Internet-Explorer abklemmen
Das Problem: Ungestopfte Sicherheitslücken
Der Internet-Explorer fällt immer wieder durch zahlreiche Sicherheitslücken auf, die nur zum Teil durch Patches behoben werden. Da der Internet-Explorer zusätzlich noch der verbreitetste Browser ist, ist er in doppelter Hinsicht beliebtes Angriffsziel.
Es wäre also prinzipiell eine gute Idee, dieses Stück sicherheitskritische Software stillzulegen. Trotzdem ist es nicht immer zu empfehlen den Internet-Explorer gänzlich vom System zu entfernen, da er für zahlreiche Aktionen benötigt wird, u.a. Windows-Hilfe anzeigen, Windows-Update ausführen, u.a. Dingen.
Eine Lösung
Diese Lösung für das Problem ist sehr einfach (was nicht heißt, dass ich selbst drauf gekommen wäre; Jürgen P. Meier und Stefan Kanthak sind wichtige Mittäter): Man stellt im Internet-Explorer einen Proxy ein, der nicht existiert, also z.B. den eigenen Rechner, auf dem normalerweise kein Proxy läuft. Somit landen alle Anfragen des Internet-Explorers im Nirwana und er funktioniert nicht mehr. Um das Windows-Update zu ermöglichen ist es zusätzlich notwendig, eine Liste von Zielen zu definieren, für die nicht(!) der Proxy, der in unserem Fall ja nicht funktionieren darf, benutzt werden soll.
Diese 
Reg-Datei nimmt automatisch alle erforderlichen Einstellungen in der Windows-Registry vor. Die Datei ist kommentiert, so dass man die Einstellungen auch nachvollziehen kann. Wenn man diese Datei heruntergeladen hat, wird man nach Doppelklick auf diese Datei gefragt, ob man die Informationen der Registry hinzufügen möchte. Dem sollte man sinnvollerweise zustimmen, wenn man die Einstellungen wirksam werden lassen möchte. :-)
Achtung: Bitte diese Reg-Datei als Administrator importieren.
Für wen ist diese Lösung interessant?
Alle, die global den Internet-Explorer für alle normalen Benutzer (ohne Administrator-Rechte) abklemmen wollen, um zu verhindern, dass versehentlich Schad-Code zur Ausführung kommt, der per Netzwerk/Internet heruntergeladen wurde. Gegen Vorsatz hilft das ganze nicht, weil lokal gespeicherte Dateien weiterhin angezeigt werden und darin enthaltener Schad-Code somit ebenfalls zur Ausführung kommt. Dazu zählen natürlich auch Anhänge aus E-Mails, wo man als Motiv des Benutzers diese mit dem Internet-Explorer zu öffnen wohl Mutwilligkeit ausschließen kann. Zusätzlich kann der Administrator nun global die Sicherheitseinstellungen des Internet-Explorers für alle Benutzer des Systems definieren.
Alternativlösung (sicherer, weniger Funktionalität auf dem System verfügbar)
Wer den IE komplett loswerden will, sollte im Windows-Verzeichnis die Datei mshtml.dll suchen und die Rechte auf diese Datei so setzen, dass nur der Administrator diese Datei lesen kann. Diese DLL-Datei enthält die Rendering-Engine des Internet-Explorers. Der Administrator kann weiterhin alles mit dem Internet-Explorer erledigen (Windows-Updates herunterladen, Porno-Seiten besuchen), der normale Benutzer kann genau nichts mehr machen, wofür man den Internet-Explorer braucht (Windows-Hilfe, MS-Office benutzt irgendwo auch den Explorer). Ob man damit leben kann, sollte man einfach mal probieren.
Sinn macht das natürlich auch nur wieder, wenn alle Benutzer auch nur eingeschränkte Benutzerrechte haben und lediglich der Administratormensch (und der auch nur zu Administrationszwecken) Administrator-Rechte hat.
Wichtige Hinweise zur Reg-Datei
Die Einstellungen werden als Administrator für alle(!) Benutzer des Rechners global festgelegt. Normale Benutzer (ohne Administrator-Rechte) können diese Einstellungen nicht mehr ändern. So kann niemand ungefragt den Internet-Explorer für's Browsen benutzen, es sei denn der Administrator erlaubt es. Sinn macht das ganze also nur, wenn man auch die verschiedenen Benutzerrechte des Systems nutzt; sind alle Administrator bzw. arbeitet man immer als Administrator, macht das ganze wenig Sinn.
Lokal gespeicherte Dateien zeigt der IE weiterhin an, auch solche Dateien, die Sicherheitslücken ausnutzen könnten. Z.B. kann man sich vorstellen, dass man per E-Mail eine Datei bekommt, die eine Sicherheitslücke im Internet-Explorer ausnutzen kann. Benutzt man zur Anzeige den Internet-Explorer, hat man trotzdem verloren. Allerdings kann der Administrator die Sicherheitseinstellungen des Internet-Explorers durch die Einstellungen der
Reg-Datei nun global definieren.Die Ausnahmeliste definiert die Ziele, die man trotzdem erreichen können soll. Voreingestellt sind alle Rechner, die der Internet-Explorer beim Windows-Update ansteuert. Im Laufe der Zeit könnte sich jedoch an dieser Stelle etwas verändern. Falls etwas nicht funktioniert, wäre ich für einen Hinweis dankbar. Außerdem gibt es Software, die darauf besteht den Internet-Explorer zu benutzen, beispielsweise die Update-Funktion des Virenscanners von Kaspersky. Will man solche Software nutzen (nein, ich bin kein Freund von Virenscannern), muss man die Ausnahmeliste als Administrator erweitern oder die Reg-Datei ändern und erneut importieren.
Einstellungen ändern: Im Internet-Explorer Extras->Internetoptionen->Verbindungen->LAN-Einstellungen. Will man prüfen, ob etwas nicht funktioniert, auf Grund der Proxy-Einstellungen, das Häkchen bei "Proxyserver für LAN verwenden" entfernen. Im gleichen Menü findet man auch die Ausnahmeliste.
Wie findet man heraus, welche Ausnahmen noch hinzugefügt werden müssen, falls was nicht funktioniert? Ich benutze dazu
Wireshark und lasse mir nur DNS-Abfragen anzeigen. Ich hab dazu eine kleine Anleitung bereitgestellt. Der Zugriff auf die Netzwerkschnittstelle per Wireshark funktioniert übrigens nur mit Adminstrator-Rechten, was auch gut so ist. Zudem sollte einem bewusst sein, dass Wireshark, bzw. ehemals Ethereal ein sicherheitstechnischer Misthaufen ist. Updates bitte regelmäßig installieren.