Tags: Web-Browser, Microsoft Edge, Gruppenrichtlinien, Sicherheit
Microsoft aktualisierte seine Security Baseline für den Edge-Browser zuletzt für die Version 107, diese ist somit auch für die aktuellen Versionen noch gültig. Sie enthält Einstellungen für Gruppenrichtlinien, die der Hersteller zur Erhöhung der Sicherheit empfiehlt. Von den neu hinzugekommenen Policies wurde keine in die Liste übernommen.
Wie für Windows so pflegt Microsoft auch für den Edge-Browser eine Liste mit Einstellungen, die Anwender nach Möglichkeit in ihre Umgebung übernehmen sollen. Ein pauschaler Import ist aber nicht ratsam, da einzelne Optionen unter bestimmten Umständen unerwünschte Auswirkungen haben könnten.
Stattdessen ist es angezeigt, die Einstellungen aus der Security Baseline zu evaluieren und einzeln zu konfigurieren. Die folgende Übersicht gliedert die Policies thematisch und ergänzt sie mit einigen Erläuterungen.
Internet Explorer Modus
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Zulassen, dass nicht konfigurierte Websites im Internet Explorer-Modus neu geladen werden | Allow unconfigured sites to be reloaded in Internet Explorer mode | Disabled |
| Schaltfläche "Neu laden" in Internet Explorer Modus in der Symbolleiste anzeigen | Show the Reload in Internet Explorer mode button in the toolbar | Disabled |
Diese beiden Einstellungen beziehen sich auf das Laden von Seiten im (eingebetteten) Internet Explorer, während Benutzer den Edge-Browser verwenden. Die erste Option würde ihnen erlauben, selbständig Seiten im IE zu öffnen, auch wenn sie für den Internet Explorer Modus nicht in der Sitelist enthalten sind. Die zweite würde für diesen Zweck einen Button bereitstellen.
SSL/TLS
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Zulassen, dass Benutzer von der HTTPS-Warnungsseite aus fortfahren können | Allow users to proceed from the HTTPS warning page | Disabled |
| 3DES-Verschlüsselungssuiten in TLS aktivieren (veraltet ab Version 96) | Enable 3DES cipher suites in TLS | Disabled |
| Mindestversion von TLS aktiviert | Minimum TLS version enabled | Enabled: TLS 1.2 |
Über die Konfiguration dieser Einstellungen soll sichergestellt werden, dass veraltete Verschlüsselungsmethoden (3DES) und TLS-Versionen (vor 1.2) deaktiviert werden. Die erste Richtlinie verhindert, dass Benutzer nach SSL-Problemen (etwa wegen eines abgelaufenen Zertifikats) die entsprechende Warnung ignorieren und mit dem Laden der Seite fortfahren.
Authentifizierung / Passwörter
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Basic-Authentifizierung für HTTP zulassen | Allow Basic authentication for HTTP | Disabled |
| Unterstützte Authentifizierungsschemas | Supported authentication schemes | Enabled: ntlm,negotiate |
| Speichern von Kennwörtern im Kennwort-Manager ermöglichen | Enable saving passwords to the password manager | Disabled |
| Verwendung der veralteten U2F-Sicherheitsschlüssel-API zulassen (veraltet ab Version 103) | Allow using the deprecated U2F Security Key API (obsolete) | Disabled |
Diese Einstellungen verhindern einige unsichere Verfahren zur Authentifizierung. Das API für Universal Second Factor (U2F) ist veraltet und wurde in der Version 104 aus Edge entfernt.
Interessant ist, dass Microsoft von der Verwendung des integrierten Passwort-Managers abrät. Dieser kann gespeicherte Passwörter auch mit der Authenticator App synchronisieren.
Smartscreen
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Microsoft Defender SmartScreen konfigurieren | Configure Microsoft Defender SmartScreen | Enabled |
| Umgehung der Microsoft Defender SmartScreen-Aufforderungen für Websites verhindern | Prevent bypassing Microsoft Defender SmartScreen prompts for sites | Enabled |
| Umgehung der Microsoft Defender SmartScreen-Warnungen für Downloads verhindern | Prevent bypassing of Microsoft Defender SmartScreen warnings about downloads | Enabled |
Defender Smartscreen bewertet mit Hilfe Reputations-basierter Verfahren, ob Websites oder heruntergeladene Dateien eine Bedrohung darstellen. Die erste Einstellung aktiviert den Schutzmechanismus, die beiden anderen sorgen dafür, dass Benutzer die Warnungen nicht ignorieren können und an der weiteren Interaktion mit den betreffenden Objekten gehindert werden.
Browser-Erweiterungen
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Blockierung von Browserversionserweiterungspunkten aktivieren | Enable browser legacy extension point blocking | Enabled |
| Steuern, welche Erweiterungen nicht installiert werden können | Control which extensions cannot be installed | Enabled: * |
| Native Messaginghosts auf Benutzerebene zulassen (ohne Administratorberechtigungen installiert) | Allow user-level native messaging hosts (installed without admin permissions) | Disabled |
Erweiterungen stammen oft aus unbekannten Quellen und sind grundsätzlich mit Vorsicht zu genießen. Die meisten professionellen Umgebungen unterbinden daher deren Installation durch die User. Die zweite Einstellung in der Tabelle tut genau das.
Die erste Policy blockiert die Verwendung veralteter Extensions, die dritte verhindert, dass Erweiterungen Nachrichten mit Win32-Anwendungen austauschen können, wenn letztere ohne administrative Berechtigungen installiert wurden.
Speicherverwaltung / Isolierung
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Websiteisolation für jede Website aktivieren | Enable site isolation for every site | Enabled |
| Gibt an, ob SharedArrayBuffers in einem nicht ursprungsübergreifend isolierten Kontext verwendet werden können | Specifies whether SharedArrayBuffers can be used in a non cross-origin-isolated context | Disabled |
Standardmäßig läuft bei Chromium-Browsern jedes Fenster und jeder Tab als eigener Prozess. Durch die Aktivierung der ersten Option können User dies nicht mehr ändern.
SharedArrayBuffers sind Speicherbereiche, die für den Datenaustausch verwendet werden. Sie weisen auf mehreren populären Prozessoren Schwachstellen auf.
Darstellung
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Bilder verbessern aktiviert | Enhance images enabled | Disabled |
| Gibt an, ob die Berechtigungsrichtlinie für die Bildschirmerfassung überprüft oder übersprungen wird. | Specifies whether the display-capture permissions-policy is checked or skipped | Enabled |
Diese zweite Einstellung bewahrt Web-Seiten davor, dass etwa eingebettete iFrames die Inhalte des übergeordneten Dokuments auslesen können. Sie ist seit Edge 107 obsolet und wird mit der Version 110 entfernt.
Inwieweit die Verbesserung von Grafiken durch höheren Kontrast oder Farbanpassungen sicherheitsrelevant ist, lässt sich nicht erkennen.
Sonstige
| Name (deutsch) | Name (englisch) | Status |
|---|---|---|
| Aktivierung von WebSQL erzwingen | Force WebSQL to be enabled | Disabled |
| Edge TyposquattingChecker konfigurieren | Configure Edge TyposquattingChecker | Enabled |
| Gibt an, ob unsichere Websites Anforderungen an privatere Netzwerkendpunkte stellen dürfen. | Specifies whether to allow insecure websites to make requests to more-private network endpoints | Disabled |
WebSQL ist eine veraltete Datenbanktechnik (basierend auf SQLite) und wird aus Chromiun entfernt. Die entsprechende Einstellung in der Security Baseline sorgt dafür, dass User die WebSQL-Engine nicht mehr aktivieren können.
Unter Typosquatting versteht man, dass böswillige Akteure die Tippfehler der Anwender ausnutzen, indem sie etwa Domänen registrieren, deren Name sich nur geringfügig von jenen populärer Websites unterscheidet. Edge verfügt über einen entsprechenden Prüfmechanismus, der aktiviert werden sollte.
Neue Gruppenrichtlinien in Edge 107
In der Version 107 kamen einige Einstellungen hinzu, von denen eine (die zu WebSQL) in die Security Baseline aufgenommen wurde. Manche von ihnen können sicherheitsrelevant sein, aber es bleibt den Admins überlassen, sie zu aktivieren.
- Automatisches Öffnen lokaler MHTML-Dateien im Internet Explorer-Modus zulassen (Allow local MHTML files to open automatically in Internet Explorer mode)
- Konfiguration des erweiterten Sicherheitsmodus für Intranetzonenwebsites (Enhanced Security Mode configuraton for Intranet zone sites)
- Erzwingen der Aktivierung von WebSQL in nicht sicheren Kontexten (Force WebSQL in non-secure contexts to be enabled) (deprecated)
- Erzwingen der Aktivierung von WebSQL (Force WebSQL to be enabled)
- Erneutes Aktivieren der Event.path-API bis Microsoft Edge Version 115 (Re-enable the Event.path API until Microsoft Edge version 115)
- Webauswahl aktiviert (Web Select Enabled)
- Leistungserkennung aktiviert (Performance Detector Enabled)
- Aktivieren des Features "Verknüpftes Konto" (Enable the linked account feature)
- Benutzern das Hinzufügen und Entfernen eigener Websites während des Startvorgangs gestatten, wenn die RestoreOnStartupURLs-Richtlinie konfiguriert ist (Allow users to add and remove their own sites during startup when the RestoreOnStartupURLs policy is configured)
Eine Reihe dieser Policies ist sowohl im Zweig für Computer und Benutzer verfügbar. Die Dokumentation zur Baseline für Edge 107 legt nahe, die mit Version 105 eingeführte Einstellung zur Online-Rechtschreibprüfung zu deaktivieren.
Neue Gruppenrichtlinien in Edge 108
- Festlegen der Standardeinstellung "Zusätzliche Betriebssystemregion freigeben (Set the default "share additional operating system region" setting)
- TLS Encrypted ClientHello Enabled
- App-Startfeld auf der neuen Registerkartenseite von Microsoft Edge ausblenden (Hide App Launcher on Microsoft Edge new tab page)
Microsofts Blog-Post zur Security Baseline für Edge 108 empfiehlt die Aktivierung der Einstellung zu TLS Encrypted ClientHello, auch wenn sie nicht in die Baseline aufgenommen wurde.
Neue Gruppenrichtlinien in Edge 109
- Zulassen der Verwendung der Zwischenablage auf bestimmten Websites (Allow clipboard use on specific sites)
- Blockieren der Verwendung der Zwischenablage auf bestimmten Websites (Block clipboard use on specific sites)
- Standard-Websiteberechtigung für die Zwischenablage (Default clipboard site permission)
- Bestimmt, ob der Microsoft-Stammspeicher und die integrierte Zertifikatüberprüfung verwendet werden, um Serverzertifikate zu überprüfen (veraltet) (Determines whether the Microsoft Root Store and built-in certificate verifier will be used to verify server certificates (deprecated))
- Zulassen, dass aufgelistete Websites Verbindungen mit bestimmten HID-Geräten herstellen (Allow listed sites connect to specific HID devices)
- Zulassen, dass aufgelistete Websites eine Verbindung mit einem beliebigen HID-Gerät herstellen (Allow listed sites to connect to any HID device)
- Erteilen Sie diesen Websites automatisch die Berechtigung, eine Verbindung mit HID-Geräten herzustellen, die Sammlungen der obersten Ebene mit der angegebenen HID-Nutzung enthalten. (Automatically grant permission to these sites to connect to HID devices containing top-level collections with the given HID usage)
Auch wenn die Verwendung der Zwischenablage sicherheitsrelevant sein kann, empfiehlt Microsoft keine bestimmte Aktion für die drei neuen Einstellungen zu diesem Thema.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
- Willkommen-Seite in Chrome, Edge und Firefox mit Gruppenrichtlinien blockieren
- Nach Support-Aus: Adobe Flash über Gruppenrichtlinien oder WSUS deaktivieren
- Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine
- Edge-Browser für Unternehmen: Mehr GPO-Einstellungen, Sandbox mit Hyper-V
Weitere Links