none
Richtlinie Intranetzone & verstärkte Sicherheitskonfiguration für Internet Explorer

    Frage

  • Guten Tag,

    folgende Problematik:

    Wir haben eine Domänenrichtlinie eingerichtet, damit alle internen Server in die lokale Intranetzone hinzugefügt werden. Diese funktioniert super auf User - Ebene / Workstations. Auf den Server aber haben wir folgende Probleme:

    -Sofern die Verstärkte Sicherheitskonfiguration für Internet Explorer aktiv ist (konkret getestet auf einem Windows Server 2008 R2 Standard x64), greift diese Richtlinie offensichtlich nicht mehr richtig. Ich kann zwar keine Seiten manuell hinzufügen (vom Administrator verwaltet), aber die internen Seiten werden nicht als "Intranetzone" erkannt. Wie können die internen Seiten dennoch als Intranetzone angesprochen werden, OHNE die verstärke Sicherheitskonfiguration abzuschalten / zu deinstallieren.

    -Sobald diese Richtlinie aktiv ist, hat man keine Möglichkeit mehr manuell Seiten hinzuzufügen. Das ist besonders für unsere Administratoren lästig. Wir umgehen das derzeit, indem wir diese Richtlinie bei den Administratoren nicht aktivieren. Gibt es da vielleicht eine elegantere Lösung?

     

    Für die Unterstützung schon mal vielen Dank im Voraus!

    Marc Krieger

     

    Mittwoch, 15. Dezember 2010 15:31

Antworten

  • Hallo Community,

    ich habe hier eine Testumgebung "WINDOWS SERVER 2008 R2" und versucht diese "verstärkte Sicherheitskonfiguration für IE" über Gruppenrichtlinien zu deaktivieren, leider ohne Erfolg!

    Hab versucht mit dem Registry-Wert

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    und / oder

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    REG-DWORD - IEHarden -> Wert 0

    zu experimentieren.

    Noch eine Info: Bei einem jungfräulichem System ist unter HKLM IEHarden schon vorhanden, unter HKCU muss IEHarden hinzugefügt werden.

    Scheint bei W2K8R2 nicht zu funktionieren, gibt es eine andere Lösung oder mache ich einen Fehler?

    Danke schon mal für die Hilfe!

    Ergänzung vom 13.03.2011

    Die beste Lösung scheint mir zu sein die GPO mit der Konfiguration der "Verstärkte Sicherheitskonfiguration für IE" zu erweitern!

    Folgende Schritte sind notwendig:

    Download der ADM Datei "Managing Internet Explorer Enhanced Security Configuration" für Server 2003 (kann auch für 2008 verwendet werden). Zip-Datei Entpacken und InetESC.adm zur Konvertierung bereitstellen.

    Download des ADM nach ADMX Konvertierungstools um die InetESC.adm zu einer InetESC.admx zu konvertieren.

    ADMXMigrator.msi installieren.

    "ADMX Editor" aus dem Startmenü starten.

    InetESC.adm auswählen und konvertieren.

    Hilfe zur Erstellung eines Central Store für Gruppenrichtlinien. Weitere Hilfe auch bei Microsoft.

    InetESC.admx und Datei InetESC.adml aus dem Ordner de-DE in den Central Store kopieren.

    Jetzt steht die Enhanced Security Configuration (ESC) für IE nun im Gruppenrichlinienverwaltungs-Editor unter "Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Internet Explorer\Internet Explorer Enhanced Security Configuration" zur Verfügung.

    Fertig! :-)

    Freitag, 11. März 2011 09:51

Alle Antworten

  • Hi,

    Am 15.12.2010 16:31, schrieb Marc Krieger:

    -Sofern die Verstärkte Sicherheitskonfiguration für Internet Explorer
    aktiv ist  [...]

    Ist sie nicht. Niemals, nicht für Administratoren an einem Server,
    genauso wenig wie auf diesen UAC aktiv ist.

    Der Dreck mit den ESC Domains bringt keine SIcherheit, sondern
    verhindert nur ordentliches Arbeiten und administrieren am Server.
    Ich könnte alleine schon kot*en, wenn ich den GPMC Report bestätigen
    muss.

    Verstärkte Sicherheitskonfiguration für den IE ist IMMER deakiviert.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 15. Dezember 2010 17:07
  • Hallo,

     

    Also ich habe die Erfahrung gemacht, dass die verstärkte Sicherheitskonfiguration standardmäßig aktiv ist. Verstehe ich das richtig, dass Ihr Vorschlag lautet, dieses grundsätzlich auszuschalten. Die Argumentation kann ich jedenfalls nachvolziehen. Letztebdlich fügen Administratoren sowieso jede Seite hinzu, die sie brauchen, also bringt es auch kaum zusätzliche Sicherheit.

    Darüber kann man diskutieren, wobei wir zum nächsten Problem kämen: wie kann ich dies per Policy erledigen? Oder muss ich sie manuell auf jedem Server ausschalten? Zum Hintergrund: wir haben eine gemischte Server 2003 / 2008 Umgebung, wo die verstärkte Sicherheit für IE standardmäßig aktiv ist.

     

    Vielen Dank im Voraus,

    Marc Krieger

    Donnerstag, 16. Dezember 2010 09:58
  • Hi,

    Am 16.12.2010 10:58, schrieb Marc Krieger:

    Also ich habe die Erfahrung gemacht, dass die verstärkte
    Sicherheitskonfiguration standardmäßig aktiv ist.

    Ja eben, deswegen ja: Ausschalten!

    Die RegWerte dazu habe ich nie rausgesucht, da es zu den ersten Dingen
    gehört, die ich direkt bei der Einrichtung des Servers erledige.
    Computer Name, Richtiger Key, Aktivieren, ESC abschalten ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Donnerstag, 16. Dezember 2010 11:47
  • Ja eben, deswegen ja: Ausschalten!

    Die RegWerte dazu habe ich nie rausgesucht,

    hier

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings\Zonemap

    unter IEHarden aus der 1 eine 0 machen.

    Dienstag, 1. März 2011 15:28
  • Hallo Community,

    ich habe hier eine Testumgebung "WINDOWS SERVER 2008 R2" und versucht diese "verstärkte Sicherheitskonfiguration für IE" über Gruppenrichtlinien zu deaktivieren, leider ohne Erfolg!

    Hab versucht mit dem Registry-Wert

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    und / oder

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    REG-DWORD - IEHarden -> Wert 0

    zu experimentieren.

    Noch eine Info: Bei einem jungfräulichem System ist unter HKLM IEHarden schon vorhanden, unter HKCU muss IEHarden hinzugefügt werden.

    Scheint bei W2K8R2 nicht zu funktionieren, gibt es eine andere Lösung oder mache ich einen Fehler?

    Danke schon mal für die Hilfe!

    Ergänzung vom 13.03.2011

    Die beste Lösung scheint mir zu sein die GPO mit der Konfiguration der "Verstärkte Sicherheitskonfiguration für IE" zu erweitern!

    Folgende Schritte sind notwendig:

    Download der ADM Datei "Managing Internet Explorer Enhanced Security Configuration" für Server 2003 (kann auch für 2008 verwendet werden). Zip-Datei Entpacken und InetESC.adm zur Konvertierung bereitstellen.

    Download des ADM nach ADMX Konvertierungstools um die InetESC.adm zu einer InetESC.admx zu konvertieren.

    ADMXMigrator.msi installieren.

    "ADMX Editor" aus dem Startmenü starten.

    InetESC.adm auswählen und konvertieren.

    Hilfe zur Erstellung eines Central Store für Gruppenrichtlinien. Weitere Hilfe auch bei Microsoft.

    InetESC.admx und Datei InetESC.adml aus dem Ordner de-DE in den Central Store kopieren.

    Jetzt steht die Enhanced Security Configuration (ESC) für IE nun im Gruppenrichlinienverwaltungs-Editor unter "Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Components\Internet Explorer\Internet Explorer Enhanced Security Configuration" zur Verfügung.

    Fertig! :-)

    Freitag, 11. März 2011 09:51