Internet Explorer – Sicherheitszonen via Gruppenrichtlinie und Registry Keys

Selbst wenn Microsoft mittlerweile den EDGE Browser etablieren möchte so ist insbesondere im Unternehmensnetzwerk der durch seine starke Integration in das Betriebssystem unabdinglich. Weiterhin setzt auch Microsoft bei seinen Anwendungen immer mehr auf webbasierte Oberflächen welche SSO (Single Sign-on) Funktionalitäten benötigen. Das beste Beispiel dazu ist zum Beispiel Office 365 oder aber auch Skype for Business oder SharePoint. Dabei wird das durchreichen von Anmeldeinformationen in eine Browsersitzung unter anderem durch die Sicherheitszonen im geregelt. Auch die Ausführung von benötigten Skripten ist standardmäßig durch die Zonen reglementiert.

Gruppenrichtlinien für den Internet Explorer gibt es viele. Auch für die Sicherheitszonen gibt es vorgefertigte GPOs. Sobald man diese aber konfiguriert dann ist der Zugriff auf die Zone über den Browser für den Benutzer ausgegraut und nicht mehr nutzbar. Nur die regelt den Inhalt.

In der Praxis hat mir genau dieser Punkt immer wieder die Arbeit erschwert. Alte Internet Explorer Policys  (z.B. inetaddress.adm) wurden in Migrationen mitgezogen lassen sich aber mit aktuellen Editoren nicht mehr bearbeiten. Oder aber auch die Fehlersuche beim Benutzer welcher dann keine Rechte auf diese Einstellungen hat. Darum habe ich mir angewöhnt diese Art von Richtlinien via Key auszurollen. Damit ist der Benutzer in der Lage selbst Einträge hinzuzufügen oder zu entfernen. Selbst wenn ein Benutzer einen von mir gesetzten Wert löscht so wird beim nächsten Abarbeiten der Policy der Wert wieder eingetragen. Ich behalte mir damit ein gewisses Maß an Flexibilität.

Die Einstellungen erfolgen dabei via GPO Client Side Extensions im Kontext des Benutzers. Unter dem Pfad Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrierung.

Hier wähle ich über einen Rechtsklick -> Neu -> Registrierungselement.

Struktur: Hier sollte schon HKEY_CURRENT_USER voreingestellt sein.

Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\DOMÄNENAME\HOSTNAME

Hierbei muss etwas auf die Schreibweise geachtet werden. Dabei steht der Domänenname für z.B. dacomsys.de und der Hostname anhand des  Beispiels von meinem Blog für www. Sollen alle Subdomänen eingetragen werden so muss ein * als Platzhalter gesetzt werden. Hier ein paar Beispiele.

*.office365.com :
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\office365.com\*

www.dacomsys.de :
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dacomsys.de\www

Name: HTTP oder HTTPS

Werttyp: REG_DWORD

Wertdaten:

00000001 Lokales Intranet
00000002 Vertrauenswürdige Sites
00000003 Internet
00000004 Eingeschränkte Sites

Nach einem Update der Richtlinien solltet ihr dann die Einträge in den entsprechenden Zonen im IE wieder finden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.