mittel niedrig, Mittel und Hoch. Sie können die Einstellungen der Sicherheitsstufe aus den Standardeinstellungen ändern. Sie können jedoch keine weiteren Sicherheitsstufen hinzufügen. Die Schlüssel enthalten Werte, die die Einstellung für die Sicherheitszone bestimmen. Jeder Schlüssel enthält einen Beschreibungszeichenfolgenwert und einen Zeichenfolgenwert anzeigename, die den Text bestimmen, der auf der Registerkarte Sicherheit für jede Sicherheitsstufe angezeigt wird.
ZoneMap
Der ZoneMap
Schlüssel enthält die folgenden Schlüssel:
- Domänen
- EscDomains
- ProtocolDefaults
- Bereiche
Der Domains
Schlüssel enthält Domänen und Protokolle, die hinzugefügt wurden, um ihr Verhalten gegenüber dem Standardverhalten zu ändern. Wenn eine Domäne hinzugefügt wird, wird dem Domains
Schlüssel ein Schlüssel hinzugefügt. Unterdomänen werden als Schlüssel unter der Domäne angezeigt, in der sie gehören. Jeder Schlüssel, der eine Domäne auflistet, enthält ein DWORD mit einem Wertnamen des betroffenen Protokolls. Der Wert von DWORD entspricht dem numerischen Wert der Sicherheitszone, in der die Domäne hinzugefügt wird.
Der EscDomains
Schlüssel ähnelt dem Domänenschlüssel, mit der Ausnahme, dass der EscDomains
Schlüssel für die Protokolle gilt, die vom Internet Explorer Enhanced Security Configuration (IE ESC) betroffen sind. IE ESC wurde in Microsoft Windows Server 2003 eingeführt und gilt nur für Serverbetriebssysteme.
Der ProtocolDefaults
Schlüssel gibt die Standardsicherheitszone an, die für ein bestimmtes Protokoll (ftp, http, https) verwendet wird. Um die Standardeinstellung zu ändern, können Sie entweder ein Protokoll zu einer Sicherheitszone hinzufügen, indem Sie auf der Registerkarte Sicherheitdie Option Websites hinzufügen auswählen, oder Sie können einen DWORD-Wert unter dem Schlüssel Domänen hinzufügen. Der Name des DWORD-Werts muss mit dem Protokollnamen übereinstimmen und darf keine Doppelpunkte (:) oder Schrägstriche (/) enthalten.
Der ProtocolDefaults
Schlüssel enthält auch DWORD-Werte, die die Standardsicherheitszonen angeben, in denen ein Protokoll verwendet wird. Sie können die Steuerelemente auf der Registerkarte Sicherheit nicht verwenden, um diese Werte zu ändern. Diese Einstellung wird verwendet, wenn eine bestimmte Website nicht in eine Sicherheitszone fällt.
Der Ranges
Schlüssel enthält Bereiche von TCP/IP-Adressen. Jeder tcp/IP-Bereich, den Sie angeben, wird in einem willkürlich benannten Schlüssel angezeigt. Dieser Schlüssel enthält einen :Range
Zeichenfolgenwert, der den angegebenen TCP/IP-Bereich enthält. Für jedes Protokoll wird ein DWORD-Wert hinzugefügt, der den numerischen Wert der Sicherheitszone für den angegebenen IP-Bereich enthält.
Wenn die Urlmon.dll-Datei die öffentliche MapUrlToZone-Funktion verwendet, um eine bestimmte URL in eine Sicherheitszone aufzulösen, verwendet sie eine der folgenden Methoden:
Wenn die URL einen vollqualifizierten Domänennamen (FQDN) enthält, wird der Domänenschlüssel verarbeitet.
Bei dieser Methode setzt eine genaue Standortüberstimmung eine zufällige Übereinstimmung außer Kraft.
Wenn die URL eine IP-Adresse enthält, wird der
Ranges
Schlüssel verarbeitet. Die IP-Adresse der URL wird mit dem Wert verglichen, der:Range
in den willkürlich benannten Schlüsseln unter demRanges
Schlüssel enthalten ist.
Hinweis
Da willkürlich benannte Schlüssel in der Reihenfolge verarbeitet werden, in der sie der Registrierung hinzugefügt wurden, kann diese Methode eine zufällige Übereinstimmung finden, bevor sie eine Übereinstimmung findet. Wenn diese Methode zuerst eine zufällige Übereinstimmung findet, kann die URL in einer anderen Sicherheitszone als der Zone ausgeführt werden, in der sie normalerweise zugewiesen ist. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Zonen
Der Zones
Schlüssel enthält Schlüssel, die jede Sicherheitszone darstellen, die für den Computer definiert ist. Standardmäßig werden die folgenden fünf Zonen definiert (nummeriert 0 bis vier):
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
Hinweis
Mein Computer wird standardmäßig nicht im Feld Zone auf der Registerkarte Sicherheit angezeigt, da es gesperrt ist, um die Sicherheit zu verbessern.
Jeder dieser Schlüssel enthält die folgenden DWORD-Werte, die die entsprechenden Einstellungen auf der benutzerdefinierten Registerkarte Sicherheit darstellen.
Hinweis
Sofern nicht anders angegeben, ist jeder DWORD-Wert gleich 0, 1 oder 3. In der Regel legt eine Einstellung von Null eine bestimmte Aktion als zulässig fest, eine Einstellung von 1 bewirkt, dass eine Eingabeaufforderung angezeigt wird, und eine Einstellung von drei verhindert die spezifische Aktion.
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
Hinweise zu 1200, 1A00, 1A10, 1E05, 1C00 und 2000
Die folgenden beiden Registrierungseinträge wirken sich darauf aus, ob Sie ActiveX-Steuerelemente in einer bestimmten Zone ausführen können:
- 1200 Dieser Registrierungseintrag wirkt sich darauf aus, ob Sie ActiveX-Steuerelemente oder Plug-Ins ausführen können.
- 2000 Dieser Registrierungseintrag steuert binäres Verhalten und Skriptverhalten für ActiveX-Steuerelemente oder Plug-Ins.
Hinweise zu 1A02, 1A03, 1A05 und 1A06
Die folgenden vier Registrierungseinträge werden nur wirksam, wenn die folgenden Schlüssel vorhanden sind:
- {AEBA21FA-782A-4A90-978D-B72164C80120} Erstanbieter-Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F} Drittanbieter-Cookie *
Registrierungseinträge
- 1A02 Zulassen persistenter Cookies, die auf Ihrem Computer gespeichert werden #
- 1A03 Cookies pro Sitzung zulassen (nicht gespeichert) #
- 1A05 Dauerhafte Cookies von Drittanbietern zulassen *
- 1A06 Sitzungscookies von Drittanbietern zulassen *
Diese Registrierungseinträge befinden sich im folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
In diesem Registrierungsunterschlüssel <ist ZoneNumber> eine Zone wie 0 (null). Der 1200
Registrierungseintrag und der 2000
Registrierungseintrag enthalten jeweils eine Einstellung namens Administrator genehmigt. Wenn diese Einstellung aktiviert ist, wird der Wert für den bestimmten Registrierungseintrag auf 00010000 festgelegt. Wenn die Einstellung Vom Administrator genehmigt aktiviert ist, überprüft Windows den folgenden Registrierungsunterschlüssel, um eine Liste genehmigter Steuerelemente zu finden:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
Die Anmeldeeinstellung (1A00) kann einen der folgenden Werte (hexadezimal) aufweisen:
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
Datenschutzeinstellungen (1A10) werden vom Schieberegler "Datenschutz" verwendet. Die DWORD-Werte sind wie folgt:
Alle Cookies blockieren: 00000003
Hoch: 00000001
Mittelhoch: 00000001
Mittel: 00000001
Niedrig: 00000001
Alle Cookies akzeptieren: 00000000
Basierend auf den Einstellungen im Schieberegler werden auch die Werte in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} oder beides geändert.
Die Java-Berechtigungseinstellung (1C00) weist die folgenden fünf möglichen Werte (binär) auf:
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
Wenn Benutzerdefiniert ausgewählt ist, wird {7839DA25-F5FE-11D0-883B-0080C726DCBB} (die sich am gleichen Registrierungsspeicherort befindet) verwendet, um die benutzerdefinierten Informationen in einer Binärdatei zu speichern.
Jede Sicherheitszone enthält den Description-Zeichenfolgenwert und den Zeichenfolgenwert Anzeigename. Der Text dieser Werte wird auf der Registerkarte Sicherheit angezeigt, wenn Sie eine Zone im Feld Zone auswählen. Es gibt auch einen Symbolzeichenfolgenwert, der das Symbol festlegt, das für jede Zone angezeigt wird. Mit Ausnahme der Zone "Arbeitsplatz" enthält jede Zone einen CurrentLevel
- , MinLevel
- und RecommendedLevel
DWORD-Wert. Der MinLevel
-Wert legt die niedrigste Einstellung fest, die verwendet werden kann, bevor Sie eine Warnmeldung erhalten, CurrentLevel
ist die aktuelle Einstellung für die Zone und RecommendedLevel
ist die empfohlene Stufe für die Zone.
Die Werte für Minlevel
, RecommendedLevel
und CurrentLevel
bedeuten Folgendes:
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
Der Flags
DWORD-Wert bestimmt die Fähigkeit des Benutzers, die Eigenschaften der Sicherheitszone zu ändern. Um den Flags
Wert zu ermitteln, fügen Sie die Nummern der entsprechenden Einstellungen zusammen hinzu. Die folgenden Flags
Werte sind verfügbar (dezimal):
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
Wenn Sie Einstellungen sowohl der E- HKEY_LOCAL_MACHIN
als auch der HKEY_CURRENT_USER
Unterstruktur hinzufügen, sind die Einstellungen additiv. Wenn Sie websites zu beiden Unterstrukturen hinzufügen, sind nur die Websites im HKEY_CURRENT_USER
sichtbar. Die Websites in der HKEY_LOCAL_MACHINE
Unterstruktur werden weiterhin gemäß ihren Einstellungen erzwungen. Sie sind jedoch nicht verfügbar, und Sie können sie nicht ändern. Diese Situation kann verwirrend sein, da eine Website möglicherweise nur in einer Sicherheitszone für jedes Protokoll aufgeführt ist.
References
Weitere Informationen zu Funktionsänderungen in Microsoft Windows XP Service Pack 2 (SP2) finden Sie auf der folgenden Microsoft-Website:
Teil 5: Verbesserte Browsersicherheit
Weitere Informationen zu URL-Sicherheitszonen finden Sie auf der folgenden Microsoft-Website:
Informationen zu URL-Sicherheitszonen
Weitere Informationen zum Ändern der Sicherheitseinstellungen für Internet Explorer finden Sie auf der folgenden Microsoft-Website:
Ändern der Sicherheits- und Datenschutzeinstellungen für Internet Explorer 11
Weitere Informationen zur Sperrung von Internet Explorer Zone des lokalen Computers finden Sie auf der folgenden Microsoft-Website:
Internet Explorer Zonensperre für lokale Computer
Weitere Informationen zu Werten, die den Aktionen zugeordnet sind, die in einer URL-Sicherheitszone ausgeführt werden können, finden Sie unter URL-Aktionsflags.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für