Registrierungseinträge für Internet Explorer-Sicherheitszonen für erweiterte Benutzer

  • Artikel
  • 13 Minuten Lesedauer

Wichtig

Die Internet Explorer 11-Desktopanwendung wird für bestimmte Versionen von Windows 10 eingestellt und ab dem 15. Juni 2022 nicht mehr unterstützt.

Sie können mit dem Internet Explorer-Modus in Microsoft Edge weiterhin auf ältere Websites zugreifen, für die Internet Explorer erforderlich ist. Anleitung.

Die Internet Explorer 11-Desktopanwendung wird schrittweise an den schnelleren, sichereren Microsoft Edge-Browser umgeleitet und letztendlich über Windows Update deaktiviert werden. Deaktivieren von IE heute.

In diesem Artikel wird beschrieben, wie und wo Internet Explorer-Sicherheitszonen und Datenschutzeinstellungen in der Registrierung gespeichert und verwaltet werden. Sie können Gruppenrichtlinien oder das Microsoft Internet Explorer Administration Kit (IEAK) verwenden, um Sicherheitszonen und Datenschutzeinstellungen festzulegen.

Ursprüngliche Produktversion:   Internet Explorer 9, Internet Explorer 10
Ursprüngliche KB-Nummer:   182569

Datenschutzeinstellungen

Internet Explorer 6 und höhere Versionen haben eine Registerkarte "Datenschutz" hinzugefügt, um Benutzern mehr Kontrolle über Cookies zu geben. Diese Registerkarte (wählen Sie Extras und dann Internetoptionen aus) bietet Flexibilität beim Blockieren oder Zulassen von Cookies, basierend auf der Website, von der das Cookie stammt, oder dem Cookietyp. Zu den Arten von Cookies gehören Cookies von Erstanbietern, Cookies von Drittanbietern und Cookies, die nicht über eine kompakte Datenschutzrichtlinie verfügen. Diese Registerkarte enthält auch Optionen zum Steuern von Websiteanforderungen für physische Standortdaten, zum Blockieren von Popups und zum Ausführen von Symbolleisten und Erweiterungen, wenn das InPrivate-Browsen aktiviert ist.

Es gibt verschiedene Datenschutzebenen in der Internetzone, und sie werden in der Registrierung am selben Speicherort wie die Sicherheitszonen gespeichert.

Sie können auch eine Website hinzufügen, um Cookies basierend auf der Website zu aktivieren oder zu blockieren, unabhängig von der Datenschutzrichtlinie auf der Website. Diese Registrierungsschlüssel werden im folgenden Registrierungsunterschlüssel gespeichert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Domänen, die als verwaltete Website hinzugefügt wurden, werden unter diesem Unterschlüssel aufgeführt. Diese Domänen können einen der folgenden DWORD-Werte enthalten:

0x00000005 – Immer blockieren
0x00000001 – Immer zulassen

Sicherheitszoneneinstellungen

Benutzer können für jede Zone steuern, wie Internet Explorer Elemente mit höherem Risiko behandelt, z. B. ActiveX Steuerelemente, Downloads und Skripts. Internet Explorer-Sicherheitszoneneinstellungen werden unter den folgenden Registrierungsunterschlüsseln gespeichert:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Diese Registrierungsschlüssel enthalten die folgenden Schlüssel:

  • TemplatePolicies
  • ZoneMap
  • Zonen

Hinweis

Standardmäßig werden die Einstellungen für Sicherheitszonen in der  HKEY_CURRENT_USER   Registrierungsunterstruktur gespeichert. Da diese Unterstruktur für jeden Benutzer dynamisch geladen wird, wirken sich die Einstellungen für einen Benutzer nicht auf die Einstellungen für einen anderen Benutzer aus.

Wenn die Einstellung  "Sicherheitszonen: Nur Computereinstellungen verwenden"   in der Gruppenrichtlinie aktiviert ist oder der  Security_HKLM_only   DWORD-Wert vorhanden ist und im folgenden Registrierungsunterschlüssel den Wert 1 aufweist, werden nur lokale Computereinstellungen verwendet, und alle Benutzer haben dieselben Sicherheitseinstellungen:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Wenn die Security_HKLM_only Richtlinie aktiviert ist, werden HKLM-Werte von Internet Explorer verwendet. Die HKCU-Werte werden jedoch weiterhin in den Zoneneinstellungen auf der Registerkarte "Sicherheit"   in Internet Explorer angezeigt. In Internet Explorer 7 wird auf der Registerkarte "Sicherheit"   des Dialogfelds "Internetoptionen" die folgende Meldung   angezeigt, um anzugeben, dass die Einstellungen vom Systemadministrator verwaltet werden:

Einige Einstellungen werden von Ihrem Systemadministrator verwaltet.   Wenn die Einstellung  "Sicherheitszonen: Nur Computereinstellungen verwenden" in der Gruppenrichtlinie nicht aktiviert ist oder wenn der  Security_HKLM_only   DWORD-Wert nicht vorhanden oder auf 0 festgelegt ist, werden Computereinstellungen zusammen mit Benutzereinstellungen verwendet. In den Internetoptionen werden jedoch nur Benutzereinstellungen angezeigt. Wenn z. B. dieser DWORD-Wert nicht vorhanden ist oder auf 0 festgelegt ist,  HKEY_LOCAL_MACHINE   werden Einstellungen zusammen mit  HKEY_CURRENT_USER   Einstellungen gelesen, aber nur  HKEY_CURRENT_USER   Einstellungen werden in den Internetoptionen angezeigt.

TemplatePolicies

Der  TemplatePolicies   Schlüssel bestimmt die Einstellungen der Standardsicherheitszonenebenen. Diese Stufen sind Niedrig, Mittel Niedrig, Mittel und Hoch. Sie können die Einstellungen für die Sicherheitsstufe aus den Standardeinstellungen ändern. Sie können jedoch keine weiteren Sicherheitsebenen hinzufügen. Die Schlüssel enthalten Werte, die die Einstellung für die Sicherheitszone bestimmen. Jeder Schlüssel enthält einen Wert für die Beschreibungszeichenfolge und einen Zeichenfolgenwert für den Anzeigenamen, die den Text bestimmen, der auf der Registerkarte "Sicherheit" für jede Sicherheitsstufe angezeigt wird.

ZoneMap

Der ZoneMap Schlüssel enthält die folgenden Schlüssel:

  • Domänen
  • EscDomains
  • ProtocolDefaults
  • Bereiche

Der  Domains   Schlüssel enthält Domänen und Protokolle, die hinzugefügt wurden, um ihr Verhalten vom Standardverhalten zu ändern. Wenn eine Domäne hinzugefügt wird, wird dem Schlüssel ein  Domains   Schlüssel hinzugefügt. Unterdomänen werden als Schlüssel unter der Domäne angezeigt, zu der sie gehören. Jeder Schlüssel, der eine Domäne auflistet, enthält ein DWORD mit einem Wertnamen des betroffenen Protokolls. Der Wert von DWORD ist identisch mit dem numerischen Wert der Sicherheitszone, in der die Domäne hinzugefügt wird.

Der  EscDomains   Schlüssel ähnelt dem Domänenschlüssel, mit der Ausnahme, dass der  EscDomains   Schlüssel für die Protokolle gilt, die von der erweiterten Sicherheitskonfiguration (Enhanced Security Configuration, IE ESC) von Internet Explorer betroffen sind. IE ESC wurde in Microsoft Windows Server 2003 eingeführt und gilt nur für Serverbetriebssysteme.

Der  ProtocolDefaults   Schlüssel gibt die Standardsicherheitszone an, die für ein bestimmtes Protokoll (ftp, http, https) verwendet wird. Um die Standardeinstellung zu ändern, können Sie entweder ein Protokoll zu einer Sicherheitszone hinzufügen, indem Sie auf der Registerkarte "Sicherheit" die Option "Websites hinzufügen" auswählen   oder einen ****   DWORD-Wert unter dem Schlüssel "Domänen" hinzufügen. Der Name des DWORD-Werts muss mit dem Protokollnamen übereinstimmen und darf keine Doppelpunkte enthalten (:) oder Schrägstriche (/).

Der  ProtocolDefaults   Schlüssel enthält auch DWORD-Werte, die die Standardsicherheitszonen angeben, in denen ein Protokoll verwendet wird. Sie können die Steuerelemente auf der Registerkarte "Sicherheit" nicht   verwenden, um diese Werte zu ändern. Diese Einstellung wird verwendet, wenn eine bestimmte Website nicht in eine Sicherheitszone fällt.

Der  Ranges   Schlüssel enthält Bereiche von TCP/IP-Adressen. Jeder von Ihnen angegebene TCP/IP-Bereich wird in einem willkürlich benannten Schlüssel angezeigt. Dieser Schlüssel enthält einen  :Range   Zeichenfolgenwert, der den angegebenen TCP/IP-Bereich enthält. Für jedes Protokoll wird ein DWORD-Wert hinzugefügt, der den numerischen Wert der Sicherheitszone für den angegebenen IP-Bereich enthält.

Wenn die Urlmon.dll Datei die öffentliche MapUrlToZone-Funktion verwendet, um eine bestimmte URL in eine Sicherheitszone aufzulösen, wird eine der folgenden Methoden verwendet:

  • Wenn die URL einen vollqualifizierten Domänennamen (FQDN) enthält, wird der Domänenschlüssel verarbeitet.

    Bei dieser Methode überschreibt eine genaue Websiteübersprechung eine zufällige Übereinstimmung.

  • Wenn die URL eine IP-Adresse enthält, wird der  Ranges   Schlüssel verarbeitet. Die IP-Adresse der URL wird mit dem  :Range   Wert verglichen, der in den willkürlich benannten Schlüsseln unter dem Schlüssel enthalten  Ranges   ist.

Hinweis

Da willkürlich benannte Schlüssel in der Reihenfolge verarbeitet werden, in der sie der Registrierung hinzugefügt wurden, findet diese Methode möglicherweise eine zufällige Übereinstimmung, bevor eine Übereinstimmung gefunden wird. Wenn diese Methode zuerst eine zufällige Übereinstimmung findet, kann die URL in einer anderen Sicherheitszone als der Zone ausgeführt werden, in der sie normalerweise zugewiesen ist. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Zonen

Der  Zones   Schlüssel enthält Schlüssel, die die einzelnen Sicherheitszonen darstellen, die für den Computer definiert sind. Standardmäßig sind die folgenden fünf Zonen definiert (nummeriert null bis vier):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Hinweis

Standardmäßig wird "Mein Computer" nicht im Feld "Zone" auf der Registerkarte "Sicherheit" angezeigt, da er gesperrt ist, um die Sicherheit zu verbessern.

Jeder dieser Schlüssel enthält die folgenden DWORD-Werte, die entsprechende Einstellungen auf der benutzerdefinierten Registerkarte "Sicherheit" darstellen.

Hinweis

Sofern nicht anders angegeben, ist jeder DWORD-Wert gleich Null, 1 oder 3. In der Regel wird durch eine Einstellung von Null eine bestimmte Aktion als zulässig festgelegt, eine Einstellung von 1 bewirkt, dass eine Eingabeaufforderung angezeigt wird, und eine Einstellung von drei verbietet die spezifische Aktion.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Hinweise zu 1200, 1A00, 1A10, 1E05, 1C00 und 2000

Die folgenden beiden Registrierungseinträge wirken sich darauf aus, ob Sie ActiveX Steuerelemente in einer bestimmten Zone ausführen können:

  • 1200 Dieser Registrierungseintrag wirkt sich darauf aus, ob Sie ActiveX Steuerelemente oder Plug-Ins ausführen können.
  • 2000 Dieser Registrierungseintrag steuert binäres Verhalten und Skriptverhalten für ActiveX Steuerelemente oder Plug-Ins.

Hinweise zu 1A02, 1A03, 1A05 und 1A06

Die folgenden vier Registrierungseinträge werden nur wirksam, wenn die folgenden Schlüssel vorhanden sind:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Drittanbietercookie *

Registrierungseinträge

  • 1A02 Zulassen persistenter Cookies, die auf Ihrem Computer gespeichert sind #
  • 1A03 Zulassen von Sitzungscookies (nicht gespeichert) #
  • 1A05 Allow third party persistent cookies *
  • 1A06 Allow third party session cookies *

Diese Registrierungseinträge befinden sich im folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

In diesem Registrierungsunterschlüssel <ZoneNumber> ist eine Zone wie 0 (null). Der 1200 Registrierungseintrag und der 2000 Registrierungseintrag enthalten jeweils eine Einstellung mit dem Namen "Administrator genehmigt". Wenn diese Einstellung aktiviert ist, wird der Wert für den jeweiligen Registrierungseintrag auf 00010000 festgelegt. Wenn die vom Administrator genehmigte Einstellung aktiviert ist, überprüft Windows den folgenden Registrierungsunterschlüssel, um eine Liste der genehmigten Steuerelemente zu finden:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Die Anmeldeeinstellung (1A00) kann einen der folgenden Werte haben (hexadezimal):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Privacy Einstellungen (1A10) wird vom Schieberegler der Registerkarte "Datenschutz" verwendet. Die DWORD-Werte sind wie folgt:

Alle Cookies blockieren: 00000003
Hoch: 00000001
Mittel hoch: 00000001
Mittel: 00000001
Niedrig: 00000001
Alle Cookies akzeptieren: 00000000

Basierend auf den Einstellungen im Schieberegler werden auch die Werte in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} oder beide geändert.

Die Java-Berechtigungseinstellung (1C00) hat die folgenden fünf möglichen Werte (binär):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Wenn "Benutzerdefiniert" ausgewählt ist, wird {7839DA25-F5FE-11D0-883B-0080C726DCBB} (das sich am selben Registrierungsspeicherort befindet) verwendet, um die benutzerdefinierten Informationen in einer Binärdatei zu speichern.

Jede Sicherheitszone enthält den Zeichenfolgenwert Description und den Zeichenfolgenwert Anzeigename. Der Text dieser Werte wird auf der Registerkarte "Sicherheit" angezeigt, wenn Sie eine Zone im Feld "Zone" auswählen. Es gibt auch einen Symbolzeichenfolgenwert, der das Symbol festlegt, das für jede Zone angezeigt wird. Mit Ausnahme der Zone "Mein Computer" enthält jede Zone einen  CurrentLevelMinLevel , und  RecommendedLevel   DWORD-Wert. Der  MinLevel   Wert legt die niedrigste Einstellung fest, die verwendet werden kann, bevor Sie eine Warnmeldung erhalten,  CurrentLevel   ist die aktuelle Einstellung für die Zone und  RecommendedLevel   ist die empfohlene Ebene für die Zone.

Welche Werte für  MinlevelRecommendedLevel , und bedeuten  CurrentLevel   Folgendes:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Der  Flags   DWORD-Wert bestimmt die Fähigkeit des Benutzers, die Eigenschaften der Sicherheitszone zu ändern. Um den Wert zu  Flags   ermitteln, fügen Sie die Nummern der entsprechenden Einstellungen zusammen hinzu. Die folgenden  Flags   Werte sind verfügbar (dezimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Wenn Sie Einstellungen sowohl zu E als auch  HKEY_LOCAL_MACHIN zu den  HKEY_CURRENT_USER   Unterstrukturen hinzufügen, sind die Einstellungen additiv. Wenn Sie websites zu beiden Unterstrukturen hinzufügen, sind nur diese Websites in der  HKEY_CURRENT_USER   sichtbar. Die Websites in der  HKEY_LOCAL_MACHINE   Unterstruktur werden weiterhin gemäß ihren Einstellungen erzwungen. Sie sind jedoch nicht verfügbar, und Sie können sie nicht ändern. Diese Situation kann verwirrend sein, da eine Website möglicherweise nur in einer Sicherheitszone für jedes Protokoll aufgeführt ist.

References

Weitere Informationen zu Änderungen der Funktionalität in Microsoft Windows XP Service Pack 2 (SP2) finden Sie auf der folgenden Microsoft-Website:

Teil 5: Verbesserte Browsersicherheit

Weitere Informationen zu URL-Sicherheitszonen finden Sie auf der folgenden Microsoft-Website:

Informationen zu URL-Sicherheitszonen

Weitere Informationen zum Ändern der Internet Explorer-Sicherheitseinstellungen finden Sie auf der folgenden Microsoft-Website:

Ändern der Sicherheits- und Datenschutzeinstellungen für Internet Explorer 11

Weitere Informationen zur Zonensperre für lokale Computer in Internet Explorer finden Sie auf der folgenden Microsoft-Website:

Sperrung der Zone des lokalen Computers in Internet Explorer

Weitere Informationen zu Werten, die den Aktionen zugeordnet sind, die in einer URL-Sicherheitszone ausgeführt werden können, finden Sie unter URL-Aktionsflags.