Partager via


ActiveX per-site aus Unternehmenssicht

Heute möchte ich über ein neues Feature des Internet Explorer 8 sprechen:

ActiveX per-site Controls

Es ist möglich, über die Zonen Settings (und ggf. der dazugehörigen GPO) "Only allow approved domains to use ActiveX controls without prompt"  einzuschalten.

Dies bewirkt, dass bevor eine Seite ein ActiveX Control lädt/benutzt, eine sog. "Gold bar" angezeigt wird, über die der User bestimmen kann, ob das ActiveX Control für diese oder für alle Webseiten gestartet werden soll (Wichtig: dieses Einstellung gilt auch für die Zukunft!):

ActiveX Control dialog

Nun ist es so, dass in Enterprise/Firmen Umgebungen es nicht gewollt ist, dass User eine solche Entscheidung treffen können soll(t)en.

Hierfür steht leider keine dedizierte GPO zur Verfügung, aber man kann trotzdem erreichen, dass User einerseits keine (unüberlegte) Entscheidung hinsichtlich eines ActiveX Controls treffen und andererseits nicht durch die (neuen) Gold-Bar's irritiert werden.
Hierzu muss lediglich folgender Registrykey gesetzt werden (z.B. über eine Registry Policy), damit das Erscheinen der Gold-Bar's disabled wird:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SECURITYBAND] "iexplore.exe"=dword:00000000

Hinweis/Wichtig: das Disablen der Gold-Bar kann in bestimmten Situationen dazu führen, dass Probleme nicht oder erst nach längerem Troubleshooten erkannt werden. Daher ist es sinnvoll das Support Personal auf diese Einstellung und die daraus resultierenden Konsequenzen aufmerksam zu machen!

Zwischenstand:

  1. ActiveX Komponenten werden nicht mehr automatisch gestartet

  2. User bekommen keine Gold-Bar angezeigt und können so auch nicht ohne weiteres ein ActiveX starten/zulassen

Was jetzt noch fehlt ist, dass ein Administrator proaktiv bestimmte ActiveX Komponenten für bestimmte Webseiten zulässt.

Hierzu gibt es zwei (bzw. drei) Möglichkeiten, wie dies erreicht werden kann:

  1. Das allgemeine Zulassen einer ActiveX Komponente mittels GPO "Add-on List"

  2. Das Freigeben einer ActiveX Komponente für eine spezifische Seite über die Registry, am Beispiel Silverlight für microsoft.com:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}\iexplore\microsoft.com]
    (Merke: es genügt, dass der Key vorhanden ist. Es ist kein Value notwendig, auch der default value darf leer sein)

  3. FYI: über das Addon Management GUI des IE können diese Einstellungen verringert werden, jedoch ist dies i.d.R. in Unternehmensinstallationen aufgrund der Einstellungen/Policies nicht möglich:

Silverlight Addon Management GUI

Mittels dieser Settings ist es möglich, die Userexperience auf dem höchsten Level zu halten und gleichzeitig Addons nur auf vorgegebenen Seiten zu erlauben, was sowohl die Sicherheit (Security) als auch die Robustheit/Zuverlässigkeit (Safety) des Internet Explorer's erhöht und damit zu dem Erfolg des Unternehmens beiträgt.

-Stephanus

Comments

  • Anonymous
    May 21, 2014
    Pingback from How to use Java in the Enterprise while Limiting Exposure with IE Trusted Sites | Incident Response howto