M$ installiert den IE so, daß er zwar praktisch alle Webseiten korrekt
darstellt, aber aktive Webinhalte die Systemsicherheit gefährden. Schaltet man deshalb etwa
ActiveX ab, funktioniert auch das Plug-in des Acrobat Reader nicht mehr und die im Web weit
verbreiteten PDF-Dokumente werden nicht dargestellt. Sie brauchen also endlich ein Tool, das
sowohl die Sicherheit als auch den Komfort beim Surfen erhöht: den IEController.
Der IE muß Module (COM-Objekte) starten, um aktive Inhalte auszuführen.
IEController überwacht den Start dieser Module und kann ihre Ausführung verhindern.
Seine Filterlisten ermöglichen dabei, daß ungefährliche Inhalte auch weiterhin ausgeführt
werden. Außerdem verhindert das Tool, daß der IE andere Programme startet und
kontrolliert Zugriffe auf lokale Dateien sowie Webserver im Netz. Das Surfen wird dadurch
erheblich sicherer, ohne daß auf den Komfort moderner Web-Techniken, Plug-ins und
anderer Browser-Erweiterungen verzichtet werden muß.
Zur Ausführung des IEControllers sind keine Administratorrechte notwendig.
IEController 2.3 wurde gegenüber Version 1.0 erheblich erweitert und läuft unter Windows NT4SP6, 2000, XP sowie Server 2003. Das Programm wurde mit dem IE 5.5 und 6.0 sowie den dazugehörigen Service-Packs getestet.
Neuerungen in Version 3.0:
Dazu gehört das "Vererben" der überwachten Ausführung:
Startet ein Programm unter der Aufsicht von IEC ein weiteres,
kann es ebenfalls unter dessen Kontrolle ausgeführt werden.
Damit geht die Kontrolle nicht verloren, wenn beispielsweise ein Installationsprogramm ein anderes
aus einer CAB-Datei auspackt, startet und sich selbst beendet.
Weiter ist neu die Überwachung von Funktionen für Prozesse, Dienste und Treiber.
Viele Schadprogramme öffnen den Explorer-Prozess und schleusen dort mittels der Windows-Funktion
CreateRemoteThread() Code ein. Dadurch taucht kein verdächtiges Schadprogramm im Task-Manager auf.
Außerdem ist der Explorer als zentrale Windows-Komponente üblicherweise in der Ausnahmeliste von Firewalls und
anderen Schutzprogrammen aufgeführt. Die Schadsoftware kann daher auf diesem Wege unerkannt Daten über
den Internetzugang herausschmuggeln. IEC meldet, wenn das überwachte Programm diese Windows-Funktion benutzt.
Die Zugriffskontrolle auf die Registry lässt sich nun feiner einstellen als bei früheren Versionen.
Mittlerweile lassen sich Änderungen der System-Registry, der sensiblen Internetkonfiguration sowie
der verschiedenen Möglichkeiten sperren, die parasitäre Programme nutzen, um sich per Autostart oder
Browser Helper Object ins System einzuklinken.
Neu ist auch die Möglichkeit, Datei- und Registry-Operationen, die ein Programm durchgeführt hat,
bei dessen Beenden wieder rückgängig zu machen.
IEC überwacht nicht nur die dokumentierten Win32-Funktionen,
sondern insbesondere auch die vorwiegend undokumentierten nativen Nt-Aufrufe,
die die eigentliche Arbeit leisten.
Um Flash bei Mozilla / Firebird / Firefox für Windows / Opera für Windows auszuschalten siehe, ghi@ct - Flash ausschalten.
Damit ist IEController eine kostenlose und deutschsprachige Alternative zu:
Laden Sie das Archiv iec31.zip herunter und packen Sie es aus. Kopieren Sie die Dateien IEController.exe und IECSupp.dll zusammen in ein beliebiges Verzeichnis. Von dort wird das Programm beim ersten Mal gestartet.
Beim wiederholten Aufruf erscheint dieses Konfigurationsmenü nicht?:
a) Halten Sie die linke Maustaste mit dem zweiten Klick von Doppelklick auf das IEController-Icon gedrückt.
Nur hiermit funktionieren [Importieren] und [Symbol für Konfiguration anlegen]!
(siehe
Experten-Konfiguration
,Fehler beim Importieren der Filterliste
,Fehler im IEController)
b) Wenn der IEController den IE schon gestartet hat, drücken Sie zusammen die Tasten "Alt+Caps"
["Caps" ist die "Feststelltaste" wonach alle Buchstaben groß geschrieben werden]
Hiermit funktionieren aber nicht [Importieren] und [Symbol für Konfiguration anlegen]!
(siehe
Experten-Konfiguration
,Fehler beim Importieren der Filterliste
,Fehler im IEController)
IEController nimmt keinerlei Eingriffe in den IE oder das Betriebssystem vor.
Es speichert lediglich sein Regelwerk in der Registry "[HKEY_CURRENT_USER\Software\c't\IEController]"
z.B. dl1.zip/noVBScriptJavaFlash.reg:
Generell gehen Sie mit der Benutzung von IEController kein Risiko ein.
Wenn etwas nicht funktioniert, können Sie den IE jederzeit direkt starten, wobei das Tool nicht aktiv wird.
Um IEController zu entfernen, müssen Sie lediglich das Verzeichnis mit dem Programm löschen
(und den Registry-Zweig "[HKEY_CURRENT_USER\Software\c't\IEController]").
Standardmäßig startet IEController den IE, das läßt sich aber über eine Aufrufoption ändern. Außerdem kann man einfach das Symbol eines beliebigen Programmes mit der Maus auf das Symbol IEController ziehen. Wird ein Programm zum ersten Mal über IEController gestartet, öffnet sich zunächst dessen Konfigurationsdialog. Unter dem Reiter Konfiguration können Sie eine Konfiguration mit frei wählbarem Namen (erlaubt sind Buchstaben und Zahlen) anlegen. Hier ist es der Name "noVBScriptJavaFlash". Klicken Sie auf [Symbol für Konfiguration anlegen], um die entsprechende Desktop-Verknüpfung zu erstellen.
Dadurch erzeugt IEController auf dem Desktop ein Icon, über das Sie den IEController künftig starten. Dahinter liegt eine Verknüpfung mit IEController.exe, mit der die jeweilige Konfiguration an das Programm übergeben wird. Jeder Benutzer kann beliebig viele Konfigurationen anlegen. So ist es beispielsweise sinnvoll, eine Konfiguration mit und eine ohne JScript zu erzeugen. Je nach dem, über welches IEController-Icon der IE dann gestartet wird, ist JScript (und damit auch JavaScript) erlaubt oder nicht. Über eine Aufrufoption läßt sich steuern, daß Konfigurationen nicht individuell für den aktuellen Benutzer, sondern rechnerweit gelten. Über die Aufrufoptionen kann man außerdem ein anderes Programm als IE mit IEController starten, um beispielsweise auch den Mail-Client zu überwachen.
Bei einem normalen Doppelklick auf das Icon auf dem Desktop geht gleich das Fenster des IE auf, der dann gemäß den Einstellungen in der Konfiguration kontrolliert wird. Halten Sie aber nach dem zweiten Klick die Maustaste gedrückt, öffnet sich der IEController-Dialog, und Sie können die Einstellungen ändern. Das ist etwas ungewohnt, läßt sich aber schnell erlernen. Sie können aber auch durch einen normalen Doppelklick den Browser öffnen und gelangen dann durch die Tastenkombination Alt+Capslock (etwas länger gedrückt halten, Capslock wieder ausschalten) in den IEController-Dialog. Außerdem kann man durch Einbau von Aufrufoptionen in die Verknüpfung auf dem Desktop grundsätzlich den Browser oder den Konfigurations-Dialog starten.
OriginalSeite
Die Standard-Konfiguration des IEController ist äußerst restriktiv: Er unterbindet die
Ausführung aller aktiven Inhalte. Die einzige Ausnahme bilden jene COM-Objekte, die der
Browser für den "normalen Betrieb" benötigt. Die Liste der erlaubten Objekte ist bewußt knapp gefaßt. Denn die meisten Objekte
sind optional. Zum Beispiel die Favoriten: Wenn sie nicht funktionieren, kann man mit dem
Browser trotzdem gut arbeiten. Aber schon morgen könnte eine Sicherheitslücke in genau diesem
Objekt bekannt werden. Wer die Favoriten
nutzen möchte, muß sie in seine Whitelist aufnehmen. Das geht über die
Experten-Konfiguration oder durch Import der
Filterliste
, die eine Ausnahmeregel für das entsprechende Objekt enthält.
Wichtig: Die Einstellungen des IEController sind unabhängig von denen des IE. Dinge, die im Browser zugelassen sind, kann man im IEController verbieten, nicht aber umgekehrt! Wurde etwa ActiveScripting in den IE-Sicherheitsoptionen abgeschaltet, nützt es nichts, JScript und VBScript im IEController einzuschalten.
Über die Grundkonfiguration lassen sich acht Typen von Inhalten sperren oder erlauben. Die Punkte im Einzelnen:
Über diesen Dialog wird gesteuert, welche Programme der IE aufrufen darf.
Die Grundeinstellungen umfassen einige Standardprogramme:
Notepad ist der einfachste Editor, den Windows mitbringt, und hinsichtlich Sicherheitslücken eher unbedenklich.
Je nach Version muß man den Acrobat Reader in diesem Menü parallel zu den ActiveX-Einstellungen
aktivieren, damit PDF-Dateien im Browser angezeigt werden.
Darüber hinaus gilt aber, daß
jedes Programm eine bisher unbekannte Sicherheitslücke enthalten kann. Man sollte daher nur
das zulassen, was man auch wirklich benötigt. Da der Browser eher selten ein externes
Programm aufruft, steht die Option für unbekannte Programme standardmäßig auf Nachfragen
(zu ändern in "immer Sperren" oder "immer Erlauben" über die
Experten-Konfiguration). Dadurch geht man sicher, daß eine
vermeintliche Textdatei, die direkt vom Server geöffnet wird, sich nicht als ausführbarer
Code entpuppt.
Zusätzliche Sicherheit erhält man, wenn die vom überwachten Programm aufgerufenen Programme ebenfalls unter
der Überwachung durch IEController ausgeführt werden ("Programme überwacht ausführen").
Dabei kann man einstellen, daß sich jedes Mal vor dem Start eines Programms
der Konfigurationsdialog von IEController öffnet ("Immer Konfiguration öffnen"),
und daß IEController blockierte Aktionen im geöffneten Programm über seine
Protokollfunktion meldet ("Protokollieren").
Mit Prozesse öffnen kann man verhindern,
daß das überwachte Programm über die Windows-Funktion "OpenProcess()" einen Prozess öffnet,
um dort Code einzuschleusen (beispielsweise mit WriteProcessMemory() ) oder
einen Prozess hart beendet (mit TerminateProcess() ).
Schadprogramme infiltrieren oft den Explorer-Prozess;
danach taucht kein verdächtiger Eintrag im Task-Manager auf.
Außerdem ist der Explorer als zentrale Windows-Komponente üblicherweise in der Ausnahmeliste
von Firewalls und anderen Schutzprogrammen aufgeführt.
Die Schadsoftware kann daher auf diesem Wege unerkannt Daten über den Internetzugang herausschmuggeln.
Schließlich kann man hier noch verhindern, daß überwachte Progamme Treiber/Dienste starten/beenden,
um beispielsweise eine Firewall auszutricksen.
Da grundsätzlich jede Funktion des IE unsicher sein könnte, überwacht
IEController zusätzlich die Dateizugriffe des Browsers. Prinzipiell ließen sich damit
alle Risiken kontrollieren, doch in der Praxis sieht das anders aus:
Der IE tobt ständig lesend und schreibend über die Platte, so daß man nur mit einer sehr lockeren
Kontrolle arbeiten kann. Daher sind die Freigaben schon in der Grundeinstellung sehr
umfangreich. Immerhin schränken sie den Zugriff auf das Windows- und System-Verzeichnis
aufs "Lesen" ein.
Will man dies aus irgend einem Grund ändern, sollte man zumindest den Schreibzugriff auf die Hosts-Datei sperren,
um zu verhindern, daß Schadprogramme darüber etwa auf Phishing-Seiten umleiten.
Ferner enthält die Grundeinstellung etliche Verzeichnisse, in denen der IE Dateien ablegt.
Durch Sperren des Cookie-Verzeichnisses kann man sich vor diesen kleinen Datenpaketen schützen,
sie werden aber oft zu sogenannten Session-ID's verwendet und ermöglichen nach einer
Anmeldung die zulässige Kommunikation zum Server. Bei "free Webspace"-ern werden
sie auch dazu genutzt, "nachzusehen" (=Cookie gesetzt) ob der Benutzer den Download oder
das Bild von der "free Webspace"-er-Seite oder von einer fremden Seite aufruft.
Ist es eine fremde Seite(=Cookie nicht gesetzt), so geht der Download nicht oder das Bild ist nicht zu sehen bzw.
ein Werbebild des "free Webspace"-er. Daher ist es nicht zu empfehlen, Cookie's abzuschalten.
Außerdem: Ein Cookie kann immer nur von der besuchten Seite ausgelesen werden
in der das Cookie erzeugt wurde. Erst beim wiederholten Besuchen der selben Seite,
könnte das Cookie dem Server Auskunft über das Benutzerverhalten geben.
Da ist eher zu empfehlen: Den Cookie-Cache täglich zu leeren oder
den Cookie-Cache in eine "RAM-Disk" zu verlegen.
Der Versuch, alle Zugriffe etwa des Acrobat-Plug-ins freizugeben, hat gezeigt,
daß diese in hohem Maße installations- und versionsabhängig sind.
Eine allgemeingültige Lösung für Flash, MediaPlayer usw. ,
die zudem einen vernünftigen Schutz bietet, läßt sich nicht finden.
Wer den Zugriff auf unbekannte Dateien sperren will (über die
Experten-Konfiguration), muß die Ausnahmeliste individuell anpassen.
Er wird aber mit einem deutlich höheren Schutzpotenzial belohnt.
Wenig Mühe macht es hingegen, über die Verbotsliste in der Experten-Konfiguration wichtige Dateien,
die etwa Kennwörter, PGP-Schlüssel oder die Homebanking-Datenbank enthalten,
vor Zugriffen zu schützen.
Hier legen Sie fest, auf welche Internet-Server der IE oder ein anderes überwachtes Programm zugreifen darf. Damit läßt sich ein einfacher Webfilter realisieren. Neben der Möglichkeit, in der Experten-Konfiguration den Zugriff auf eine Auswahl von Servern zu beschränken (in Verbindung mit der Einstellung Immer sperren) oder bestimmte Server zu sperren, bietet die Grundeinstellung einige interessante Optionen:
Die weitere Optionen in diesem Menü betreffen den Datenschutz und die Analyse von Datenverkehr:
OriginalSeite
Auf Phishing-Sites und Abo-Fallen wird versucht, den Besuchern vertrauliche Daten zu entlocken.
Ein Moment der Unaufmerksamkeit genügt, und Account-Daten gelangen in falsche Hände oder
ein Abzocker will einem einen Vertrag aufzwingen.
IEController bietet einen gewissen Schutz, indem man sich vor dem Absenden wichtiger Daten warnen lassen kann.
Das beginnt bei harmlosen Dingen wie Adressdaten, auf die es die Betreiber von Abo-Fallen abgesehen haben.
Dabei genügt es, die Postleitzahl, den Straßennamen und eine E-Mail-Adresse einzutragen.
Aber auch Login-Namen kann man hier hinterlegen, Kontonummern oder die Kreditkartendaten.
Doch Vorsicht: IEController legt die zu filternden Daten ohne Bezeichnung und verschleiert (XOR) in der Registry ab.
Vertrauliche Daten wie Konto- oder Kreditkartennummern sollte man daher nicht vollständig eingeben,
sondern mindestens zwei oder drei Ziffern weglassen. Und Passwörter oder PINs haben hier gar nichts zu suchen.
Sonst ist das Risiko, daß sie einem Schadprogramm in die Hände fallen, zu groß.
IEController prüft Daten, die mit der URL oder mit Header-Elementen an den Server übertragen werden.
Es überwacht dazu die Wininet-API von Windows, an der auch die Daten von SSL-Verbindungen im Klartext ankommen.
Daher klappt die Überwachung aber nur mit Programmen, die diese API benutzen.
Ein Beispiel dafür ist der IE.
Auf sensible Daten prüfen aktiviert die Funktion.
Ein Klick mit der rechten Maustaste in den Tabellenbereich öffnet ein Kontextmenü,
über das sich neue Einträge anlegen lassen.
Dort werden die zu schützenden Schlüsselwörter eingetragen,
etwa eine E-Mail-Adresse. Um nun nicht jedes Mal eine Warnung quitieren zu müssen,
wenn z.B. die E-Mail-Adresse an einen häufig genutzten Server gesendet wird,
kann eine komma-getrennte Liste von Servern (bei Zugelassen für Host) eingeben werden,
an die diese Adresse ohne Warnung geschickt wird.
Außerdem läßt sich jeder Eintrag in der Liste einzeln aktivieren oder deaktivieren.
Wird ein Schlüsselwort an einen Server geschickt, der nicht in der Whitelist steht,
schlägt IEController Alarm. Dabei nennt es die unverschleierte Adresse des Servers,
an den die Daten gesendet werden sollen. Die Meldung läßt vier Reaktions-Möglichkeiten:
OriginalSeite
Über die Zugriffskontrolle auf die Registry lassen sich Änderungen der System-Registry,
die sensible Internet-Konfiguration und
weitere verschiedene Möglichkeiten, die parasitäre Programme nutzen,
um sich per Autostart oder als Browser Helper Object ins System einzuklinken, sperren:
OriginalSeite
IEController kann nicht nur die übertragenen Daten protokollieren,
sondern auch etliche weitere Informationen. Dazu schreibt es diese auf die Debug-Konsole von Windows.
Mit dem Tool DebugView von M$ kann die Ausgabe angesehen, durchsucht und abspeichert werden
OriginalSeite
Alle vier Filter (ActiveX, Programme, Dateien und Internet)
besitzen eine Experten-Konfiguration, die jeweils gleich aufgebaut ist. Sie wird daher hier am Beispiel
des ActiveX-Filters exemplarisch erläutert.
IEController Experten-Konfiguration für ActiveX
Die Experten-Konfiguration ist in drei Bereiche aufgeteilt: Die Blacklist mit verbotenen Objekten, die Whitelist mit erlaubten Objekten und die Einstellung für unbekannte Objekte, die weder von den beiden Listen, noch von der Grundeinstellung erfaßt werden.
Um das Programm optimal nutzen zu können, muß man die Prioritäten der Grundeinstellung und der Listen kennen: Will der IE ein Objekt erzeugen, schaut IEController zunächst in die (1.) Blacklist. Ist die CLSID (z.B. D27CDB6E-AE6D-11CF-96B8-444553540000 für "Shockwave Flash Object") des Objekts dort verzeichnet, wird seine Ausführung unterbunden. Andernfalls schaut das Programm in die (2.) Grundeinstellung. Ist das Objekt dort verzeichnet, wird es entsprechend der Einstellung gesperrt oder erlaubt. Falls nicht, konsultiert das Programm schließlich die (3.) Whitelist. Die dort verzeichneten Objekte können entweder auf "erlaubt" oder "nachfragen" stehen und werden entsprechend behandelt.
Ist die CLSID in keiner Liste aufgeführt, gilt das Objekt als unbekannt und wird entsprechend der (4.) Einstellung im unteren Bereich des Fensters behandelt: Die Einstellung "Immer erlauben" beschränkt den Schutz auf Objekte, die in der Grundeinstellung verboten werden oder in der Blacklist eingetragen sind. "Immer sperren" ist die sicherste Einstellung, doch dann werden meist auch erwünschte Funktionen gesperrt, so daß man die dafür notwendigen Objekte in die Whitelist aufnehmen muß.
IEController Experten-Konfiguration für Programme
IEController Experten-Konfiguration für Dateien
IEController Experten-Konfiguration für Internet
Die Black- und die Whitelist können durch den Import von Filterlisten befüllt werden. Es handelt sich um Text-Dateien, in denen für jedes Objekt fünf Werte angegeben sein müssen:
Eine Filterliste ist in vier Sektionen unterteilt, für jeden Filtertyp eine. Sie werden durch Kommentare (mit einem Hash [=Raute=Doppelkreuz] am Zeilenanfang) unterteilt:
# Section CLSID # Section Process # Section File # Section Internet
Damit IEController die Filterliste importiert, muß die Datei mit einer Signatur beginnen, bestehend aus folgender Kommentarzeile:
# c't-IEController Import File Version 1
Hier wäre so eine fertige Filterliste. Sie enthält einige nützliche Objekte, die aber nach dem Import noch nicht aktiv sind.
Außerdem lassen sich die Listen über die Nachfrage-Option mit Objekten befüllen. Versucht das überwachte Programm dann, ein unbekanntes Objekt zu erzeugen, wird dies über die Option "Diese Wahl soll immer [...] gelten" in die Whitelist (Erlauben-Button) oder in die Blacklist (Sperren-Button) übernommen.
Ein Klick mit der rechten Maustaste auf einen Listeneintrag öffnet eine Auswahlbox, über die man den Eintrag ändern oder löschen kann. So läßt sich etwa der Status der Einträge, die wie beschrieben aus der Filterliste importiert wurden, auf "Aktiv" setzen, die Beschreibung editieren oder die Reaktion von IEController auf das Objekt festlegen. Außerdem kann man über die Auswahlbox neue Einträge von Hand anlegen. Das mag für ActiveX-Objekte wenig nützlich sein (kaum jemand wird die passende CLSID parat haben), es ist aber nützlich, um etwa eine URL in den Internet-Filter aufzunehmen.
Der IEController speichert alle Einstellungen unter dem Schlüssel "[HKEY_CURRENT_USER\Software\c't\IEController]" in der Registry ab. Für jede Konfiguration wird ein Unterschlüssel erzeugt. Die Werte dort lassen sich aus der Import-Datei für die Black- bzw. Whitelist ableiten.
IEcontroller wertet Parameter aus, die ihm beim Aufruf übergeben werden. Um solche Parameter anzugeben, müssen sie in der Verknüpfung auf dem Desktop eintragen werden. Ein Klick mit der rechten Maustaste auf eine Desktop-Verknüpfung von IEController öffnet den Eigenschaften-Dialog. Dort läßt sich der Programmaufruf (unter "Ziel") um Optionen erweitern. Folgende Aufrufoptionen kennt das Programm:
Option | Beschreibung |
-App:xxx | Name der zu startenden Anwendung (Standard: IE) Pfad und Dateiname dürfen aber keine Leerzeichen enthalten! Befindet sich der IE im Standardverzeichnis "C:\Programme\Internet Explorer\iexplore.exe", so lautet der Parameter: -App:c:\PROGRA~1\INTERN~1\iexplore.exe
|
-Cfg:xxx | Name der zu verwendenden Konfiguration |
-Config | Bei jedem Start den Konfigurationsdialog anzeigen |
-NoMouseCfg | Halten der Maustaste nach dem Anklicken zeigt nicht den Konfigurationsdialog |
-ROConfig | Konfiguration läßt sich nicht ändern |
-GlobalConfig | Konfiguration gilt nicht pro Benutzer, sondern pro Rechner |
-SkipOpenFile | OpenFile-Funktion nicht überwachen (damit funktioniert das Windows Update) |
undokumentierte | |
-ExitWait | Den Beenden-Code (Nummer) anzeigen (nach dem Beenden). |
-DisableSCM | Aufrufe des "Service Control Manager"s sind nicht möglich. Betrifft die Treiber/Dienste-Funktionen . |
-DisableNet | Ein Aufruf von Seiten im Internet ist nicht möglich. |
-SkipFileFuncs | Läßt die Protokollierung von Datei-Funktionen aus. |
-ShowUsingHosts | ??? |
-DontChangeTitle | In der obersten blauen Titelzeile des IE-Fensters wird "[IEC3.1]" nicht vorangestellt. |
-DisableCfgHotkey | Wenn der IE gestartet ist, kann die IEC-Konfiguration nicht über die Tasten-Kombination "Alt-Capslock" aufgerufen werden. |
-RegLog | ??? |
-LogUndo | ??? |
-LogDlg | ??? |
-SkipKernelDll | ??? |
-SkipRegistry | Zugriffe auf die Registry-Funktionen werden nicht protokolliert. |
-SkipAdvApiDll | ??? |
-SkipWinINet | ??? |
-SkipOLE | ??? |
-SkipUserDll | ??? |
-SkipNtDll | ??? |
-SkipWinSock | ??? |
-AskAlways | ??? IEC starte auch nicht ??? aber im DebugView wird etwas protokolliert |
-LogDisabled | ??? |
-EnableLoggingDisabled | ??? |
-EnableLogging | ??? |
-ForceAskProcStart | ??? |
-OnlyLogging | ??? |
-LastIECArg | ??? |
-Wait | ??? |
Standardmäßig startet IEController den IE, doch er funktioniert vom Prinzip her auch mit jedem anderen Win32-Programm. Man kann damit also auch etwa einen anderen Browser sicher machen, allerdings erst nach einigen Anpassungen. Wenn man im Internet Explorer eine Seite mit JavaScript lädt, dann öffnet er die Datei "jscript.dll" und erzeugt ein COM-Objekt (Component Object Model), das den Code ausführt. Hat man in der Konfiguration des IEController das Ausführen von JScript (M$s erweiterte Version von JavaScript) verboten, wird die Erzeugung des entsprechenden COM-Objektes verhindert. Dazu muß man lediglich im Konfigurationsmenü ein Häkchen löschen. Andere Browser nutzen aber nicht die "jscript.dll", sondern erzeugen andere COM-Objekte, um JavaScript anzuzeigen. Diese muß man dann in die Konfiguration je nach Wunsch als erlaubt oder verboten eintragen.
Nun erzeugt der IE beim Programmstart und Laden einer einfachen HTML-Datei aber bereits über 20 COM-Objekte. Das läßt ahnen, wie aufwendig es ist, den Überwachungsmechanismus an ein gänzlich anderes Programm anzupassen. Außerdem ist IEController nicht ungefährlich: Es kann durchaus zu Abstürzen und Datenverlusten kommen, wenn er die Erzeugung eines COM-Objekts verhindert und das kontrollierte Programm dies nicht abfängt. Der IE zeigt sich hier sehr tolerant, das muß aber nicht für jede Software gelten.
Bei Programmen, die eng mit dem M$ Browser zusammenarbeiten oder ihn als Anzeigemodul
nutzen, kann die Überwachung durch IEController aber durchaus sinnvoll sein. Ein Beispiel
ist Outlook Express: Es genügt, die Standard-Objekte des IE
durch Setzen eines Häkchens und rund zehn weitere durch einmaliges Bestätigen zuzulassen,
um mit dem Mailer arbeiten zu können. Alles andere, insbesondere JScript und VBScript,
bleibt aber verboten, was die Anzeige von HTML-Mails recht sicher macht.
Ein generelles Verbot von Zugriffen auf Internetadressen verhindert zusätzlich,
daß das Lesen einer Spam-Mail dem Absender durch Nachladen von dessen Webserver
signalisiert wird. Außerdem kann man den Start externer Programme
verhindern beziehungsweise etwa auf einen JPG-Viewer und das Notepad beschränken,
um gefährliche Attachment-Typen zu entschärfen.
Um über eine IEController-Verknüpfung Outlook Express zu starten, muß man folgende Option unter Verknüpfung/Ziel eintragen (bei einer Windows-Standardinstallation auf Laufwerk C:):
-App:"C:\Programme\Outlook Express\msimn.exe"
Es liegt nahe genau obige Funktionsnamen im DebugView-Filter/Highlight einzugeben. Allerdings schneidet DebugView die Filter/Highlight-Einstellungen bei 255 Zeichen ohne jede Warnung ab, so daß folgende Filter/Highlight-Einstellung eher ein Ausgangspunkt sind:
Filter Nr. | Funktions- Gruppe | Filter/Highlight-Einstellung/Text |
---|---|---|
10 | ActiveX/COM | *CoCreateInstanceEx*;*CoGetClassObject*;*COM Object * |
9 | Dateien | *Nt*File* |
8 | Prozesse/Threads | *CreateProcess*;*OpenProcess*;*NtOpenThread*;*TerminateProcess*;*TerminateJobObject*;*NtWriteVirtualMemory*;*NtCreateThread*;*NtQueryInformationThread*;*ExitProcess* |
4 | Registry | *RegKey *;*RegVal * |
3 | Netzwerk/Internet | *socket*;*closesocket*;*getsockname*;*connect*;*accept*;*listen*;*bind*;*send*;*recv*;*select*;*setsockopt*;*WSALookupServiceNext*;*InternetConnect*;*InternetOpen*;*InternetClose*;*Http*Request*;*HttpQueryInfo* |
2 | Hooks | *SetWin*Hook*;*AttachThreadInput* |
1 | Treiber/Dienste | *SCManager*;*OpenService*;*CreateService* |
6 | Sonstiges | *CreateFontIndirectEx* |
Filter/Highlight-Farb-Standard-Einstellungen in DebugView
Filter Nr. | Filter Nr. | Text- Farbe | Hintergrund- Farbe |
---|---|---|---|
1 | 11 | FFFFFF | FF0000 |
2 | 12 | FFFFFF | FF0080 |
3 | 13 | FFFFFF | 4080FF |
4 | 14 | FFFFFF | 808040 |
5 | 15 | FFFFFF | FF8000 |
6 | 16 | 000000 | FF8080 |
7 | 17 | 000000 | 80FF80 |
8 | 18 | 000000 | FFFF80 |
9 | 19 | 000000 | 80FF80 |
10 | 20 | 000000 | 80FFFF |
? GDATA AnitiVirus meldet regelmäßig einen Virenverdacht für IEController.exe. Ist das Programm verseucht?
Nein, hierbei handelt es sich um einen Fehlalarm, der bei neueren Versionen des Antiviren-Programms auftritt.
? Ich habe WinSecurityGate für den Autostart so konfiguriert, daß beim Start kein Menü angezeigt wird. Wie kann ich jetzt die Einstellungen ändern?
Melden Sie sich als Administrator an und starten Sie WinSecurityGate durch einen Doppelklick auf das Programmsymbol. Halten Sie dabei die linke Maustaste gedrückt. Dadurch öffnet sich das Menü und Sie können die Einstellungen anpassen. Wenn Sie dann "Ok" anklicken, kommt zwar eine Fehlermeldung, daß WinSecurityGate bereits gestartet sei, doch die neuen Einstellungen sind gespeichert. Sie werden allerdings erst nach einem Neustart des PC aktiv.
? Immer wenn ich den IEController durch Doppelklick starte, öffnet sich der IE. Wie kann ich ein anderes Programm damit kontrollieren?
Ziehen Sie einfach das Programmsymbol des zu startenden Programms auf das von IEController. Der Einstellungsdialog läßt sich dann über die Tastenkombination "Alt-Capslock" öffnen.
? Die Favoriten lassen sich nur noch über das Menü aufrufen und nicht mehr wie gewohnt über den Stern in der Toolbar? Die Leiste ist zwar da, doch völlig leer.
Der IEController kennt das dafür notwendige COM-Objekt nicht. Gehen Sie in die Experten-Konfiguration für ActiveX und konfigurieren Sie das Tool so, daß es bei unbekannten Objekten nachfragt. Starten Sie den IE und öffnen Sie die Favoritenliste über die Toolbar. Dann öffnet sich ein Dialog mit der Meldung, daß der Browser das Objekt "Favorites Band" aus der Datei "shdocvw.dll" erzeugen will. Erlauben Sie dies für immer, dann wird das Objekt in die Whitelist eingetragen und der Aufruf der Favoriten klappt künftig ohne Nachfrage.
? Es gelingt mir nicht, unter der Kontrolle von IECOntroller ein Windows-Update durchzuführen.
Für das Windows-Update müssen Sie in der Experten-Konfiguration unter "ActiveX" die Erzeugung unbekannter COM-Objekte immer zulassen (unsichere Einstellung!). Außerdem müssen Sie beim Aufruf von IEController die Option "-SkipOpenFile" übergeben. Mehr dazu finden Sie unter Aufruf-Optionen.
? Läuft IEController auch unter Windows ME?
Für Windows ME gilt das gleiche wie für Windows 95/98: Prinzipbedingt läuft IEController nicht, weil die erforderliche Schnittstelle zum Abfangen der Systemfunktionen fehlt.
? Ich habe versucht, eine eigene Filterliste zu erstellen, doch IEController meldet beim Import einen Fehler.
Zum Import einer Filterliste muß unter "Dateien" der Zugriff auf das File erlaubt sein. Außerdem muß die Datei mit folgender Zeile beginnen:
# c't-IEController Import File Version 1
Alle Objekte außer den CLSIDs (also die Namen von Programmen, Dateien und Servern) müssen in doppelten Anführungszeichen stehen. Mehr dazu finden Sie unter Experten-Konfiguration oder Sie schauen sich die " Filterliste" an.
? Wenn ich IEController benutze, arbeitet mein Browser nicht mehr richtig. Ich kann keine Seiten mehr drucken und nicht mehr mit den Favoriten arbeiten. Ist das ein Programmfehler?
IEController arbeitet korrekt. Allerdings nutzt der Browser für interne
Funktionen dieselben Techniken wie zur Darstellung aktiver Inhalte. So
benötigt er JScript zum Drucken oder zum Durchsuchen von Seiten. Selbst
wenn Sie in den IE-Sicherheitsoptionen ActiveScripting abgeschaltet haben,
arbeitet der Browser intern weiterhin damit. IEController hingegen
verhindert die Ausführung von JScript zuverlässig. Zum Drucken oder Suchen
müssen Sie es daher zeitweillig einschalten. Das geht problemlos:
"Alt+Capslock" drücken, auf "JScript" und auf "Fortsetzen" klicken
fertig.
Daneben muß man für einige Funktionen weitere COM-Objekte zulassen. Die " Filterliste" enthält eine Sammlung davon:
Die Liste wird über den "Importieren"-Button im Menü "Konfiguration" geladen. Alle Einträge sind danach noch inaktiv und müssen nach Wunsch aktiviert werden.
? Seit dem Aufspielen von Service Pack 2 erhalte ich beim Start des IEController die Fehlermeldung, daß ich eine falsche Version des Betriebssystems einsetze. Gibt es eine IEController-Version, die unter SP2 läuft?
Eine aktualisierte Version des IEController, die auch unter Windows XP SP2 läuft, finden Sie auf der Website des Programmautors www.withopf.com/tools/iec/ : iec31.zip.
? Viele Programme rufen automatisch den IE ohne IEController auf. Wie mache ich den IEController zum Standard-Browser auf meinem System?
Zu diesem Zwecke wurde eine Registry-Datei = dl1.zip/iec.reg zusammengestellt:
Diese enthält eine Reihe von Registry-Keys, die durch
Doppelklick auf die Datei in die Registrierungsdatei übernommen werden.
Vorsicht! Vor der Installation sollte man zunächst mit dem Registry-
Editor regedit die Registry-Keys
HKEY_CLASSES_ROOT\htmlfile
HKEY_CLASSES_ROOT\HTTP
HKEY_CLASSES_ROOT\https
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html
exportieren, um bei Problemen den Urzustand der Registry wiederherstellen
zu können. Gegebenenfalls muß man die in der Registry-Datei angegebenen
Pfade zum IEController dem eigenen System entsprechend anpassen.
Damit Webseiten mit Flash-Filmchen nicht nervend nachfragen,
ob sie Flash nachinstallieren dürfen
("Installieren und ausführen...?"),
muß unter "Experten-Konfiguration" die Option
"Unbekannte COM-Objekte erzeugen / Immer sperren" gesetzt werden.
Der Registry-Eintrag "BrowseNewProcess=yes" unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess"
sorgt dafür, daß man gleichzeitig mit und ohne IEController surfen kann.
Nach Hinweisen von ghi@ct - Flash ausschalten dort auch für Mozilla / Firebird / Firefox für Windows / Opera für Windows
Auszug aus M$ Knowledgebase Artikel 240797
"So verhindern Sie die Ausführung von ActiveX-Steuerelementen in IE" :
Hinweis: Für WinXP/Server 2003 können Administratoren Richtlinien
zur Softwarebeschränkung verwenden, um die Ausführung von ActiveX-Steuerelementen
auf allen Computern in der Active Dicrectory-Domäne zu unterbinden.
Warnung: M$ rät davon ab, die Kill-Aktion für ein
ActiveX-Steuerelement rückgängig zu machen. Wenn Sie die "Kill"-Aktion
dennoch rückgängig machen, können dadurch Sicherheitsanfälligkeiten
verursacht werden.
Bei der CLSID (Class Identifier) für ein ActiveX-Steuerelement handelt es sich um einen
GUID (Globally Unique Identifier) für das Steuerelement. Sie können die
Ausführung eines ActiveX-Steuerelements im IE verhindern, indem Sie das
"Kill Bit" setzen und so bewirken, daß das Steuerelement von IE
nicht aufgerufen werden kann. Das "Kill Bit" ist ein spezifischer Wert
für den DWORD-Wert "Compatibility Flags" des ActiveX-Steuerelements in der
Registrierung. Beachten Sie, daß sich dieses Verfahren von einem Widerrufen der Option
"Sicher für Skripting" in einem ActiveX-Steuerelement unterscheidet.
Wenn die Option "Sicher für Skripting" widerrufen wird, startet der
IE trotzdem einen Aufruf für das Steuerelement, zeigt Ihnen jedoch eine
Warnung an, die besagt, daß das ActiveX-Steuerelement möglicherweise nicht sicher
ist. Das Steuerelement kann also ausgeführt werden, wenn Sie der Ausführung
zustimmen. Wenn jedoch das "Kill Bit" für ein ActiveX-Steuerelement gesetzt
ist, wird dieses Steuerelement vom IE Explorer generell nicht mehr aufgerufen.
Gehen Sie folgendermaßen vor, um das "Kill Bit" für ein
ActiveX-Steuerelement zu setzen,
damit es nicht mehr vom IE aufgerufen wird:
Auszug aus M$ Knowledgebase Artikel 154850
"SO WIRD'S GEMACHT: In Windows ein ActiveX-Steuerelement entfernen" :
IE 4.x oder höher beinhaltet die Datei C:\WINNT\system32\Occache.dll, die dazu verwendet
wird, mit Hilfe eines "Shell-Ordners" ActiveX-Steuerelemente
aufzulisten, zu aktualisieren und sicher zu deinstallieren.
Fehlermeldungen beim Entfernen von ActiveX-Steuerelementen:
Sie erhalten möglicherweise die folgende Meldungen bei dem Versuch, ein
ActiveX-Steuerelement mithilfe eines Occache-Shell-Ordners zu entfernen:
Gemeinsame Zugriffsverletzung
Diese Programmdateien
werden zurzeit von einem oder mehreren Programmen verwendet.
Schließen Sie einige Programme und versuchen Sie es erneut.
Möglicherweise müssen Sie Windows neu starten.
Diese Nachricht erscheint dann, wenn das ActiveX-Steuerelement, das Sie entfernen möchten, zurzeit vom
IE oder von der Active Desktop-Komponente in den Speicher geladen ist.
Gehen Sie folgendermaßen
vor, um diese Fehlermeldung zu beseitigen:
Hinweis: Im IE 4.01 SP1 oder höher entfernt Occache keine abhängigen Dateien außerhalb eines registrierten Occache-Ordners und fordert Sie auch nicht auf, solche Dateien zu entfernen.
Unterstützung für mehrere Occache-Ordner
IE 4.0 und höher unterstützt mehrere Occache-Ordner.
Eine Liste dieser Ordner finden Sie in folgendem
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ActiveX Cache
Standardmäßig nutzt IE 4.0 und höher den Ordner
Windows\Downloaded Program Files
oder
Winnt\Downloaded Program Files
Wenn Sie von IE 3.x aus aktualisiert haben, existiert
möglicherweise sowohl ein Ordner Occache als
auch ein Ordner Downloaded Program Files. In
diesem Fall werden alle neuen ActiveX-Steuerelemente im Ordner
Downloaded Program Files installiert, aber
früher installierte ActiveX-Steuerelemente befinden sich
weiterhin im Ordner Occache. Wenn Sie in
Windows Explorer, Windows NT Explorer oder im Arbeitsplatz den
Ordner Occache oder
Downloaded Program Files öffnen, werden alle
ActiveX-Steuerelemente angezeigt, unabhängig davon, in welchem
Ordner sich deren Dateien befinden. In diesem Fall erscheinen
folgende Zeichenfolgenwerte im obigem Registrierungsschlüssel:
"0"="C:\\WINDOWS\\OCCACHE" "1"="C:\\WINDOWS\\Downloaded Program Files"
Achtung: Keine Haftung für irgendwelche Schäden, die aus einem fehlerhaften Umgang mit der Registry entstehen !
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility
Diese Änderung betrifft sämtliche Flash-Anwendungen im IE. Um Flash wieder zu aktivieren, löschen Sie den Schlüssel.
Sie können auch zwei kleine Dateien disableflash.reg :
und enableflash.reg :
erzeugen, mit denen Sie die Registry-Änderung von Fall zu Fall durchführen können.
Wenn Sie sich anschließend auf dem Desktop Verknüpfungen
regedit.exe /s c:\disableflash.reg
regedit.exe /s c:\enableflash.reg
mit diesen Dateien erstellen, können Sie sehr einfach nach Ihren
Wünschen die lästigen Popups aus- und die erwünschten Filme
einschalten. (Umschalten während der
Internetsitzung funktioniert nicht, weil IE die
Registry-Einstellungen nur beim Laden liest.)