Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)


    Tags: , , ,

    Logo von Microsoft Edge ChromiumMicrosoft aktualisierte seine Security Baseline für den Edge-Browser zuletzt für die Version 107, diese ist somit auch für die aktuellen Versionen noch gültig. Sie enthält Ein­stellungen für Gruppen­­richt­linien, die der Hersteller zur Erhöhung der Sicherheit empfiehlt. Von den neu hinzuge­kommenen Policies wurde keine in die Liste übernommen.

    Wie für Windows so pflegt Microsoft auch für den Edge-Browser eine Liste mit Einstellungen, die Anwender nach Möglichkeit in ihre Umgebung übernehmen sollen. Ein pauschaler Import ist aber nicht ratsam, da einzelne Optionen unter bestimmten Umständen unerwünschte Auswirkungen haben könnten.

    Stattdessen ist es angezeigt, die Einstellungen aus der Security Baseline zu evaluieren und einzeln zu konfigurieren. Die folgende Übersicht gliedert die Policies thematisch und ergänzt sie mit einigen Erläuterungen.

    Einstellungen in den Gruppenrichtlinien für Microsoft Edge

    Internet Explorer Modus

    Name (deutsch) Name (englisch) Status
    Zulassen, dass nicht konfi­gurierte Web­sites im Inter­net Explo­rer-Modus neu geladen werden Allow uncon­figured sites to be reloaded in Inter­net Explo­rer mode Disabled
    Schaltfläche "Neu laden" in Internet Explorer Modus in der Symbol­leiste anzeigen Show the Reload in Internet Explorer mode button in the toolbar Disabled

    Diese beiden Einstellungen beziehen sich auf das Laden von Seiten im (eingebetteten) Internet Explorer, während Benutzer den Edge-Browser verwenden. Die erste Option würde ihnen erlauben, selbständig Seiten im IE zu öffnen, auch wenn sie für den Internet Explorer Modus nicht in der Sitelist enthalten sind. Die zweite würde für diesen Zweck einen Button bereitstellen.

    SSL/TLS

    Name (deutsch) Name (englisch) Status
    Zulassen, dass Benutzer von der HTTPS-Warnungs­seite aus fortfahren können Allow users to proceed from the HTTPS warning page Disabled
    3DES-Ver­schlüsselungs­suiten in TLS akti­vieren (veraltet ab Version 96) Enable 3DES cipher suites in TLS Disabled
    Mindestversion von TLS aktiviert Minimum TLS version enabled Enabled: TLS 1.2

    Über die Konfiguration dieser Einstellungen soll sichergestellt werden, dass veraltete Verschlüsselungs­methoden (3DES) und TLS-Versionen (vor 1.2) deaktiviert werden. Die erste Richtlinie verhindert, dass Benutzer nach SSL-Problemen (etwa wegen eines abgelaufenen Zertifikats) die entsprechende Warnung ignorieren und mit dem Laden der Seite fortfahren.

    Authentifizierung / Passwörter

    Name (deutsch) Name (englisch) Status
    Basic-Authenti­fizierung für HTTP zulassen Allow Basic authentication for HTTP Disabled
    Unterstützte Authenti­fizierungs­schemas Supported authentication schemes Enabled: ntlm,negotiate
    Speichern von Kenn­wörtern im Kennwort-Manager ermöglichen Enable saving passwords to the password manager Disabled
    Ver­wendung der ver­alteten U2F-Sicherheits­schlüssel-API zu­lassen (veraltet ab Version 103) Allow using the deprecated U2F Security Key API (obsolete) Disabled

    Diese Einstellungen verhindern einige unsichere Verfahren zur Authentifizierung. Das API für Universal Second Factor (U2F) ist veraltet und wurde in der Version 104 aus Edge entfernt.

    Interessant ist, dass Microsoft von der Verwendung des integrierten Passwort-Managers abrät. Dieser kann gespeicherte Passwörter auch mit der Authenticator App synchronisieren.

    Smartscreen

    Name (deutsch) Name (englisch) Status
    Microsoft Defender SmartScreen konfi­gurieren Configure Microsoft Defender SmartScreen Enabled
    Umgehung der Microsoft Defender SmartScreen-Auf­for­derungen für Websites ver­hindern Prevent bypassing Microsoft Defender SmartScreen prompts for sites Enabled
    Umgehung der Microsoft Defender Smart­Screen-Warnungen für Downloads ver­hindern Prevent bypassing of Microsoft Defender SmartScreen warnings about downloads Enabled

    Defender Smartscreen bewertet mit Hilfe Reputations-basierter Verfahren, ob Websites oder herunter­geladene Dateien eine Bedrohung darstellen. Die erste Einstellung aktiviert den Schutz­mechanismus, die beiden anderen sorgen dafür, dass Benutzer die Warnungen nicht ignorieren können und an der weiteren Interaktion mit den betreffenden Objekten gehindert werden.

    Browser-Erweiterungen

    Name (deutsch) Name (englisch) Status
    Blockierung von Browser­­versions­erweiterungs­punkten aktivieren Enable browser legacy extension point blocking Enabled
    Steuern, welche Er­weiterungen nicht instal­liert werden können Control which extensions cannot be installed Enabled: *
    Native Messaging­hosts auf Benutzer­ebene zulassen (ohne Administrator­berech­tigungen instal­liert) Allow user-level native messaging hosts (installed without admin permissions) Disabled

    Erweiterungen stammen oft aus unbekannten Quellen und sind grundsätzlich mit Vorsicht zu genießen. Die meisten professionellen Umgebungen unterbinden daher deren Installation durch die User. Die zweite Einstellung in der Tabelle tut genau das.

    Die erste Policy blockiert die Verwendung veralteter Extensions, die dritte verhindert, dass Erweiterungen Nachrichten mit Win32-Anwendungen austauschen können, wenn letztere ohne administrative Berechtigungen installiert wurden.

    Speicherverwaltung / Isolierung

    Name (deutsch) Name (englisch) Status
    Website­isolation für jede Website aktivieren Enable site isolation for every site Enabled
    Gibt an, ob Shared­Array­Buffers in einem nicht ursprungs­übergreifend isolierten Kon­text ver­wendet werden können Specifies whether Shared­Array­Buffers can be used in a non cross-origin-isolated context Disabled

    Standardmäßig läuft bei Chromium-Browsern jedes Fenster und jeder Tab als eigener Prozess. Durch die Aktivierung der ersten Option können User dies nicht mehr ändern.

    SharedArrayBuffers sind Speicherbereiche, die für den Datenaustausch verwendet werden. Sie weisen auf mehreren populären Prozessoren Schwachstellen auf.

    Darstellung

    Name (deutsch) Name (englisch) Status
    Bilder verbessern aktiviert Enhance images enabled Disabled
    Gibt an, ob die Berechtigungs­richt­linie für die Bild­schirm­erfassung über­prüft oder über­sprungen wird. Specifies whether the display-capture permissions-policy is checked or skipped Enabled

    Diese zweite Einstellung bewahrt Web-Seiten davor, dass etwa eingebettete iFrames die Inhalte des übergeordneten Dokuments auslesen können. Sie ist seit Edge 107 obsolet und wird mit der Version 110 entfernt.

    Inwieweit die Verbesserung von Grafiken durch höheren Kontrast oder Farbanpassungen sicherheits­relevant ist, lässt sich nicht erkennen.

    Sonstige

    Name (deutsch) Name (englisch) Status
    Aktivierung von WebSQL erzwingen Force WebSQL to be enabled Disabled
    Edge Typosquatting­Checker konfigurieren Configure Edge Typosquatting­Checker Enabled
    Gibt an, ob un­sichere Websites Anfor­derungen an privatere Netz­werk­­end­punkte stellen dürfen. Specifies whether to allow insecure websites to make requests to more-private network endpoints Disabled

    WebSQL ist eine veraltete Datenbanktechnik (basierend auf SQLite) und wird aus Chromiun entfernt. Die entsprechende Einstellung in der Security Baseline sorgt dafür, dass User die WebSQL-Engine nicht mehr aktivieren können.

    Unter Typosquatting versteht man, dass böswillige Akteure die Tippfehler der Anwender ausnutzen, indem sie etwa Domänen registrieren, deren Name sich nur geringfügig von jenen populärer Websites unterscheidet. Edge verfügt über einen entsprechenden Prüf­mechanismus, der aktiviert werden sollte.

    Neue Gruppenrichtlinien in Edge 107

    In der Version 107 kamen einige Einstellungen hinzu, von denen eine (die zu WebSQL) in die Security Baseline aufgenommen wurde. Manche von ihnen können sicherheits­relevant sein, aber es bleibt den Admins überlassen, sie zu aktivieren.

    • Automatisches Öffnen lokaler MHTML-Dateien im Internet Explorer-Modus zulassen (Allow local MHTML files to open automatically in Internet Explorer mode)
    • Konfiguration des erweiterten Sicherheitsmodus für Intranetzonenwebsites (Enhanced Security Mode configuraton for Intranet zone sites)
    • Erzwingen der Aktivierung von WebSQL in nicht sicheren Kontexten (Force WebSQL in non-secure contexts to be enabled) (deprecated)
    • Erzwingen der Aktivierung von WebSQL (Force WebSQL to be enabled)
    • Erneutes Aktivieren der Event.path-API bis Microsoft Edge Version 115 (Re-enable the Event.path API until Microsoft Edge version 115)
    • Webauswahl aktiviert (Web Select Enabled)
    • Leistungserkennung aktiviert (Performance Detector Enabled)
    • Aktivieren des Features "Verknüpftes Konto" (Enable the linked account feature)
    • Benutzern das Hinzufügen und Entfernen eigener Websites während des Startvorgangs gestatten, wenn die RestoreOnStartupURLs-Richtlinie konfiguriert ist (Allow users to add and remove their own sites during startup when the RestoreOnStartupURLs policy is configured)

    Eine Reihe dieser Policies ist sowohl im Zweig für Computer und Benutzer verfügbar. Die Dokumentation zur Baseline für Edge 107 legt nahe, die mit Version 105 eingeführte Einstellung zur Online-Rechtschreibprüfung zu deakti­vieren.

    Neue Gruppenrichtlinien in Edge 108

    • Festlegen der Standardeinstellung "Zusätzliche Betriebssystemregion freigeben (Set the default "share additional operating system region" setting)
    • TLS Encrypted ClientHello Enabled
    • App-Startfeld auf der neuen Registerkartenseite von Microsoft Edge ausblenden (Hide App Launcher on Microsoft Edge new tab page)

    Microsofts Blog-Post zur Security Baseline für Edge 108 empfiehlt die Aktiv­ierung der Einstellung zu TLS Encrypted ClientHello, auch wenn sie nicht in die Baseline aufgenommen wurde.

    Neue Gruppenrichtlinien in Edge 109

    • Zulassen der Verwendung der Zwischenablage auf bestimmten Websites (Allow clipboard use on specific sites)
    • Blockieren der Verwendung der Zwischenablage auf bestimmten Websites (Block clipboard use on specific sites)
    • Standard-Websiteberechtigung für die Zwischenablage (Default clipboard site permission)
    • Bestimmt, ob der Microsoft-Stammspeicher und die integrierte Zertifikatüberprüfung verwendet werden, um Serverzertifikate zu überprüfen (veraltet) (Determines whether the Microsoft Root Store and built-in certificate verifier will be used to verify server certificates (deprecated))
    • Zulassen, dass aufgelistete Websites Verbindungen mit bestimmten HID-Geräten herstellen (Allow listed sites connect to specific HID devices)
    • Zulassen, dass aufgelistete Websites eine Verbindung mit einem beliebigen HID-Gerät herstellen (Allow listed sites to connect to any HID device)
    • Erteilen Sie diesen Websites automatisch die Berechtigung, eine Verbindung mit HID-Geräten herzustellen, die Sammlungen der obersten Ebene mit der angegebenen HID-Nutzung enthalten. (Automatically grant permission to these sites to connect to HID devices containing top-level collections with the given HID usage)

    Auch wenn die Verwendung der Zwischenablage sicherheitsrelevant sein kann, empfiehlt Microsoft keine bestimmte Aktion für die drei neuen Einstellungen zu diesem Thema.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links