Dieser kleine Tweak ist vor allem für diejenigen interessant, welche global den Internet-Explorer für alle normalen Benutzer (ohne Administrator-Rechte) abklemmen wollen, um zu verhindern, dass versehentlich Schad-Code zur Ausführung kommt, der per Netzwerk/Internet heruntergeladen wurde.
Das Problem: Ungestopfte Sicherheitslücken
Der Internet-Explorer fällt immer wieder durch zahlreiche Sicherheitslücken auf, die nur zum Teil durch Patches behoben werden. Da der Internet-Explorer zusätzlich noch der verbreitetste Browser ist, ist er in doppelter Hinsicht beliebtes Angriffsziel.
Es wäre also prinzipiell eine gute Idee, dieses Stück sicherheitskritische Software stillzulegen. Trotzdem ist es nicht immer zu empfehlen den Internet-Explorer gänzlich vom System zu entfernen, da er für zahlreiche Aktionen benötigt wird, u.a. Windows-Hilfe anzeigen, Windows-Update ausführen, u.a. Dingen.
Eine mögliche Lösung:
Diese Lösung für das Problem ist sehr einfach (was nicht heißt, dass ich selbst drauf gekommen wäre; Oliver Schad, Jürgen P. Meier und Stefan Kanthak sind die Verantwortlichen): Man stellt im Internet-Explorer einen Proxy ein, der nicht existiert, also z.B. den eigenen Rechner, auf dem normalerweise kein Proxy läuft. Somit landen alle Anfragen des Internet-Explorers im Nirwana und er funktioniert nicht mehr. Um das Windows-Update zu ermöglichen ist es zusätzlich notwendig, eine Liste von Zielen zu definieren, für die nicht(!) der Proxy, der in unserem Fall ja nicht funktionieren darf, benutzt werden soll.
Diese httpReg-Datei nimmt automatisch alle erforderlichen Einstellungen in der Windows-Registry vor. Die Datei ist kommentiert, so dass man die Einstellungen auch nachvollziehen kann. Wenn man diese Datei heruntergeladen hat, wird man nach Doppelklick auf diese Datei gefragt, ob man die Informationen der Registry hinzufügen möchte. Dem sollte man sinnvollerweise zustimmen, wenn man die Einstellungen wirksam werden lassen möchte. :-)
Wichtige Hinweise zur RegDatei:
Die Einstellungen werden als Administrator für alle(!) Benutzer des Rechners global festgelegt. Normale Benutzer (ohne Administrator-Rechte) können diese Einstellungen nicht mehr ändern. So kann niemand ungefragt den Internet-Explorer für's Browsen benutzen, es sei denn der Administrator erlaubt es. Sinn macht das ganze also nur, wenn man auch die verschiedenen Benutzerrechte des Systems nutzt; sind alle Administrator bzw. arbeitet man immer als Administrator, macht das ganze wenig Sinn.
Lokal gespeicherte Dateien zeigt der IE weiterhin an, auch solche Dateien, die Sicherheitslücken ausnutzen könnten. Z.B. kann man sich vorstellen, dass man per Email eine Datei bekommt, die eine Sicherheitslücke im Internet-Explorer ausnutzen kann. Benutzt man zur Anzeige den Internet-Explorer, hat man trotzdem verloren. Allerdings kann der Administrator die Sicherheitseinstellungen des Internet-Explorers durch die Einstellungen der httpReg-Datei nun global definieren.
Die Ausnahmeliste definiert die Ziele, die man trotzdem erreichen können soll. Voreingestellt sind alle Rechner, die der Internet-Explorer beim Windows-Update ansteuert. Im Laufe der Zeit könnte sich jedoch an dieser Stelle etwas verändern. Falls etwas nicht funktioniert, wäre ich für einen Hinweis dankbar. Außerdem gibt es Software, die darauf besteht den Internet-Explorer zu benutzen, beispielsweise die Update-Funktion des Virenscanners von Kaspersky. Will man solche Software nutzen (nein, ich bin kein Freund von Virenscannern), muss man die Ausnahmeliste als Administrator erweitern oder die Reg-Datei ändern und erneut importieren.
Einstellungen ändern: Im Internet-Explorer Extras->Internetoptionen->Verbindungen->LAN-Einstellungen. Will man prüfen, ob etwas nicht funktioniert, auf Grund der Proxy-Einstellungen, das Häkchen bei "Proxyserver für LAN verwenden" entfernen. Im gleichen Menü findet man auch die Ausnahmeliste.
Wie findet man heraus, welche Ausnahmen noch hinzugefügt werden müssen, falls was nicht funktioniert? Ich benutze dazu Wireshark und lasse mir nur DNS-Abfragen anzeigen. Ich hab dazu eine kleine Anleitung bereitgestellt. Der Zugriff auf die Netzwerkschnittstelle per httpWireshark funktioniert übrigens nur mit Adminstrator-Rechten, was auch gut so ist. Zudem sollte einem bewusst sein, dass Wireshark, bzw. ehemals Ethereal ein sicherheitstechnischer Misthaufen ist. Updates bitte regelmäßig installieren.
Mit freundlicher (GNU) Genehmigung von: http://oschad.de/wiki/