Benutzerdefinierte ADM und ADMX administrativen Vorlagendateien für den geschützten Modus in Internet Explorer 7.0 eine Erhöhungsrichtlinie zu schreiben

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Müssen Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung

Zusammenfassung

In Windows Vista erben sicherungsfähige Objekte automatisch die Integritätsstufe des Prozesses, der sie erstellt wurden. Daher müssen Dateien oder Registrierungsschlüssel niedrigen Integrität, bei der Erstellung im geschützten Modus. Dies bedeutet, dass ein Prozess mit niedriger Integrität Schreibberechtigung für Objekte erhalten erstellt. Ein Prozess mit niedriger Integrität zugreifen nicht jedoch Schreibzugriff auf Mittel oder hohe Datenintegrität Ordner oder Dateien im Profil des Benutzers.

Die Erweiterung standardmäßig beim Microsoft Internet Explorer 7.0 im geschützten Modus ausgeführt wird können nicht mittlerer Integrität oder hohe Datenintegrität Objekte zugreifen. Dies bietet den besten Schutz vor Malware-Angriffen. Erweiterung auf Integrität Objekte erfordert, wird das Standardverhalten von Internet Explorer 7.0 Benutzer Erhöhung durch ein Dialogfeld aufgefordert. Wenn der Benutzer die Höhe bestätigt, entsteht Broker-Prozess mit einer höheren Integritätsstufe. Broker-Prozess greift auf höherer Integrität Objekt auf Internet Explorer 7.0.

Die Registrierung können Sie das Standardverhalten überschreiben, sodass der Benutzer nicht zur Erhöhung durch ein Dialogfeld aufgefordert. Dieser Artikel beschreibt, wie Administratoren ADM- oder ADMX-Dateien, fügen Sie die Richtlinie "Aktivieren Höhe Richtlinie geschützten Modus anpassen" auf die gewünschte Höhe für unterschiedliche Verhalten zu erzwingen.

Einführung

Erhöhung Registrierung Organisation


Sie können Broker GUID mit folgenden Werten erstellen und die Standardrichtlinie Höhe ändern:
  • AppName: REG_SZ-Wert für den Namen der ausführbaren Datei.
  • AppPath: REG_SZ-Wert für die vom Benutzer ausgewählte Installationsort der ausführbaren Datei.
  • CLSID: Wenn die Erweiterung einen COM-Server gestartet wird, fügen Sie einen REG_SZ-Wert, der die CLSID der Erweiterung enthält.
  • Richtlinie: ein DWORD-Wert, der angibt, wie der geschützte Modus startet den Broker. Die folgende Tabelle beschreibt die unterstützten Werte und ihre Bedeutung.
WertErgebnis
3Der geschützte Modus startet automatisch Broker als Prozess mittlerer Integrität.
2Der geschützte Modus fordert Benutzer die Berechtigung zum Starten des Prozesses. Berechtigung erteilt wird, wird der Prozess als Prozess mittlerer Integrität gestartet.
1Geschützter Modus startet automatisch Broker als Prozess mit niedriger Integrität.
0Der geschützte Modus verhindert, dass den Prozess starten.

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Sie müssen die GUIDs wie folgt hinzufügen:
  • Diese GUID im folgenden Registrierungsunterschlüssel hinzufügen:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Erstellen Sie einen ähnlichen Registrierungseintrag unter einem der folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
Erstellen von benutzerdefinierten ADM-Datei

Erstellen Sie die benutzerdefinierte ADM-Datei diese Richtlinie folgendermaßen Sie vor:
  1. Definieren Sie eine Liste der Programme, die Erhöhungsrichtlinie konfiguriert werden soll. Entscheiden Sie, welcher Höhe Sie Richtlinie für jede. Verwenden Sie Werte 0 bis 3 der Tabelle, die in diesem Artikel beschrieben wurde.
  2. Öffnen Sie einen Texteditor und kopieren Sie die folgende Vorlage in die Textdatei.

    Hinweis Die Werte von < APPNAME1 > < APPPATH1 > < CLSID1 > und < Richtlinie1 > in diesem und anderen Codebeispiele in diesem Artikel sind Platzhalter für den Anwendungsnamen, den Pfad der CLSID und Richtlinie, die angewendet werden.
    CLASS USERCATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer
    POLICY !!ConfigureElevationPolicy
    #if version >= 4
    SUPPORTED !!SUPPORTED_IE7
    #endif
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    ACTIONLISTON
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>"VALUENAME AppName VALUE "<APPNAME1>"
    VALUENAME AppPath VALUE "<APPPATH1>"
    VALUENAME CLSID VALUE "<CLSID1>"
    VALUENAME Policy VALUE NUMERIC "<POLICY1>"
    END ACTIONLISTON
    END POLICY
    END CATEGORY
    END CATEGORY

    CLASS MACHINE
    CATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer

    <POLICY ... END POLICY will be exactly same as that under class user> END CATEGORYEND CATEGORY


    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    ADMX und .adml-Dateien erstellen

    Verwenden Sie die folgende Vorlage anstatt benutzerdefinierte .adm-Vorlagendateien, um ADMX und .adml-Dateien zu erstellen. Für mit dieser Vorlage aufgefüllt. ADM-Dateien können Sie auch Schritt 3 folgen. Wiederholen Sie den Codeblock zwischen < EnabledList > und < / EnabledList > für andere Applikationen.

    Erstellen Sie die Datei ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?><policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
    <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
    <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
    </policyNamespaces>
    <resources minRequiredRevision="1.0" />
    <policies>
    <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppName"> <value>
    <string><APPNAME1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppPath"> <value>
    <string><APPPATH1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="CLSID"> <value>
    <string><CLSID1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="Policy"> <value>
    <decimal value="<POLICY1>" />
    </value>
    </item>
    </enabledList>
    </policy>
    <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <same as user policy above> </enabledList> </policy>
    </policies>
    </policyDefinitions>

    Erstellen Sie die Datei ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?><policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <displayName>enter display name here</displayName>
    <description>enter description here</description>
    <resources>
    <stringTable>
    <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
    </stringTable>
    </resources>
    </policyDefinitionResources>

    Hinweis Sie sollten die ADMX-Datei unter
    < %windir% >\policydefinitions und die .adml-Datei unter < %windir% >\policydefinitions\< % Lang Dir >. Führen Sie "Gpedit.msc", um die Ergebnisse zu überprüfen.
  3. Füllen Sie die Vorlage mit den entsprechenden Werten. Gehen Sie hierzu folgendermaßen vor:
    1. Eine neue GUID generieren und ersetzen
      < GUID1 > im Beispiel mit dem neuen GUID.
    2. Der erste ausgewählte Anwendung schreiben Sie ausführbare statt < APPNAME1 > und den Pfad der ausführbaren Datei am < APPPATH1 >. Wenn die Erweiterung einen COM-Server gestartet wird, fügen Sie die CLSID der Erweiterung an
      < CLSID >. Schreiben Sie den Höhenwinkel Richtliniennummer 3 0 auf < Richtlinie1 >für die Anwendung.
    3. Replizieren den Codeblock zwischen < EnabledList > und < / EnabledList > für alle anderen Programme, die Sie ausgewählt haben, und dann wiederholen Sie die Schritte 3a und Schritt 3 b die Blöcke aufgefüllt.
    4. Kopieren Sie die Richtlinie, die in Schritt 3 unter dem Eintrag CLASS MACHINE im Code erstellt wurde.
  4. Speichern Sie die Datei als eine ADM-Datei. Z. B. als ElevationPolicy.admspeichern.
  5. Gehen Sie wie folgt vor, um die Ergebnisse zu überprüfen:
Hinweis 3d, 4 und 5 b Schritte sind nur für ADM-Dateien.
Eigenschaften

Artikelnummer: 918239 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback