Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist
GUI Name: Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist / Allow software to run or install even if the signature is invalid
Policy Name: Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist / Allow software to run or install even if the signature is invalid
Supported On: At least Internet Explorer 6.0 in Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1
Kategorie Pfad: [Machine|User] Configuration\Administrative Templates\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"\
Registry Schlüssel: [HKLM|HKCU]\Software\[Policies\]Microsoft\Internet Explorer\Download
Registry Wert: RunInvalidSignatures
Policy URL: http://gps.cloudapp.net/Default.aspx?PolicyID=394
Erklärung:
Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob Software wie ActiveX-Steuerelemente oder Softwaredownloads auch dann installiert oder vom Benutzer ausgeführt werden können, wenn die Signatur ungültig ist. Eine ungültige Signatur kann darauf hindeuten, dass die Datei manipuliert wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Benutzer vor dem Installieren oder Ausführen von Dateien mit ungültigen Signaturen dazu aufgefordert, diesen Vorgang zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer Dateien mit ungültigen Signaturen nicht ausführen oder installieren.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können die Benutzer auswählen, ob sie Dateien mit ungültigen Signaturen ausführen oder installieren möchten oder nicht.
Mögliche Werte:
0 =>
1 =>
Empfehlung:
Auch wenn ein normaler User i.d.R. nicht die Berechtigung besitzt Software zu installieren, sollte das Setting aktiviert bleiben.
Auf gesperrte Zertifikate von Herausgebern überprüfen
GUI Name: Auf gesperrte Zertifikate von Herausgebern überprüfen / Check for publisher’s certificate revocation
Supported On: At least Internet Explorer 8.0
Registry Schlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\
Registry Wert: State
Erklärung:
Ein Zertifikats-Herausgeber hat die Möglichkeit einmal ausgestellte Zertifikate, die eigentlich noch gültig sind [insb. bzgl. Ablaufdatum], für ungültig zu erklären / zurückzuziehen.
Dazu wird die in einem Zertifikat hinterlegte sog. Certificate Revocation List (CRL) über https angefordert und ausgewertet. Wenn das aktuelle Zertifikat auf dieser Liste als zurückgezogen markiert ist, so behandelt der Internet Explorer das Zertifikat so, als wäre es nicht (mehr) gültig.
Vgl.:
Chapter 6 - Digital Certificates http://technet.microsoft.com/en-us/library/dd361898.aspx
Mögliche Werte:
Der Wert State wird mit 0x200(512) addiert bzw. subtrahiert um das Setting zu setzen. Daher ist es auch umständlich hier eine custom Policy zu setzen.
Empfehlung:
Sofern die Infrastruktur (Firewall, Proxy, Gateway, etc) das Abrufen von CRLs unterstützt, sollte dieses Setting aus Sicherheitsgründen aktiviert werden/bleiben. Sollte die Infrastruktur dies jedoch nicht unterstützen, so würde ein Aufruf einer durch Zertifikate geschützten Webseite unnötig verzögert oder gänzlich verhindert. In einem solchen Fall sollte das Setting deaktiviert werden. Jedoch muss dann der Rest der Infrastruktur sicherstellen, dass keine gefährlichen Seiten besucht werden können.
Unsere Empfehlung sieht daher so aus, dass das Setting aktiviert sein sollte und die Infrastruktur das Abrufen von CRLs unterstützt.
|