, , ,

Adobe Flash Player per Gruppenrichtlinien deaktivieren

Regelmäßige treten Sicherheitslücken (über Webseiten wird Ransomware verteilt) im #Adobe #Flash Player auf. Daher erscheint es ratsam den #Flash Player in seine Schranken zu weisen und weit möglichst einzuschränken.

Das Thema #Ransomware ist noch immer sehr verbreitet, #Erpressungs-Trojaner verbreiten sich vermehrt jetzt auch über große #Webseiten. Daher möchten wir an dieser Stelle auf die Möglichkeit hinweisen den Adobe Flash Player über Gruppenrichtlinien zu deaktivieren.

Auch wenn Adobes Flash Player immer mehr an Bedeutung verliert, benötigt man ihn dennoch auf einigen Seiten. Je nach dem für wie viele Seiten man Flash benötigt und woher diese stammen (Intranet oder Internet) kann man sich den richtigen Weg bauen.

Add-On Liste für ältere Versionen

Hat man in seiner IT-Infrastruktur noch IE 10 unter Windows 7 oder eine ältere Version des Microsoft Browsers, verwendet man die Add-On-Liste. Diese findet sich sowohl in der Computer- als auch in der Benutzerkonfiguration.

… > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Sicherheitsfunktionen > Add-On-Verwaltung > Add-On-Liste

Add-on-List

 

 

In der Add-On-Liste werden in einer Tabelle die Einstellungen getätigt. In der ersten Spalte wird die CLSID des Plugins eingetragen und in der zweite ein Nummerischer Wert. In diesem Fall wird die 0 für gesperrt eingetragen (1 – zugelassen / 2 – darf vom Benutzer verwaltet werden).

Add-On-List Values

 

 

Die CLSID des Plugin findet man über den Internet Explorer heraus. Hier geht man über den Menü Punkt Add-Ons verwalten.

Flash Plugin CLSID

 

 

Dort wird der Filter auf Alle Add-ons gestellt, sollte das Flash Plugin nicht auftauchen.

CLSID Flash Plugin

 

 

Anschließend kann man im Shockwave Flash Object unter Weitere Informationen die CLSID finden. Am besten verwendet man hier die Schaltfläche kopieren und fügt den kompletten Text der Zwischenablage, in einen Editor ein.

 

 

Dann kann man dort die CLSID heraus kopieren, und muss sie nicht einzeln abtippen. Da die CLSID aber identisch ist, kann man auch diese verwenden:

{D27CDB6E-AE6D-11CF-96B8-444553540000}
CLSID

 

 

Die CLSID wird dann in der Add-on-Liste eingetragen. Den Wert setzen wir, wie oben erwähnt, auf 0.

Add-On-List

 

 

Diese Definition die wir in der Add-on-Liste für das Flash Plugin gemacht haben, funktioniert auch bei neueren Versionen des IE. Neuere Versionen des IE findet man ab Windows 8 und höher. Mit den neueren Betriebssystem/IE Versionen gibt es eine elegantere Lösung. Hier kann man Adobe Flash im Internet Explorer direkt deaktivieren. Diese Richtlinie hat eine höhere Priorität als diese Add-on-Liste.

Deaktivieren von Flash Player in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden

Turn of Adobe Flash in IE

 

 

Whitelist über Add-ons

Die beschriebene Add-on-Liste wirkt sich immer global auf alle Seiten aus. Es wird also kein Flash Inhalt von einer Webseite aus keiner Zone (Intranet / Internet) abgespielt. Leider gibt es auch keine Möglichkeit diese Liste zu differenzieren. Ein Kompromiss hiefür könnte sein, das man in der Zone Intranet Flash zulässt und im Internet eine Whitelist für Add-ons erstellt, in der Flash nicht vorkommt.

Dazu werden die Add-ons aktivier die man verwenden möchte. Hierzu geht man unter:

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Vom Administrator überprüfte Steuerelemente

Approved Controls

 

Die Liste ist leider sehr kurz und überschaubar. In vielen Fällen müsste sie mit einer umständlichen Prozedur um weitere Einträge ergänzt werden.

Als letzten Schritt muss jetzt noch festgelegt werden das in der Zone Internet nur die Add-ons aus der Whitelist laufen. Diese Richtlinie befindet sich auch unter Internet Explorer im Benutzerkontext. Die Internet Zonen Einstellung befindet sich in der Internetsystemsteuerung > Sicherheitsseite > Internetzone. Dort konfigurieren wir AktiveX Steuerlemente und Plug-ins ausführen.

Administrator Approved

 

 

Whitelist über vertrauenswürdige Sites filtern

Eine anderes Whistelisting-Verfahren würde darin bestehen, die Ausführung von ActiveX Controls generell auf die Zone vertrauenswürdige Sites zu beschränken. Man verbietet sie erst in allen anderen Zonen und fügt anschließend die unbedenklichen URL’s unter Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite > Liste der Site zu Zonenzuweisungen hinzu.

In der Tabelle gibt es wiederum zwei spalten. In der Werte Spalte tragen wir die 2 für vertrauenswürdige Sites ein.

Die weiteren Zonen sind: 1 – Intranet / 3 – Internet Zone4 – Eingeschränkte Sites

Zone Assignment List

 

Die zweite Möglichkeit eignet sich sicherlich nur wenn es wenige URL’s gibt die man erlauben muss. Ansonsten wird der Aufwand zu groß und es würde sich die Whitelist über Add-ons eher anbieten. Zu guter letzt kann man mit einer weiteren Option den Zugriff noch etwas mehr einschränken. Diese Einstellung kann man unter Windows-Komponenten > Internet Explorer finden.

Turn On ActiveX Filtering

 

 

Die Benutzer haben damit allerdings die Möglichkeit beim klicken auf das Blaue Verbots-Icon die Seite von der Filterung aus zunehmen.

ActiveX Filter

 

Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.