• Erklärung
  • Mögliche Werte
  • Empfehlung
  • Links: W3C P3P Validator Google Bypassing User Privacy Settings Cookie Scanning with Fiddler Mögliche Werte
  • Mögliche Werte: Kombinationen von sicheren Protokollen
  • SmartScreen-Filter aktivieren




    Download 1,43 Mb.
    bet25/29
    Sana20.09.2020
    Hajmi1,43 Mb.
    #11491
    1   ...   21   22   23   24   25   26   27   28   29

    SmartScreen-Filter aktivieren






    GUI Name: SmartScreen-Filter aktivieren / Enable SmartScreenFilter

    Policy Name: Verwalten von SmartScreen-Filter deaktivieren / Turn off Managing SmartScreen Filter

    Supported On: Mindestens Internet Explorer 8.0

    Kategorie Pfad: [Computer|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\

    Registry Schlüssel: [HKLM|HKCU]\Software\[Policies\]Microsoft\Internet Explorer\PhishingFilter

    Registry Wert: EnabledV[8|9] [Anm.: IE8=8, IE9/10=9]

    Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=569

    Erklärung:


    Hinweis: Die Group Policy verhält sich umgekehrt zum UI Setting, siehe Beschreibung bzw. Name des Settings/GP!

    Mit dieser Richtlinieneinstellung können Benutzer einen SmartScreen-Filter aktivieren. Dieser Filter gibt eine Warnung beim Besuch von Websites aus, die bekanntermaßen versuchen, durch arglistige Täuschung persönliche Informationen zu erschleichen, oder Malware enthalten.

    Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Benutzer nicht dazu aufgefordert, den SmartScreen-Filter zu aktivieren. Sie müssen angeben, welchen Modus der SmartScreen-Filter verwenden soll: ein oder aus.

    Wenn Sie das Feature einschalten, werden alle Websiteadressen, die nicht in der Liste der zugelassenen Sites des Filters enthalten sind, automatisch an Microsoft gesendet, ohne dass die Benutzer dazu aufgefordert werden.

    Wenn Sie das Feature ausschalten oder die Richtlinieneinstellung nicht konfigurieren, werden die Benutzer bei der ersten Ausführung aufgefordert, den Betriebsmodus für den SmartScreen-Filter auszuwählen.

    Vgl. „Zone Settings in Deep: 41. SmartScreen-Filter verwenden“.


    Beispiel:


    http://www.ie8demos.com/tryit/ => „SmartScreen® Filter“
    Vgl.: SmartScreen-Filter verwenden und Umgehung der SmartScreen-Filterwarnungen verhindern

    Mögliche Werte:


    0 =>

    1 =>


    Empfehlung:


    Dieses Setting ist der globale Schalter um den SmartScreen Filter zu (de)aktivieren. Unsere Empfehlung hier ist, dass der SmartScreen Filter aktiviert ist und die Verwendung über die Zonenkonfigurationen eingeschränkt werden. Wir raten davon ab den SmartScreen Filter für zumindest die Restricted Sites Zone und die Internet Zone zu deaktivieren.
    1. Strikte P3P-Überprüfung aktivieren


    GUI Name: Strikte P3P-Überprüfung aktivieren / Enable Strict P3P Validation

    Supported On: Mindestens Internet Explorer 10.0

    Registry Schlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\

    Registry Wert: EnforceP3PValidity

    Erklärung:


    Auszug aus Google Bypassing User Privacy Settings:

    In den Standardeinstellungen von IE werden Cookies von Drittanbietern blockiert, es sei denn, die Website verfügt über eine P3P-Richtlinienanweisung, die darauf hinweist, wie die Cookies verwendet werden und dass die Aktivitäten des Benutzers nicht durch den Aufruf der Website nachverfolgt werden. Aufgrund der P3P-Richtlinie von manchen Anbietern werden die Cookies in Internet Explorer akzeptiert, obwohl die Richtlinie nicht über die Absichten des Anbieters informiert.


    Bei P3P, einer offiziellen Empfehlung des W3C-Gremiums für Webstandards, handelt es sich um eine Webtechnologie, die von allen Browsern und Websites unterstützt werden kann. Mit P3P kann für Website beschrieben werden, welche Absicht hinter der Verwendung von Cookies und Benutzerdaten steht. Durch die Unterstützung von P3P können Browser Cookies entsprechend der Datenschutzeinstellungen der Benutzer und den auf der Website angegebenen Absichten blockieren oder zulassen.
    Es sollte angemerkt werden, dass die Benutzer nicht einfach auf die P3P-Richtlinien zugreifen können. Diese Richtlinien werden mithilfe von HTTP-Headern von der Website direkt an den Webbrowser gesendet. Nur technisch versierte Personen, die über spezielle Tools wie den Cookie-Inspektor von Fiddler verfügen, können die P3P-Beschreibung anzeigen. Die P3P-Richtlinienanweisung der Website „Microsoft.com“ lauten beispielsweise folgendermaßen:
    P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
    Für einen P3P-kompatiblen Webbrowser hat jedes Token (z. B. ALL, IND) eine spezielle Bedeutung. „SAMo“ bedeutet beispielsweise „Wir [die Website] geben Informationen an juristische Personen weiter“, und „TAI“ gibt an: „Informationen können dazu verwendet werden, den Inhalt oder das Design der Website während eines einzelnen Besuchs entsprechend auf den Besucher zuzuschneiden bzw. zu ändern, werden jedoch nicht für zukünftige Anpassungen genutzt.“ Die Feinheiten des Datenschutzes sind kompliziert, und auch der P3P-Standard ist komplex. Weitere Informationen zu P3P finden Sie hier.
    Aus technischer Sicht verwenden manche Anbieter eine Nische in der P3P-Spezifikation, die dazu führt, dass die Benutzereinstellungen für Cookies umgangen werden. Die P3P-Spezifikation besagt (als Versuch, Raum für zukünftige Verbesserungen an Datenschutzrichtlinien zu lassen), dass nicht definierte Richtlinien von Browsern ignoriert werden sollen. Diese Anbieter senden eine P3P-Richtlinie, die den Browser nicht über die Verwendung von Cookies und Benutzerdaten durch den Anbieter informiert. Die P3P-Richtlinie eines solchen Anbieters kann in Wirklichkeit eine Anweisung sein, bei der es sich nicht um eine P3P-Richtlinie handelt. Sie soll von Menschen gelesen werden. P3P-Richtlinien sollen jedoch von Browsern „gelesen“ werden, z.B.: 
    P3P: CP="This is not a P3P policy! See http://www.boeseranbieter.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
    P3P-kompatible Browser interpretieren eine solche Richtlinie so, als stünde hinter der Verwendung des Cookies weder eine Nachverfolgungsabsicht noch ein sonstiger Zweck. Mithilfe dieses Texts umgeht der Anbieter den Cookie-Schutz und ermöglicht so, dass Cookies von Drittanbietern zugelassen anstatt blockiert werden. Die P3P-Spezifikation („4.2 Compact Policy Vocabulary“) ruft für die Verarbeitung unbekannter Tokens das implementierte Verhalten von IE auf: “If an unrecognized token appears in a compact policy, the compact policy has the same semantics as if that token was not present.”

    Auch der Abschnitt „3.2 Policies“ der P3P-Spezifikation ist bemerkenswert:



    3.2 Policies

    In cases where the P3P vocabulary is not precise enough to describe a Web site's practices, sites should use the vocabulary terms that most closely match their practices and provide further explanation in the CONSEQUENCE field and/or their human-readable policy. However, policies MUST NOT make false or misleading statements.
    P3P ist für Websites ausgelegt, die ihre Datenschutzabsichten übermitteln.

    Dieses Setting verhindert das Ausnutzen der o.g. Schwachstelle im P3P Standard.


    Links:


    W3C P3P Validator

    Google Bypassing User Privacy Settings

    Cookie Scanning with Fiddler

    Mögliche Werte:


    0 =>

    1 =>


    Empfehlung:


    Sofern sich alle Business-relevanten Webseiten korrekt an das P3P Protokoll halten, spricht nichts dagegen das Feature zu aktivieren um einem Missbrauch vorzubeugen.

    Es gibt allerdings eine Reihe von Webseiten, die sich ohne böse Absicht nicht korrekt an das P3P Format halten. Daher sollte vor dem Aktivieren sichergestellt werden, dass keine wichtigen Seiten bzw. deren Features eingeschränkt werden.


    1. SSL 2.0 verwenden


    GUI Name: SSL 2.0 verwenden / Use SSL 2.0

    Policy Name: Unterstützung der Verschlüsselung deaktivieren / Turn off Encryption Support

    Supported On: Mindestens Internet Explorer 8.0

    Kategorie Pfad: [Computer|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"\

    Registry Schlüssel: [HKLM|HKCU]\Software\[Policies\]Microsoft\Windows\CurrentVersion\Internet Settings

    Registry Wert: SecureProtocols

    Policy URL: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=380

    Erklärung:


    Mithilfe dieser Richtlinieneinstellung können Sie im Browser die Unterstützung für TLS 1.0 (Transport Layer Security), SSL 2.0 oder SSL 3.0 (Secure Sockets Layer) deaktivieren. TLS und SSL sind Protokolle für den Schutz der Kommunikation zwischen dem Browser und dem Zielserver. Wenn der Browser versucht eine gesicherte Übertragung mit dem Zielserver einzurichten, wird das zu verwendende Protokoll und die Version von Browser und Server gemeinsam festgelegt. Browser und Server versuchen, ihre Listen der unterstützten Protokolle und Versionen abzugleichen und wählen dann die bevorzugte Übereinstimmung.
    Wenn Sie diese Richtlinieneinstellung aktivieren, versucht der Browser einen Verschlüsselungstunnel mit den Verschlüsselungsmethoden auszuhandeln, die Sie in der Dropdownliste ausgewählt haben.
    Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Benutzer die vom Browser unterstützte Verschlüsselungsmethode auswählen.
    HINWEIS:

    SSL 2.0 ist standardmäßig deaktiviert. SSL 2.0 ist ein veraltetes Sicherheitsprotokoll, dessen Aktivierung die Leistung und Funktionalität von TLS 1.0 beeinträchtigt.

    TLS 1.1 und TLS 1.2 stehen erst ab Windows 7 zur Verfügung, da die Verschlüsselungsmechanismen vom Betriebssystem bereitgestellt werden und nicht durch die verwendete Internet Explorer Version.


    Mögliche Werte: Kombinationen von sicheren Protokollen

    0 => Keine sicheren Protokolle verwenden

    8 => Nur SSL 2.0 verwenden

    32 => Nur SSL 3.0 verwenden

    40 => SSL 2.0 und SSL 3.0 verwenden

    128 => Nur TLS 1.0 verwenden

    136 => SSL 2.0 und TLS 1.0 verwenden

    160 => SSL 3.0 und TLS 1.0 verwenden

    168 => SSL 2.0, SSL 3.0, und TLS 1.0 verwenden

    512 => Nur TLS 1.1 verwenden

    520 => SSL 2.0 und TLS 1.1 verwenden

    544 => SSL 3.0 und TLS 1.1 verwenden

    552 => SSL 2.0, SSL 3.0 und TLS 1.1 verwenden

    640 => TLS 1.0 und TLS 1.1 verwenden

    648 => SSL 2.0, TLS 1.0 und TLS 1.1 verwenden

    672 => SSL 3.0, TLS 1.0 und TLS 1.1 verwenden

    680 => SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1 verwenden

    2048 => Nur TLS 1.2 verwenden

    2056 => SSL 2.0 und TLS 1.2 verwenden

    2080 => SSL 3.0 und TLS 1.2 verwenden

    2088 => SSL 2.0, SSL 3.0 und TLS 1.2 verwenden

    2176 => TLS 1.0 und TLS 1.2 verwenden

    2184 => SSL 2.0, TLS 1.0 und TLS 1.2 verwenden

    2208 => SSL 3.0, TLS 1.0 und TLS 1.2 verwenden

    2216 => SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.2 verwenden

    2560 => TLS 1.1 und TLS 1.2 verwenden

    2568 => SSL 2.0, TLS 1.1 und TLS 1.2 verwenden

    2592 => SSL 3.0, TLS 1.1 und TLS 1.2 verwenden

    2600 => SSL 2.0, SSL 3.0, TLS 1.1 und TLS 1.2 verwenden

    2688 => TLS 1.0, TLS 1.1 und TLS 1.2 verwenden

    2696 => SSL 2.0, TLS 1.0, TLS 1.1 und TLS 1.2 verwenden

    2720 => SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2 verwenden

    2728 => SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2 verwenden


    Empfehlung:


    Da noch nicht jeder Webserver die Protokolle TLS 1.1 und 1.2 implementiert hat (bis jetzt nur IIS7.5 und neuer), sollte derzeit nur SSL3.0 und TLS1.0 aktiviert sein (Wert: 160). Sollte sich die Verbreitung von TLS1.1 und 1.2 ändern, so sollte sich dies entsprechend auch auf die Einstellung dieses Setting auswirken.

    1. Download 1,43 Mb.
    1   ...   21   22   23   24   25   26   27   28   29




    Download 1,43 Mb.