Internet Explorer blockiert alte Java-Plugins: Konfiguration mit GPOs

    Internet Explorer 11 InfoMit einem kumulativen Update für den IE führt Microsoft eine neue Sicherheitsfunktion ein, das Anwender vor der versehentlichen Nutzung von veralteten ActiveX-Controls schützen soll. Vorerst blockiert sie nur Java-Plugins, soll aber künftig auf andere Erweiterungen ausgedehnt werden. In zentral verwalteten Umgebungen kann der ActiveX-Blocker über Gruppenrichtlinien konfiguriert werden.

    Das in den 90er-Jahren speziell für die Herausforderungen des Internet entwickelte Java erweist sich unter der Ägide von Oracle immer mehr als Risiko-Software. Einer Untersuchung von Microsoft zufolge war Java im Jahr 2013 mehr als 80 Prozent aller Schwachstellen betroffen, die von Exploit-Kits ausgenutzt wurden.

    Verzicht auf Java nicht immer möglich

    Der einfachste Schutz gegen Gefahren, die von Java ausgehen, bestünde zweifellos darin, die Software nicht zu installieren oder sie von den Rechnern zu entfernen. Allerdings benötigen intern entwickelte oder branchenspezifische Web-Anwendungen oft noch diese Technologie, so dass auch das entsprechende Browser-Plugin erforderlich ist.

    Aber auch unter diesen Bedingungen könnte man die Risiken minimieren, indem man die Ausführung von Java auf bestimmte (interne) Webseiten beschränkt. In der Praxis erweist sich das als nicht so einfach, weil IE, Chrome und Firefox dafür jeweils eigene Verfahren vorsehen oder die gewünschten Funktionen gar nicht bieten. Am weitesten geht hier der Internet Explorer, der zonenspezifische Einstellungen für ActiveX erlaubt und auch ein Whitelisting für URLs unterstützt.

    Schutz durch Blockieren alter Versionen

    Eine zusätzliche Option bietet nun das neue IE-Feature zum Blockieren veralteter Plugins. Dieses wirkt sich nicht auf die Zonen Intranet und Vertrauenswürdige Sites aus, so dass sich hier auch ältere Versionen von Java einsetzen lassen, die aus Kompatibilitätsgründen eventuell noch gebraucht werden. Es ist dabei jedoch zu bedenken, dass der IE auch interne Seiten der Zone Internet zuschlagen kann, wenn für die URL ein voll qualifizierter Domänenname (FQDN) verwendet wird.

    Damit solcher Legacy-Code im öffentlichen Internet keine Angriffsfläche bietet, warnt der Internet Explorer ab der Version 8 (auf Windows 7 SP1) künftig vor dem Ausführen einer betagten Version des Plugins. Standardmäßig lässt der Browser aber die Möglichkeit offen, das ActiveX-Control trotzdem zu starten, indem er in der Warnmeldung die Schaltfläche "Einmal ausführen" anzeigt.

    XML-Datei verwaltet Update-Pfade und Versionen

    Die bessere Alternative wird in der Regel darin bestehen, gleich aus der Sicherheitswarnung das Update für das Plugin anzustoßen. Der Pfad zum Download entnimmt der IE einer Konfigurationsdatei namens versionlist.xml, in der auch die Versionsnummern hinterlegt sind, die als veraltet gelten.

    Sie wird nach dem Update (KB303650) vom Browser heruntergeladen und regelmäßig von Microsoft aktualisiert. Der IE blockiert veraltete ActiveX-Controls jedoch erst ab dem 9. September 2014, so dass Anwender noch Zeit haben, sich auf dieses Feature einzustellen.

    Konfiguration über GPOs

    Das betrifft in erster Linie Unternehmen, die bestimmte Versionen des Java-Plugins benötigen und das neue Feature zentral konfigurieren wollen. Zu diesem Zweck erweiterte Microsoft die administrativen Vorlagen für den IE um 4 Einstellungen. Das dafür nötige Update der .admx-Datei kann von dieser Seite heruntergeladen werden.

    In einzelnen Domänen der Zone Internet kann man über eine Whitelist alte Plugins zulassen.

    Von den 4 Einstellungen betreffen nur 3 direkt das Blockieren alter Plugins, die vierte aktiviert das Logging von ActiveX-Aktivitäten, so dass sich beispielsweise ermitteln lässt, welche der Erweiterungen wie oft genutzt werden.

    Über GPOs kann man dafür sorgen, dass in der Warnmeldung der Button "Einmal ausführen" nicht angezeigt wird und die Benutzer daher alte Plugins nicht starten können. Die entsprechende Einstellung lautet Schaltfläche "Einmal ausführen" für veraltete ActiveX-Steuerelemente aus dem Internet Explorer entfernen. Sie findet sich in der Computer- und Benutzerkonfiguration unter Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheitsfunktionen => Add-on-Verwaltung.

    Dort sind auch die beiden anderen Einstellungen, mit denen sich das Blockieren generell oder für bestimmte Domänen abstellen lässt. Zweitere erlaubt somit das Ausführen von alten Plugins auch auf Seiten der Zone Internet, wenn die Domain in die dafür zuständige Liste eingetragen wurde.

    Keine Kommentare