Adobe Flash-Player über Gruppenrichtlinien deaktivieren

    Adobe FlashRegelmäßige Sicher­heits­lücken in Adobes Flash Player lassen es ratsam erscheinen, die Nutzung des Players so weit wie möglich einzuschränken. Der Internet Explorer bietet mehrere Optionen, dieses Plugin mit Hilfe von GPOs zu deaktivieren.

    Auch wenn Flash an Bedeutung verliert, weil Websites wie Youtube vermehrt auf HTML5 setzen, verlangen viele Angebote immer noch die Adobe-Technik. Je nachdem für wie viele Seiten man Flash benötigt und woher diese vornehmlich stammen (Intranet oder Internet), kann man sich für einen passenden Mechanismus zur Zähmung des Plugins entscheiden.

    Flash unter Windows 8.x blockieren

    Ist man in der glücklichen Lage, auf Flash ganz verzichten zu können und läuft auf allen PCs Windows 8.x mit Internet Explorer 10 oder höher, dann kann man sich über ein GPO vor den Sicherheitsproblemen des Plugins sehr einfach schützen.

    Diese Einstellung verbannt den Flash-Player komplett aus IE10 oder höher. Eine solche radikale Lösung ist nicht immer möglich.

    Man muss zu diesem Zweck nur unter Computer- oder Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheitsfunktionen => Add-on-Verwaltung folgende Einstellung setzen: Deaktivieren von Flash Player in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden.

    Add-on-Liste für ältere IE-Versionen

    Verwendet man noch eine ältere Version des Microsoft-Browsers oder IE10 unter Windows 7, dann greift ein anderes Verfahren. Dabei trägt man im erwähnten Abschnitt Add-on-Verwaltung unter Add-on-Liste das Flash-Plugin ein. Die Tabelle in dieser Einstellung erwartet in der ersten Spalte die CLSID des Plugins und in der zweiten Spalte einen nummerischen Wert, wobei 0 für gesperrt steht.

    In der Add-on-Liste kann man Plugins über ihre CSLID blockieren. Diese Einstellung wirkt auch auf neuere IE-Versionen.

    Die CLSID ermittelt man, indem man aus dem Einstellungsmenü des Browsers den Befehl Add-ons verwalten ausführt. Wenn Flash nicht in der Liste auftaucht, dann ändert man den Filter unter Anzeige auf Alle Add-ons. Anschließend öffnet man das Kontextmenü von Shockwave Flash Object und dann Weitere Informationen. Damit man die CLSID von dort nicht abtippen muss, kann man die Schaltfläche Kopieren anklicken und die Eigenschaften des Plugins in einen Editor übernehmen.

    Die CLSID des Flash-Plugins kann man über die GUI des Internet Explorer ermitteln.

    Die Definition einer Add-on-Liste, in der man das Flash-Plugin blockiert, funktioniert auch mit den neuesten IE-Versionen. Wenn man dort allerdings die zuerst beschriebene Einstellung zum Deaktivieren von Flash-Player konfiguriert, dann hat diese eine höhere Priorität als die Add-on-Liste.

    Sperren von Flash durch Whitelist für Add-ons

    Beide beschriebenen Vorgehensweisen wirken global, so dass Flash-Inhalte auf keiner Website in keiner Zone abgespielt werden können. Leider fehlen die Mittel für ein differenziertes Blockieren des Players. Eine Kompromisslösung könnte darin bestehen, dass man im Intranet alle Plugins zulässt und für die Zone Internet eine Whitelist für erlaubte Add-ons definiert, in der Flash nicht vorkommt.

    Die Liste der vom Administrator geprüften ActiveX-Controls ist recht kurz und kann nur umständlich erweitert werden.

    Dazu aktiviert man unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Vom Administrator überprüfte Steuerelemente jene Add-ons, die man erlauben möchte. Leider ist die vorgegebene Liste sehr überschaubar und müsste in den meisten Fällen mit einer umständlichen Prozedur um weitere Einträge ergänzt werden.

    Wenn man in der Zone Internet nur genehmigte Add-ons zulässt, dann kann man damit Flash ausschließen.

    Danach sorgt man dafür, dass in der Zone Internet nur mehr die Add-ons aus dieser Whitelist laufen. Diesem Zweck dient die Richtlinie Computer- bzw. Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Internetsystemsteuerung => Sicherheitsseite => Internetzone => ActiveX-Steuerelemente und Plug-Ins ausführen. Hier wählt man die Einstellung Vom Administrator genehmigt aus.

    Plugins über vertrauenswürdige Sites filtern

    Ein anderes Verfahren zum Whitelisting von Plugins, das ebenfalls nicht bloß auf Flash wirkt, würde die Ausführung von ActiveX-Controls generell auf die Zone vertrauenswürdiger Sites beschränken, indem man sie in allen anderen Zonen verbietet. Anschließend fügt man die unbedenklichen URLs unter Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Internetsystemsteuerung => Sicherheitsseite => Liste der Site zu Zonenzuweisungen ein.

    Die Sicherheitsrisiken durch Flash lassen sich entschärfen, indem nur ausgewählte Sites Add-ons ausführen dürfen.

    Die Zuordnung zur Zone der vertrauenswürdigen Sites erfolgt, indem man in der zweiten Spalte nach einer URL den Wert 2 angibt.

    ActiveX-Filterung einschalten

    Eine weitere Option, die informierte Benutzer voraussetzt und ebenfalls alle Plugins betrifft, besteht in der Aktivierung von ActiveX-Filterung (die Einstellung findet sich direkt in Windows-Komponenten => Internet Explorer).

    Wenn man die ActiveX-Filterung aktiviert, können die Benutzer bestimmte Seiten davon ausnehmen.

    Dadurch wird die Ausführung aller Add-ons unterbunden, aber die Benutzer haben die Möglichkeit, nach dem Klick auf das blaue Icon in der Adresszeile die jeweilige Website von der Filterung auszunehmen.

    Keine Kommentare