Auf gesperrte Zertifikate von Herausgebern überprüfen
 
GUI Name: Auf gesperrte Zertifikate von Herausgebern überprüfen / Check for publisher’s certificate revocation
Supported On: Mindestens Internet Explorer 8.0
Registry Schlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\
Registry Wert: State
Erklärung:
Ein Zertifikats-Herausgeber hat die Möglichkeit einmal ausgestellte Zertifikate, die eigentlich noch gültig sind [insb. bzgl. Ablaufdatum], für ungültig zu erklären / zurückzuziehen.
Dazu wird die in einem Zertifikat hinterlegte sog. Certificate Revocation List (CRL) über https angefordert und ausgewertet. Wenn das aktuelle Zertifikat auf dieser Liste als zurückgezogen markiert ist, so behandelt der Internet Explorer das Zertifikat so, als wäre es nicht (mehr) gültig.
Vgl.:
Chapter 6 - Digital Certificates
http://blogs.msdn.com/b/ieinternals/archive/2011/04/07/enabling-certificate-revocation-check-failure-warnings-in-internet-explorer.aspx
Mögliche Werte:
Der Wert State wird mit 0x200(512) addiert bzw. subtrahiert um das Setting zu setzen. Daher ist es auch umständlich hier eine custom Policy zu setzen.
Empfehlung:
Sofern die Infrastruktur (Firewall, Proxy, Gateway, etc) das Abrufen von CRLs unterstützt, sollte dieses Setting aus Sicherheitsgründen aktiviert werden/bleiben. Sollte die Infrastruktur dies jedoch nicht unterstützen, so würde ein Aufruf einer durch Zertifikate geschützten Webseite unnötig verzögert oder gänzlich verhindert. In einem solchen Fall sollte das Setting deaktiviert werden. Jedoch muss dann der Rest der Infrastruktur sicherstellen, dass keine gefährlichen Seiten besucht werden können.
Unsere Empfehlung sieht daher so aus, dass das Setting aktiviert sein sollte und die Infrastruktur das Abrufen von CRLs unterstützt.
Auf gesperrte Serverzertifikate überprüfen
 
GUI Name: Auf gesperrte Serverzertifikate überprüfen / Check for server certificate revocation
Policy Name: Auf gesperrte Serverzertifikate überprüfen / Check for server certificate revocation
Supported On: Mindestens Internet Explorer 6.0 in Windows 2003 Service Pack 1
Kategorie Pfad: [Computer|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"\
Registry Schlüssel: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings
Registry Wert: CertificateRevocation
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=370
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Internet Explorer den Sperrstatus von Serverzertifikaten überprüft. Zertifikate werden gesperrt, wenn sie unrechtmäßig verwendet wurden oder nicht mehr gültig sind. Durch diese Option werden Benutzer davor geschützt, vertrauliche Daten an eine Site zu senden, die nicht sicher oder gefälscht ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, überprüft Internet Explorer, ob die Serverzertifikate gesperrt wurden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, überprüft Internet Explorer nicht, ob die Serverzertifikate gesperrt wurden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft Internet Explorer nicht, ob die Serverzertifikate gesperrt wurden.
Vgl.: http://blogs.msdn.com/b/ieinternals/archive/2011/04/07/enabling-certificate-revocation-check-failure-warnings-in-internet-explorer.aspx
Mögliche Werte:
0 =>
1 => 
Empfehlung:
Sofern die Infrastruktur (Firewall, Proxy, Gateway, etc) das Abrufen von CRLs unterstützt, sollte dieses Setting aus Sicherheitsgründen aktiviert werden/bleiben. Sollte die Infrastruktur dies jedoch nicht unterstützen, so würde ein Aufruf einer durch Zertifikate geschützten Webseite unnötig verzögert oder gänzlich verhindert. In einem solchen Fall sollte das Setting deaktiviert werden. Jedoch muss dann der Rest der Infrastruktur sicherstellen, dass keine gefährlichen Seiten besucht werden können.
Unsere Empfehlung sieht daher so aus, dass das Setting aktiviert sein sollte und die Infrastruktur das Abrufen von CRLs unterstützt.
Signaturen von heruntergeladenen Porgrammen überprüfen
 
GUI Name: Signaturen von heruntergeladenen Porgrammen überprüfen / Check for signatures on downloaded programs
Policy Name: Signaturen von übertragenen Programmen überprüfen / Check for signatures on downloaded programs
Supported On: Mindestens Internet Explorer 6.0 in Windows 2003 Service Pack 1
Kategorie Pfad: [Computer|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"\
Registry Schlüssel: [HKLM|HKCU]\Software\[Policies\]Microsoft\Internet Explorer\Download
Registry Wert: CheckExeSignatures
Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=384
Erklärung:
Mit dieser Richtlinieneinstellung können Sie festlegen, ob Internet Explorer auf Benutzercomputern vor dem Herunterladen von ausführbaren Programmen die digitalen Signaturen überprüft (die den Herausgeber signierter Software bezeichnen und bestätigen, dass die Software nicht verändert oder manipuliert wurde).
Wenn Sie diese Richtlinieneinstellung aktivieren, prüft Internet Explorer vor dem Herunterladen die digitalen Signaturen von ausführbaren Programmen und zeigt ihre Identitäten an.
Wenn Sie diese Richtlinieneinstellung deaktivieren, prüft Internet Explorer vor dem Herunterladen keine digitalen Signaturen von ausführbaren Programmen und zeigt ihre Identitäten auch nicht an.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, prüft Internet Explorer vor dem Herunterladen keine digitalen Signaturen von ausführbaren Programmen und zeigt ihre Identitäten auch nicht an.
Mögliche Werte:
no =>
yes =>
Empfehlung:
Aus Sicherheitsgründen sollte dieses Setting aktiviert sein.
|
