Enhanced Security Mode in Microsoft Edge verwalten

    , 31.07.2023
    Tags: , ,

    Logo von Microsoft Edge ChromiumMicrosoft erweiterte den Edge-Browser zuletzt um einige neue Features, unter anderem zur Verbes­serung der Sicherheit gegen Angriffe über die Javascript-Engine. Dieses Feature kann jedoch uner­wünschte Neben­wirkungen haben. Daher lässt es sich sowohl interaktiv als auch über Gruppen­richt­linien an die Umgebung anpassen.

    Der mit Edge 111 eingeführte Enhanced Security Mode (ESM) soll den Browser gegen Angriffe schützen, die Daten im Speicher der Anwendung manipulieren und so ausführbaren Code einschleusen.

    Die Maßnahmen umfassen auf OS-Ebene Hardware-enforced Stack Protection und Arbitrary Code Guard (ACG). Darüber hinaus deaktiviert ESM den Just-in-Time-Compiler (JIT) für Javascript.

    ESM soll vor allem die Versuche von bösartigen Websites unterbinden, noch nicht behobene Schwachstellen des Browsers auszunutzen.

    Abgestufter Einsatz von ESM

    Es liegt auf der Hand, dass diese Security-Mechanismen zu Lasten der Performance und der Kompatibilität gehen. Microsoft sieht daher zwei unterschiedlich aggressive Modus vor, nämlich ausgewogen und streng.

    Der erste der beiden aktiviert ESM nur auf selten besuchten Websites, wogegen die strikte Variante die erweiterte Sicherheit überall einschaltet. Standardmäßig ist das ESM-Feature nicht aktiv.

    Interaktive Konfiguration

    Benutzer können ESM über die Einstellungen des Browsers unter Datenschutz, Suche und Dienste einschalten. Die entsprechende Option findet sich unter dem Abschnitt Verbessern Sie Ihre Sicherheit im Web.

    Optionen zur Konfiguration des ESM über die GUI

    Nach dem Aktivieren des Schiebereglers wählt man den gewünschten Modus aus. Zusätzlich kann man über eine eigene Einstellung festlegen, dass ESM bei InPrivate-Fenstern immer angeschaltet ist.

    Schließlich kann man unter Verwalten Sie die erweiterte Sicherheit für Websites eigene Listen für Seiten pflegen, für die ESM immer ein- oder ausgeschaltet ist.

    Status für einzelne Websites ad hoc ändern

    Ob der ESM auf einer Website aktiviert ist, kann man erkennen, indem man in der Adressleiste auf das Schlosssymbol neben der URL klickt.

    Das danach angezeigte Menü enthält dann den Eintrag "Für diese Website ist die erhöhte Sicherheit aktiv". Klickt man darauf, bekommt man die Möglichkeit, das Feature abzuschalten.

    Wenn ESM Probleme bereitet, dann kann man ihn für einzelne Seite abschalten.

    Das ursprünglich angekündigte, eigene Symbol für ESM vor der URL fehlt in den neueren Versionen des Browsers.

    ESM über Gruppenrichtlinien aktivieren

    Der Enhanced Security Mode lässt sich zudem über Gruppen­richt­linien zentral verwalten.

    Um ihn einzu­schalten, aktiviert man die Einstellung Verbessern Sie den Sicherheitsstatus in Microsoft Edge ("Enhance the security state in Microsoft Edge") und wählt dort den gewünschten Modus aus. Sie findet sich für die Computer- und Benutzer­konfiguration unter Richtlinien => Administrative Vorlagen => Microsoft Edge.

    Enhanced Security Mode über eine Gruppenrichtlinie aktivieren und konfigurieren

    Abschalten des ESM unterbinden

    Die ADMX enthalten seit der Version 115 zudem eine Einstellung, mit der man Benutzer daran hindern kann, ESM für einzelne Websites über das Drop-down-Menü aus der Adressleiste zu deaktivieren.

    Sie heißt Abmeldungs­benutzer­oberfläche für den erhöhten Sicherheitsmodus (ESM) in Microsoft Edge verwalten ("Manage opt-out user experience for Enhanced Security Mode (ESM) in Microsoft Edge").

    Irritierend daran ist, dass der Schieberegler dadurch nicht ausgegraut wird und sich weiterhin betätigen lässt. Dies bleibt allerdings ohne Wirkung.

    Der Schieberegler bleibt von der Gruppenrichtlinie unberührt, aber er hat dann keine Funktion mehr.

    Listen für Websites verwalten

    Die Listen für Websites, für die ESM ein- bzw. ausgeschaltet werden soll, lassen sich über drei Einstellungen verwalten:

    • Für Seiten im Intranet greift die Sicherheits­funktion standardmäßig, sobald sie aktiv ist. Wenn man das nicht möchte, dann aktiviert man die Einstellung Konfiguration des Modus für erhöhte Sicherheit für Intranetzonen-Sites ("Enhanced Security Mode configuration for Intranet zone sites");
    • Ausnahmen für ESM definieren kann man mit Konfigurieren Sie die Liste der Domänen, für die der erweiterte Sicherheitsmodus nicht erzwungen wird ("Configure the list of domains for which enhance security mode will not be enforced");
    • Den umgekehrten Effekt erzielt man mit Konfigurieren Sie die Liste der Domänen, für die die Verbesserung des Sicherheitsmodus immer erzwungen wird ("Configure the list of domains for which enhance security mode will always be enforced").

    Einstellungen für das Black- und Whitelisting von Websites für ESM

    Zusammenfassung

    Der Enhanced Security Mode bietet zusätzlichen Schutz gegen bösartige Websites, allerdings um den Preis von eingeschränkter Performance und reduzierter Kompatibilität. Das Feature ist standardmäßig deaktiviert.

    Um eine Balance zwischen Sicherheit und Benutzer­erlebnis zu erreichen, empfiehlt Microsoft die Verwendung des ausgewogenen Modus. Zusätzlich kann man bestimmte Sites explizit ausschließen oder ESM dort erzwingen.

    Alle Einstellungen von ESM lassen sich per Gruppenrichtlinien konfigurieren. Sie bieten zusätzlich die Möglichkeit, das Verhalten für Intranet-Sites anzupassen, was über die GUI nicht möglich ist.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links