IEController 3.1

• Was/Wozu ist der IEController?
• Herunterladen des ausführbaren Programms
  • Version 3.2  für ... ??? ... Windows vom 05.10.2009
  • Version 3.1  für NT 4.0 SP6, Windows 2000/XP/2003 vom 23.09.2007
  • Version 3.0  für NT 4.0 SP6, Windows 2000/XP/2003 vom 15.02.2007
  • Version 2.52 für NT 4.0 SP6, Windows 2000/XP/2003 vom 03.08.2005
  • Version 2.51 für NT 4.0 SP6, Windows 2000/XP/2003 vom 14.02.2005
  • Version 2.5   für NT 4.0 SP6, Windows 2000/XP/2003 vom 31.10.2004
  • Version 2.4   für NT 4.0 SP6, Windows 2000/XP/2003 vom 24.09.2004
  • Version 2.3   für NT 4.0 SP6, Windows 2000/XP/2003 vom 21.08.2004
  • Version 3.1   für NT 4.0 SP6, Windows 2000/XP/2003/Vista auch 64-Bit-Versionen vom 07.09.2007
• Herunterladen der Beispielfilterliste
• Herunterladen der Quelltexte zu Version 2.0
• Hilfe
  • Installation
  • Konfigurationen:
    • ActiveX-Konfiguration
    • Programme-Konfiguration
    • Dateien-Konfiguration
    • Internet-Konfiguration (DebugView)
    • Privatsphäre-Konfiguration
    • Registry-Konfiguration
    • Verschiedenes-Konfiguration ; Änderungen der Registry rückgängig machen
    • Protokollieren-Konfiguration
    • Experten-Konfiguration (Import von Filterlisten)
  • Aufruf-Optionen (=Kommandozeilen-Parameter)
• überwachte Funktionen
• FAQ (häufig gestellte Fragen)
  • Virenwarnung für IEController
  • Einstellung von WinSecurityGate ohne Menü ändern
  • Beliebige Programme mit IEController starten
  • Keine Favoriten
  • Windows Update misslingt mit IEController
  • IEController und Windows 95/98/ME(nein!)
  • Fehler beim Importieren der Filterliste
  • Fehler im IEController?
  • Der IEController läuft nicht unter Windows XP mit Service Pack 2
  • IEController als Standard
• Auszüge aus M$ Knowledgebase Artikeln:
  • 240797: So verhindern Sie die Ausführung von ActiveX-Steuerelementen in IE "Kill Bit" setzen!
  • 154850: SO WIRD'S GEMACHT: In Windows ein ActiveX-Steuerelement entfernen
• Änderungen in der Registry, um Flash-Popups zu verhindern
• weiterführende Verweise zum Thema

OriginalSeite

M$ installiert den IE so, daß er zwar praktisch alle Webseiten korrekt darstellt, aber aktive Webinhalte die Systemsicherheit gefährden. Schaltet man deshalb etwa ActiveX ab, funktioniert auch das Plug-in des Acrobat Reader nicht mehr und die im Web weit verbreiteten PDF-Dokumente werden nicht dargestellt. Sie brauchen also endlich ein Tool, das sowohl die Sicherheit als auch den Komfort beim Surfen erhöht: den IEController.

Der IE muß Module (COM-Objekte) starten, um aktive Inhalte auszuführen. IEController überwacht den Start dieser Module und kann ihre Ausführung verhindern. Seine Filterlisten ermöglichen dabei, daß ungefährliche Inhalte auch weiterhin ausgeführt werden. Außerdem verhindert das Tool, daß der IE andere Programme startet und kontrolliert Zugriffe auf lokale Dateien sowie Webserver im Netz. Das Surfen wird dadurch erheblich sicherer, ohne daß auf den Komfort moderner Web-Techniken, Plug-ins und anderer Browser-Erweiterungen verzichtet werden muß.

Zur Ausführung des IEControllers sind keine Administratorrechte notwendig.

IEController 2.3 wurde gegenüber Version 1.0 erheblich erweitert und läuft unter Windows NT4SP6, 2000, XP sowie Server 2003. Das Programm wurde mit dem IE 5.5 und 6.0 sowie den dazugehörigen Service-Packs getestet.

Neuerungen in Version 3.0: Dazu gehört das "Vererben" der überwachten Ausführung: Startet ein Programm unter der Aufsicht von IEC ein weiteres, kann es ebenfalls unter dessen Kontrolle ausgeführt werden. Damit geht die Kontrolle nicht verloren, wenn beispielsweise ein Installationsprogramm ein anderes aus einer CAB-Datei auspackt, startet und sich selbst beendet.
 
Weiter ist neu die Überwachung von Funktionen für Prozesse, Dienste und Treiber. Viele Schadprogramme öffnen den Explorer-Prozess und schleusen dort mittels der Windows-Funktion CreateRemoteThread() Code ein. Dadurch taucht kein verdächtiges Schadprogramm im Task-Manager auf. Außerdem ist der Explorer als zentrale Windows-Komponente üblicherweise in der Ausnahmeliste von Firewalls und anderen Schutzprogrammen aufgeführt. Die Schadsoftware kann daher auf diesem Wege unerkannt Daten über den Internetzugang herausschmuggeln. IEC meldet, wenn das überwachte Programm diese Windows-Funktion benutzt.
 
Die Zugriffskontrolle auf die Registry lässt sich nun feiner einstellen als bei früheren Versionen. Mittlerweile lassen sich Änderungen der System-Registry, der sensiblen Internetkonfiguration sowie der verschiedenen Möglichkeiten sperren, die parasitäre Programme nutzen, um sich per Autostart oder Browser Helper Object ins System einzuklinken.
 
Neu ist auch die Möglichkeit, Datei- und Registry-Operationen, die ein Programm durchgeführt hat, bei dessen Beenden wieder rückgängig zu machen. IEC überwacht nicht nur die dokumentierten Win32-Funktionen, sondern insbesondere auch die vorwiegend undokumentierten nativen Nt-Aufrufe, die die eigentliche Arbeit leisten.

Um Flash bei Mozilla / Firebird / Firefox für Windows / Opera für Windows auszuschalten siehe, ghi@ct - Flash ausschalten.

• Die PrefBar für Mozilla kann unter anderem mit "kill flash" alle Flash-Animationen abschalten.
• Ähnliches beherrscht wohl Adblock 0.5.
• Flash Click To View oder FlashBlock für Mozilla und Firefox ersetzen alle Flash-Animationen durch einen Button.
• Bookmarklet auf Blogzilla.
• Alle Dateien mit dem Namen "npswf32.dll" auf dem Rechner in "npswf32.old" umbenennen. Dann nervt Mozilla aber immer noch mit einer Einladung zur Nachinstallation.
• Für Opera: In den Voreinstellungen (Alt-P) unter "Multimedia" die Plug-ins ausschalten oder im Browser-Hauptfenster die Taste F12 drücken und dort die Plug-ins deaktivieren.

Damit ist IEController eine kostenlose und deutschsprachige Alternative zu:

• Adcutoff
• Free Surfer
• No! Flash - Disable Flash
• jTFlashManager (braucht installiertes Java; Download bei zdnet )
• FlashSwitch (engl. Freeware)
• Google's toolbar ("spioniert" www-Nutzer-Verhalten aus)

OriginalSeite
 

Laden Sie das Archiv iec31.zip herunter und packen Sie es aus. Kopieren Sie die Dateien IEController.exe und IECSupp.dll zusammen in ein beliebiges Verzeichnis. Von dort wird das Programm beim ersten Mal gestartet.

Beim wiederholten Aufruf erscheint dieses Konfigurationsmenü nicht?:
a) Halten Sie die linke Maustaste mit dem zweiten Klick von Doppelklick auf das IEController-Icon gedrückt.
    Nur hiermit funktionieren [Importieren] und [Symbol für Konfiguration anlegen]!
    (siehe Experten-Konfiguration ,Fehler beim Importieren der Filterliste ,Fehler im IEController)
b) Wenn der IEController den IE schon gestartet hat, drücken Sie zusammen die Tasten "Alt+Caps"
    ["Caps" ist die "Feststelltaste" wonach alle Buchstaben groß geschrieben werden]
    Hiermit funktionieren aber nicht [Importieren] und [Symbol für Konfiguration anlegen]!
    (siehe Experten-Konfiguration ,Fehler beim Importieren der Filterliste ,Fehler im IEController)

IEController nimmt keinerlei Eingriffe in den IE oder das Betriebssystem vor. Es speichert lediglich sein Regelwerk in der Registry "[HKEY_CURRENT_USER\Software\c't\IEController]"
z.B. dl1.zip/noVBScriptJavaFlash.reg:

Generell gehen Sie mit der Benutzung von IEController kein Risiko ein. Wenn etwas nicht funktioniert, können Sie den IE jederzeit direkt starten, wobei das Tool nicht aktiv wird. Um IEController zu entfernen, müssen Sie lediglich das Verzeichnis mit dem Programm löschen
(und den Registry-Zweig "[HKEY_CURRENT_USER\Software\c't\IEController]").

Standardmäßig startet IEController den IE, das läßt sich aber über eine Aufrufoption ändern. Außerdem kann man einfach das Symbol eines beliebigen Programmes mit der Maus auf das Symbol IEController ziehen. Wird ein Programm zum ersten Mal über IEController gestartet, öffnet sich zunächst dessen Konfigurationsdialog. Unter dem Reiter Konfiguration können Sie eine Konfiguration mit frei wählbarem Namen (erlaubt sind Buchstaben und Zahlen) anlegen. Hier ist es der Name "noVBScriptJavaFlash". Klicken Sie auf [Symbol für Konfiguration anlegen], um die entsprechende Desktop-Verknüpfung zu erstellen.

Dadurch erzeugt IEController auf dem Desktop ein Icon, über das Sie den IEController künftig starten. Dahinter liegt eine Verknüpfung mit IEController.exe, mit der die jeweilige Konfiguration an das Programm übergeben wird. Jeder Benutzer kann beliebig viele Konfigurationen anlegen. So ist es beispielsweise sinnvoll, eine Konfiguration mit und eine ohne JScript zu erzeugen. Je nach dem, über welches IEController-Icon der IE dann gestartet wird, ist JScript (und damit auch JavaScript) erlaubt oder nicht. Über eine Aufrufoption läßt sich steuern, daß Konfigurationen nicht individuell für den aktuellen Benutzer, sondern rechnerweit gelten. Über die Aufrufoptionen kann man außerdem ein anderes Programm als IE mit IEController starten, um beispielsweise auch den Mail-Client zu überwachen.

Bei einem normalen Doppelklick auf das Icon auf dem Desktop geht gleich das Fenster des IE auf, der dann gemäß den Einstellungen in der Konfiguration kontrolliert wird. Halten Sie aber nach dem zweiten Klick die Maustaste gedrückt, öffnet sich der IEController-Dialog, und Sie können die Einstellungen ändern. Das ist etwas ungewohnt, läßt sich aber schnell erlernen. Sie können aber auch durch einen normalen Doppelklick den Browser öffnen und gelangen dann durch die Tastenkombination Alt+Capslock (etwas länger gedrückt halten, Capslock wieder ausschalten) in den IEController-Dialog. Außerdem kann man durch Einbau von Aufrufoptionen in die Verknüpfung auf dem Desktop grundsätzlich den Browser oder den Konfigurations-Dialog starten.

OriginalSeite
 
Die Standard-Konfiguration des IEController ist äußerst restriktiv: Er unterbindet die Ausführung aller aktiven Inhalte. Die einzige Ausnahme bilden jene COM-Objekte, die der Browser für den "normalen Betrieb" benötigt. Die Liste der erlaubten Objekte ist bewußt knapp gefaßt. Denn die meisten Objekte sind optional. Zum Beispiel die Favoriten: Wenn sie nicht funktionieren, kann man mit dem Browser trotzdem gut arbeiten. Aber schon morgen könnte eine Sicherheitslücke in genau diesem Objekt bekannt werden. Wer die Favoriten nutzen möchte, muß sie in seine Whitelist aufnehmen. Das geht über die Experten-Konfiguration oder durch Import der Filterliste , die eine Ausnahmeregel für das entsprechende Objekt enthält.

Wichtig: Die Einstellungen des IEController sind unabhängig von denen des IE. Dinge, die im Browser zugelassen sind, kann man im IEController verbieten, nicht aber umgekehrt! Wurde etwa ActiveScripting in den IE-Sicherheitsoptionen abgeschaltet, nützt es nichts, JScript und VBScript im IEController einzuschalten.

Über die Grundkonfiguration lassen sich acht Typen von Inhalten sperren oder erlauben. Die Punkte im Einzelnen:

• Standard-Objekte für IE: Hierunter fallen die erwähnten COM-Objekte, die der Browser bereits beim Start und für grundlegende Funktionen benötigt. Dieser Punkt funktioniert übrigens anders als die folgenden: Wenn Sie das Häkchen entfernen, wird die Ausführung der Objekte nicht verboten (dann würde genau nichts passieren, sprich: der Browser würde nicht starten), vielmehr fragt IEController bei jedem Objekt nach, ob er seinen Start zulassen soll. Dies ist ein recht interessanter Modus, wenn man das Verhalten des Browsers näher analysieren will, für den normalen Betrieb eignet er sich jedoch nicht.
   
• JScript: Dies ist M$s Variante von JavaScript. Zahlreiche Exploits nutzen Sicherheitslücken von JScript. Insgesamt gibt es drei DLLs, die JScript-Objekte enthalten. Die Funktionen sind so verteilt, daß eine ausgewählte Sperrung nicht möglich ist. Da IEController nicht den Inhalt von JScript-Skripten analysieren kann, bleibt einem hier nur die Wahl zwischen "an" und "aus", die sich am einfachsten über zwei entsprechende Konfigurationen realisieren läßt.
  JavaScript (=M$ JScript) wird aber häufig im Internet verwendet, so daß ein Abschalten nicht zu empfehlen ist.
   
• VBScript: Während M$ JScript und VBScript unter ActiveScripting zusammenfaßt, unterscheidet IEController hier. VBScript wird im Web kaum verwendet, ist aber die Lieblingssprache von Virenprogrammierern. Man sollte es also stets ausgeschaltet lassen.
   
• PNG: Hierüber wird die Anzeige von PNG-Grafiken erlaubt, für die der IE spezielle Objekte lädt. Diese enthalten bis Version 6 des Browsers einen Buffer-Overflow-Fehler (neuste Windows-Update's verwenden). Zunehmend verbreiten sich die PNG-Grafiken im Web, so daß es wieder Ihre Entscheidung bleibt, es zu- oder abzuschalten.
   
• Java: Auch hier ist eine Unterscheidung zwischen "gut" und "böse" nicht möglich. Allerdings wird Java nicht ganz so oft auf Webseiten genutzt wie JavaScript. Man kann es also sperren und für Ausnahmen, etwa den Homebanking-Server der Hausbank, eine eigene Konfiguration mit "Java ein" erstellen.
   
• Acrobat Reader und Flash: Während ActiveX, abgesehen von den Standard-Objekten, verboten ist, kann man für diese beiden häufig genutzten Plug-ins eine Ausnahme machen. Dadurch werden PDF-Dateien und Flash-Animationen angezeigt, während etwa eine Dialer-Installation unterbleibt. Taucht dann etwa eine Sicherheitslücke in Flash auf, kann man dies mit einem Mausklick vorübergehend sperren, bis ein Patch oder Update verfügbar ist.
  Neuerdings werden Flash-Animationen für aufdringliche Internetwerbung genutzt, deswegen sollte Flash deaktiviert werden. Auch bei einer Modem-Verbindung ist dies zu empfehlen, um die Online-Kosten gering zu halten, denn oft sind es reine Show's.
   
• Drucken: IE ruft beim Drucken etliche Objekte auf. Wer keine Webseiten druckt, erhält ein Plus an Sicherheit, wenn er diese nicht erlaubt.

OriginalSeite
 

Über diesen Dialog wird gesteuert, welche Programme der IE aufrufen darf. Die Grundeinstellungen umfassen einige Standardprogramme:
Notepad ist der einfachste Editor, den Windows mitbringt, und hinsichtlich Sicherheitslücken eher unbedenklich.
Je nach Version muß man den Acrobat Reader in diesem Menü parallel zu den ActiveX-Einstellungen aktivieren, damit PDF-Dateien im Browser angezeigt werden.

Darüber hinaus gilt aber, daß jedes Programm eine bisher unbekannte Sicherheitslücke enthalten kann. Man sollte daher nur das zulassen, was man auch wirklich benötigt. Da der Browser eher selten ein externes Programm aufruft, steht die Option für unbekannte Programme standardmäßig auf Nachfragen (zu ändern in "immer Sperren" oder "immer Erlauben" über die Experten-Konfiguration). Dadurch geht man sicher, daß eine vermeintliche Textdatei, die direkt vom Server geöffnet wird, sich nicht als ausführbarer Code entpuppt.

Zusätzliche Sicherheit erhält man, wenn die vom überwachten Programm aufgerufenen Programme ebenfalls unter der Überwachung durch IEController ausgeführt werden ("Programme überwacht ausführen"). Dabei kann man einstellen, daß sich jedes Mal vor dem Start eines Programms der Konfigurationsdialog von IEController öffnet ("Immer Konfiguration öffnen"), und daß IEController blockierte Aktionen im geöffneten Programm über seine Protokollfunktion meldet ("Protokollieren").
 
Mit Prozesse öffnen kann man verhindern, daß das überwachte Programm über die Windows-Funktion "OpenProcess()" einen Prozess öffnet, um dort Code einzuschleusen (beispielsweise mit WriteProcessMemory() ) oder einen Prozess hart beendet (mit TerminateProcess() ). Schadprogramme infiltrieren oft den Explorer-Prozess; danach taucht kein verdächtiger Eintrag im Task-Manager auf. Außerdem ist der Explorer als zentrale Windows-Komponente üblicherweise in der Ausnahmeliste von Firewalls und anderen Schutzprogrammen aufgeführt. Die Schadsoftware kann daher auf diesem Wege unerkannt Daten über den Internetzugang herausschmuggeln.
 
Schließlich kann man hier noch verhindern, daß überwachte Progamme Treiber/Dienste starten/beenden, um beispielsweise eine Firewall auszutricksen.

OriginalSeite
 

Da grundsätzlich jede Funktion des IE unsicher sein könnte, überwacht IEController zusätzlich die Dateizugriffe des Browsers. Prinzipiell ließen sich damit alle Risiken kontrollieren, doch in der Praxis sieht das anders aus: Der IE tobt ständig lesend und schreibend über die Platte, so daß man nur mit einer sehr lockeren Kontrolle arbeiten kann. Daher sind die Freigaben schon in der Grundeinstellung sehr umfangreich. Immerhin schränken sie den Zugriff auf das Windows- und System-Verzeichnis aufs "Lesen" ein.
Will man dies aus irgend einem Grund ändern, sollte man zumindest den Schreibzugriff auf die Hosts-Datei sperren, um zu verhindern, daß Schadprogramme darüber etwa auf Phishing-Seiten umleiten. Ferner enthält die Grundeinstellung etliche Verzeichnisse, in denen der IE Dateien ablegt.
 
Durch Sperren des Cookie-Verzeichnisses kann man sich vor diesen kleinen Datenpaketen schützen, sie werden aber oft zu sogenannten Session-ID's verwendet und ermöglichen nach einer Anmeldung die zulässige Kommunikation zum Server. Bei "free Webspace"-ern werden sie auch dazu genutzt, "nachzusehen" (=Cookie gesetzt) ob der Benutzer den Download oder das Bild von der "free Webspace"-er-Seite oder von einer fremden Seite aufruft. Ist es eine fremde Seite(=Cookie nicht gesetzt), so geht der Download nicht oder das Bild ist nicht zu sehen bzw. ein Werbebild des "free Webspace"-er. Daher ist es nicht zu empfehlen, Cookie's abzuschalten.
 
Außerdem: Ein Cookie kann immer nur von der besuchten Seite ausgelesen werden in der das Cookie erzeugt wurde. Erst beim wiederholten Besuchen der selben Seite, könnte das Cookie dem Server Auskunft über das Benutzerverhalten geben.
Da ist eher zu empfehlen: Den Cookie-Cache täglich zu leeren oder den Cookie-Cache in eine "RAM-Disk" zu verlegen.
 
Der Versuch, alle Zugriffe etwa des Acrobat-Plug-ins freizugeben, hat gezeigt, daß diese in hohem Maße installations- und versionsabhängig sind. Eine allgemeingültige Lösung für Flash, MediaPlayer usw. , die zudem einen vernünftigen Schutz bietet, läßt sich nicht finden.
 
Wer den Zugriff auf unbekannte Dateien sperren will (über die Experten-Konfiguration), muß die Ausnahmeliste individuell anpassen. Er wird aber mit einem deutlich höheren Schutzpotenzial belohnt. Wenig Mühe macht es hingegen, über die Verbotsliste in der Experten-Konfiguration wichtige Dateien, die etwa Kennwörter, PGP-Schlüssel oder die Homebanking-Datenbank enthalten, vor Zugriffen zu schützen.

OriginalSeite
 

Hier legen Sie fest, auf welche Internet-Server der IE oder ein anderes überwachtes Programm zugreifen darf. Damit läßt sich ein einfacher Webfilter realisieren. Neben der Möglichkeit, in der Experten-Konfiguration den Zugriff auf eine Auswahl von Servern zu beschränken (in Verbindung mit der Einstellung Immer sperren) oder bestimmte Server zu sperren, bietet die Grundeinstellung einige interessante Optionen:

• Server für 'verwandte Links': Hierüber läßt sich der Zugriff auf den im IE integrierten Suchdienst Alexa sperren, so daß dieser keine Informationen über die Interessen des Anwenders erhält.
   
• Server für Werbung: Dahinter ist eine Sammlung von Adressen gepackt, über die häufig Werbebanner geladen werden. Das macht IEController nicht zum perfekten Werbeblocker, doch beim Surfen werden Sie feststellen, daß deutlich weniger Banner geladen werden.
   
• TCP/IP-Zugriff erlauben: Diese Funktion unterbindet generell alle Netzzugriffe. Der Browser funktioniert dann nur noch im Offline-Modus. Bei anderen Programmen, die gewöhnlich keinen Netzzugang benötigen, kann man etwa das Nachladen von Werbebannern verhindern.
   
• VeriSign-Umleitung sperren: Diese Option verhinderte eine vom US-Registrar Verisign gesetzte Umleitung, die beim Aufruf nicht existierender, auf ".com" oder ".net" endender Adressen (etwa durch einen Tippfehler) auf den Sitefinder-Suchdienst der Firma führte. Durch diese Option von IEController erhält man in solchen Fällen wieder eine Fehlermeldung. Diese Umleitung ist mittlerweile (Stand September 2007) nicht mehr aktiv, sodaß Sie diese Option ignorieren können.

Die weitere Optionen in diesem Menü betreffen den Datenschutz und die Analyse von Datenverkehr:

• Referrer-Header sperren: Über diesen Header erfährt ein Webserver, von dem Sie eine Seite abrufen, welche Seite Sie vorher besucht hatten. Man wäre geneigt, die Preisgabe dieser Information aus Datenschutzgründen immer zu sperren, doch gibt es Seiten, die nur funktionieren, wenn der Besucher sie von einer bestimmten anderen aus ansurft. In solchen Fällen muss die Übertragung des Referrer zugelassen werden.
   
• HTTP-Kompression sperren: Viele Webserver übertragen die Daten komprimiert an den Browser, das spart Zeit und Bandbreite. Leider bekommt man dann aber beim Daten protokollieren keine lesbare Ausgabe zu sehen. Für Analysezwecke kann man mit dieser Option hier verhindern, daß sich Server und Browser darauf einigen, die Daten komprimiert zu übertragen.
   
• Header 'User-Agent' anpassen: Über diesen Header erfährt der Server, welchen Browser der Besucher verwendet. Es gibt einige Gründe, diese Information zu verfälschen: Diese Information hilft Betreibern, Besucher zu identifizieren. Dem wirkt ein ein regelmäßiger Wechsel mit einer entsprechenden Browser-Kennung entgegen.
   
  Manche Webserver senden an den IE Seiten mit ActiveX und VBScript, deren Ausführung der IEController aber sperrt. An andere Browser wird eine Version der Seiten ohne diese Techniken geschickt, die im IE ebenfalls funktioniert. Außerdem gewährt die genaue Browser-Version Rückschlüsse auf eventuell vorhandene Sicherheitslücken.
   
  Allerdings kann das Verfäschen des Headers auch dazu führen, daß einzelne Seiten für den vermeintlichen Browser optimiert werden und der tatsächliche sie nicht korrekt anzeigen kann. Wer einen zu alten Browser einträgt, riskiert regelmäßige Fehlermeldungen, er müsse ein Update durchführen.
   
• Ein/Ausgehende TCP-Verbindungen: Hier werden abhängig vom überwachten Programm dessen Kommunikationsmöglichkeiten sinnvoll eingeschränkt. So ist ein Browser kein Server und muss nicht auf eingehende TCP-Verbindungen reagieren, solange nicht wissentlich eine entsprechende Erweiterung wie POW ( Plain Old Webserver ) für Firefox installiert wurde.
   
• Daten protokollieren (winsock) , (wininet): Ist diese Option aktiviert, so kopiert IEController alle Daten, die Browser und Server austauschen, auf die Debugkonsole von Windows. Mit einem Tool wie DebugView kann man diese Ausgabe sichtbar machen, durchsuchen und abspeichern.
   
  An Wininet kommen sogar Daten, die per SSL verschlüsselt übertragen werden, im Klartext an. Wenn allerdings der Server die Daten gepackt an den Browser liefert, sieht man nur Datenmüll. Das läßt sich umgehen, indem die Verbindung über einen lokalen Proxy umgeleitet wird. Zwar nutzt nicht jedes Programm diese API, wohl aber der IE. Den Datenverkehr von Programmen, die Wininet nicht nutzen, kann IEController, sofern nicht verschlüsselt, am Winsock-API mitlesen.
   
  • DebugView   (DebugView.zip) ,   ins Deutsche übersetzte Hilfedatei DebugView.chm
    Zeigt in Verbindung mit IEController alle Daten an, die bei einer HTTP-Verbindung übers Netz gehen (auch bei SSL-Verbindungen);
    IEContoller schreibt die Daten auf die Debugkonsole von Windows, so daß sie mit Debugview sichtbar werden. Für eine brauchbare Anzeige aktiviert man in Debugview unter "Capture" nur die Punkte "Capture Win32" und "Capture Events" und zieht das Fenster so weit auf, daß die Ausgaben unter "Debug Print" sichtbar werden.
    
    
     
    siehe auch: DebugView-Filter/Highlight für IEController
     

OriginalSeite
 
Auf Phishing-Sites und Abo-Fallen wird versucht, den Besuchern vertrauliche Daten zu entlocken. Ein Moment der Unaufmerksamkeit genügt, und Account-Daten gelangen in falsche Hände oder ein Abzocker will einem einen Vertrag aufzwingen.
 

 
IEController bietet einen gewissen Schutz, indem man sich vor dem Absenden wichtiger Daten warnen lassen kann. Das beginnt bei harmlosen Dingen wie Adressdaten, auf die es die Betreiber von Abo-Fallen abgesehen haben. Dabei genügt es, die Postleitzahl, den Straßennamen und eine E-Mail-Adresse einzutragen. Aber auch Login-Namen kann man hier hinterlegen, Kontonummern oder die Kreditkartendaten.
 
Doch Vorsicht: IEController legt die zu filternden Daten ohne Bezeichnung und verschleiert (XOR) in der Registry ab. Vertrauliche Daten wie Konto- oder Kreditkartennummern sollte man daher nicht vollständig eingeben, sondern mindestens zwei oder drei Ziffern weglassen. Und Passwörter oder PINs haben hier gar nichts zu suchen. Sonst ist das Risiko, daß sie einem Schadprogramm in die Hände fallen, zu groß.
 
IEController prüft Daten, die mit der URL oder mit Header-Elementen an den Server übertragen werden. Es überwacht dazu die Wininet-API von Windows, an der auch die Daten von SSL-Verbindungen im Klartext ankommen. Daher klappt die Überwachung aber nur mit Programmen, die diese API benutzen. Ein Beispiel dafür ist der IE.
 
Auf sensible Daten prüfen aktiviert die Funktion. Ein Klick mit der rechten Maustaste in den Tabellenbereich öffnet ein Kontextmenü, über das sich neue Einträge anlegen lassen.
 

 
Dort werden die zu schützenden Schlüsselwörter eingetragen, etwa eine E-Mail-Adresse. Um nun nicht jedes Mal eine Warnung quitieren zu müssen, wenn z.B. die E-Mail-Adresse an einen häufig genutzten Server gesendet wird, kann eine komma-getrennte Liste von Servern (bei Zugelassen für Host) eingeben werden, an die diese Adresse ohne Warnung geschickt wird. Außerdem läßt sich jeder Eintrag in der Liste einzeln aktivieren oder deaktivieren.
 

 
Wird ein Schlüsselwort an einen Server geschickt, der nicht in der Whitelist steht, schlägt IEController Alarm. Dabei nennt es die unverschleierte Adresse des Servers, an den die Daten gesendet werden sollen. Die Meldung läßt vier Reaktions-Möglichkeiten:

• Erlauben: Die Daten werden abgeschickt.
• Daten entfernen: Die Daten werden vor dem Versenden mit * überschrieben.
• Sperren: Das Absenden der Daten wird verhindert. Der Browser kann die nächste Seite dann nicht laden.
• Konfiguration: Das Konfigurationsmenü von IEController wird geöffnet. Beispielsweise kann der Servername aus der Warnmeldung mit Kopieren & Einfügen in die Whitelist des Schlüsselbegriffs übernommen werden.

OriginalSeite
 

 
Über die Zugriffskontrolle auf die Registry lassen sich Änderungen der System-Registry, die sensible Internet-Konfiguration und weitere verschiedene Möglichkeiten, die parasitäre Programme nutzen, um sich per Autostart oder als Browser Helper Object ins System einzuklinken, sperren:

• Schreibzugriffe auf Registry sperren: Hindert das überwachte Programm grundsätzlich daran, etwas in die Registry einzutragen oder bestehende Einträge zu verändern. Allerdings legen viele Programme ihre Einstellungen in der Registry ab, sodaß dieser Punkt einen ziemlichen Komfortverlust bedeutet. Manche Programme versagen ganz ihren Dienst, wenn ihnen hier der Zugriff gesperrt wird.
   
• Schreibzugriffe auf System-Registry: Dies ist die aufs Wesentlichste reduzierte Variante der Einstellung darüber (Schreibzugriffe auf Registry sperren). Sie schützt den Bereich unter "HKEY_LOCAL_MACHINE", an dem kein Programm rumfummeln sollte, auch wenn es mit Administratorrechten gestartet wird und das darf.
   
• Änderung der Internet-Konfiguration verhindern: Schützt die Internet-Einstellungen, wie die Zugangsdaten oder die Einstellung der Windows-Firewall vor Manipulationen.
   
• Programme für Autostart registrieren: Verhindert, daß Schadprogramme sich einnisten und bei jedem Neustart aktiv werden.
   
• 'Browser Helper Objects' (BHO) registrieren: Auch über die Möglichkeit, Browser um neue Funktionen zu erweitern, können sich ungebetene Gäste im System einnisten. Deshalb sollte IEController vor einer Installation zumindest nachfragen oder diese ganz sperren und nur im Ausnahmefall freigeben.
   
• 'Browser Helper Objects' (BHO) verwenden: Wenn bekannt ist, welche BHOs auf dem Computer installiert sind, und diese benutzt werden müssen, können diese hier erlaubt werden. Andernfalls sollte eine höhere Sicherheitsstufe, wie Nachfragen oder Sperren, gewählt werden.
   

OriginalSeite
 

• Auf gefährliche Aktionen immer hinweisen: Mit dieser Option wird immer eine Warnung ausgegeben, wenn das überwachte Programm eine kritische Aktion vornimmt, auch wenn die dazugehörige Einzel-Option, die die Option verhindern könnte, nicht gesetzt ist. Zu diesen kritischen Aktionen gehören:
  • Systemprotokollierfunktionen (s.u.),
  • Schreiben ins Windows-Verzeichnis,
  • Prozesse öffnen,
  • Änderungen an der System-Registry,
  • ein-/ausgehende TCP-Verbindungen und
  • der Start von Treibern.
   
• Schriftgröße anpassen: Manche Programme lassen keine Einstellung der Schriftgrößen zu. Hier können minimale und maximale Werte vorgeben werden. Verwendet das überwachte Programm eine Schriftgröße, die kleiner ist als der Min-Wert, wird stattdessen dieser verwendet. Ebenso gibt der Max-Wert die maximale Größe an.
   
• Systemprotokollierfunktionen: Hier kann verhindert werden, daß überwachte Programme unbemerkt systemweite Hooks nutzen. Durch diesen Mechanismus könnte ein Programm alle anderen zwingen, eine beliebige DLL zu laden und darin enthaltenen Code auszuführen. Das funktioniert bis Windows XP sogar über Benutzergrenzen hinweg. Dadurch kann auch ein Programm mit Standardrechten ein anderes, mit Administratorrechten auf demselben Windows-Desktop gestartetes Programm infiltrieren.
   
• Änderungen der Registry rückgängig machen: Beim Beenden eines überwachten Programms kann IEController alle Änderungen an der Registry, die dieses vorgenommen hatte, wieder rückgängig machen. Diese Option ist aber mit Vorsicht zu benutzen, da es passieren kann, daß IEController Daten zurückschreibt, die nach dem Programm das System noch einmal geändert hat. Dadurch kann es zu einem inkonsistenten Zustand kommen.
   
  Daher fragt IEController vor dem Zurückschreiben der alten Werte immer nach:
   
  
   
  Erlauben bedeutet dabei, daß IEController die Änderungen, die das Programm gemacht hatte, rückgängig macht, während sie mit Sperren erhalten bleiben.
   
• Änderungen des Dateisystems rückgängig machen: Im Prinzip dasselbe (wie "Änderungen der Registry rückgängig machen"), nur nicht für Änderungen in der Registry, sondern für Änderungen im Dateissystem.
   
• Meldungen unterdrücken: Damit wird folgende Meldung sowie ihr englischsprachiges Pendant unterdrückt:
  "Die aktuellen Sicherheitseinstellungen verhindern die Ausführung von ActiveX-Steuerelementen auf dieser Seite.
  Möglicherweise wird die Seite nicht richtig angezeigt."

OriginalSeite
 

 
IEController kann nicht nur die übertragenen Daten protokollieren, sondern auch etliche weitere Informationen. Dazu schreibt es diese auf die Debug-Konsole von Windows. Mit dem Tool DebugView von M$ kann die Ausgabe angesehen, durchsucht und abspeichert werden

• Nur protokollieren (kein Schutz): IEController greift nicht in die Aktionen des überwachten Programms ein, sondern protokolliert nur mit, was dieses so treibt.
   
• Alle Aktionen protokollieren: Alle von IEController überwachbaren Aktionen werden mitprotokolliert.
   
• Nur gesperrte Aktionen protokollieren: Im Protokoll erscheinen nur Aktionen, die IEController verhindert.
   
• Rückgängig machen protokollieren: Listet alle Daten, die IEController beim Änderungen der Registry/des Dateissystems rückgängig machen überschreibt.

OriginalSeite
 
Alle vier Filter (ActiveX,   Programme,   Dateien und   Internet) besitzen eine Experten-Konfiguration, die jeweils gleich aufgebaut ist. Sie wird daher hier am Beispiel des ActiveX-Filters exemplarisch erläutert.

IEController Experten-Konfiguration für ActiveX

Die Experten-Konfiguration ist in drei Bereiche aufgeteilt: Die Blacklist mit verbotenen Objekten, die Whitelist mit erlaubten Objekten und die Einstellung für unbekannte Objekte, die weder von den beiden Listen, noch von der Grundeinstellung erfaßt werden.

Um das Programm optimal nutzen zu können, muß man die Prioritäten der Grundeinstellung und der Listen kennen: Will der IE ein Objekt erzeugen, schaut IEController zunächst in die (1.) Blacklist. Ist die CLSID (z.B. D27CDB6E-AE6D-11CF-96B8-444553540000 für "Shockwave Flash Object") des Objekts dort verzeichnet, wird seine Ausführung unterbunden. Andernfalls schaut das Programm in die (2.) Grundeinstellung. Ist das Objekt dort verzeichnet, wird es entsprechend der Einstellung gesperrt oder erlaubt. Falls nicht, konsultiert das Programm schließlich die (3.) Whitelist. Die dort verzeichneten Objekte können entweder auf "erlaubt" oder "nachfragen" stehen und werden entsprechend behandelt.

Ist die CLSID in keiner Liste aufgeführt, gilt das Objekt als unbekannt und wird entsprechend der (4.) Einstellung im unteren Bereich des Fensters behandelt: Die Einstellung "Immer erlauben" beschränkt den Schutz auf Objekte, die in der Grundeinstellung verboten werden oder in der Blacklist eingetragen sind. "Immer sperren" ist die sicherste Einstellung, doch dann werden meist auch erwünschte Funktionen gesperrt, so daß man die dafür notwendigen Objekte in die Whitelist aufnehmen muß.

IEController Experten-Konfiguration für Programme

IEController Experten-Konfiguration für Dateien

IEController Experten-Konfiguration für Internet

Die Black- und die Whitelist können durch den Import von Filterlisten befüllt werden. Es handelt sich um Text-Dateien, in denen für jedes Objekt fünf Werte angegeben sein müssen:

# Section CLSID
# Section Process
# Section File
# Section Internet

# c't-IEController Import File Version 1

Hier wäre so eine fertige Filterliste. Sie enthält einige nützliche Objekte, die aber nach dem Import noch nicht aktiv sind.

Außerdem lassen sich die Listen über die Nachfrage-Option mit Objekten befüllen. Versucht das überwachte Programm dann, ein unbekanntes Objekt zu erzeugen, wird dies über die Option "Diese Wahl soll immer [...] gelten" in die Whitelist (Erlauben-Button) oder in die Blacklist (Sperren-Button) übernommen.

Ein Klick mit der rechten Maustaste auf einen Listeneintrag öffnet eine Auswahlbox, über die man den Eintrag ändern oder löschen kann. So läßt sich etwa der Status der Einträge, die wie beschrieben aus der Filterliste importiert wurden, auf "Aktiv" setzen, die Beschreibung editieren oder die Reaktion von IEController auf das Objekt festlegen. Außerdem kann man über die Auswahlbox neue Einträge von Hand anlegen. Das mag für ActiveX-Objekte wenig nützlich sein (kaum jemand wird die passende CLSID parat haben), es ist aber nützlich, um etwa eine URL in den Internet-Filter aufzunehmen.

Der IEController speichert alle Einstellungen unter dem Schlüssel "[HKEY_CURRENT_USER\Software\c't\IEController]" in der Registry ab. Für jede Konfiguration wird ein Unterschlüssel erzeugt. Die Werte dort lassen sich aus der Import-Datei für die Black- bzw. Whitelist ableiten.

OriginalSeite
 

IEcontroller wertet Parameter aus, die ihm beim Aufruf übergeben werden. Um solche Parameter anzugeben, müssen sie in der Verknüpfung auf dem Desktop eintragen werden. Ein Klick mit der rechten Maustaste auf eine Desktop-Verknüpfung von IEController öffnet den Eigenschaften-Dialog. Dort läßt sich der Programmaufruf (unter "Ziel") um Optionen erweitern. Folgende Aufrufoptionen kennt das Programm:

Standardmäßig startet IEController den IE, doch er funktioniert vom Prinzip her auch mit jedem anderen Win32-Programm. Man kann damit also auch etwa einen anderen Browser sicher machen, allerdings erst nach einigen Anpassungen. Wenn man im Internet Explorer eine Seite mit JavaScript lädt, dann öffnet er die Datei "jscript.dll" und erzeugt ein COM-Objekt (Component Object Model), das den Code ausführt. Hat man in der Konfiguration des IEController das Ausführen von JScript (M$s erweiterte Version von JavaScript) verboten, wird die Erzeugung des entsprechenden COM-Objektes verhindert. Dazu muß man lediglich im Konfigurationsmenü ein Häkchen löschen. Andere Browser nutzen aber nicht die "jscript.dll", sondern erzeugen andere COM-Objekte, um JavaScript anzuzeigen. Diese muß man dann in die Konfiguration je nach Wunsch als erlaubt oder verboten eintragen.

Nun erzeugt der IE beim Programmstart und Laden einer einfachen HTML-Datei aber bereits über 20 COM-Objekte. Das läßt ahnen, wie aufwendig es ist, den Überwachungsmechanismus an ein gänzlich anderes Programm anzupassen. Außerdem ist IEController nicht ungefährlich: Es kann durchaus zu Abstürzen und Datenverlusten kommen, wenn er die Erzeugung eines COM-Objekts verhindert und das kontrollierte Programm dies nicht abfängt. Der IE zeigt sich hier sehr tolerant, das muß aber nicht für jede Software gelten.

Bei Programmen, die eng mit dem M$ Browser zusammenarbeiten oder ihn als Anzeigemodul nutzen, kann die Überwachung durch IEController aber durchaus sinnvoll sein. Ein Beispiel ist Outlook Express: Es genügt, die Standard-Objekte des IE durch Setzen eines Häkchens und rund zehn weitere durch einmaliges Bestätigen zuzulassen, um mit dem Mailer arbeiten zu können. Alles andere, insbesondere JScript und VBScript, bleibt aber verboten, was die Anzeige von HTML-Mails recht sicher macht. Ein generelles Verbot von Zugriffen auf Internetadressen verhindert zusätzlich, daß das Lesen einer Spam-Mail dem Absender durch Nachladen von dessen Webserver signalisiert wird. Außerdem kann man den Start externer Programme verhindern beziehungsweise etwa auf einen JPG-Viewer und das Notepad beschränken, um gefährliche Attachment-Typen zu entschärfen.

Um über eine IEController-Verknüpfung Outlook Express zu starten, muß man folgende Option unter Verknüpfung/Ziel eintragen (bei einer Windows-Standardinstallation auf Laufwerk C:):

-App:"C:\Programme\Outlook Express\msimn.exe"

OriginalSeite

Es liegt nahe genau obige Funktionsnamen im DebugView-Filter/Highlight einzugeben. Allerdings schneidet DebugView die Filter/Highlight-Einstellungen bei 255 Zeichen ohne jede Warnung ab, so daß folgende Filter/Highlight-Einstellung eher ein Ausgangspunkt sind:

 
Filter/Highlight-Farb-Standard-Einstellungen in DebugView

OriginalSeite

Der IEController kennt das dafür notwendige COM-Objekt nicht. Gehen Sie in die Experten-Konfiguration für ActiveX und konfigurieren Sie das Tool so, daß es bei unbekannten Objekten nachfragt. Starten Sie den IE und öffnen Sie die Favoritenliste über die Toolbar. Dann öffnet sich ein Dialog mit der Meldung, daß der Browser das Objekt "Favorites Band" aus der Datei "shdocvw.dll" erzeugen will. Erlauben Sie dies für immer, dann wird das Objekt in die Whitelist eingetragen und der Aufruf der Favoriten klappt künftig ohne Nachfrage.

Für das Windows-Update müssen Sie in der Experten-Konfiguration unter "ActiveX" die Erzeugung unbekannter COM-Objekte immer zulassen (unsichere Einstellung!). Außerdem müssen Sie beim Aufruf von IEController die Option "-SkipOpenFile" übergeben. Mehr dazu finden Sie unter Aufruf-Optionen.

# c't-IEController Import File Version 1

Alle Objekte außer den CLSIDs (also die Namen von Programmen, Dateien und Servern) müssen in doppelten Anführungszeichen stehen. Mehr dazu finden Sie unter Experten-Konfiguration oder Sie schauen sich die " Filterliste" an.

Daneben muß man für einige Funktionen weitere COM-Objekte zulassen. Die " Filterliste" enthält eine Sammlung davon:

• Favoriten und Verlauf über Toolbar öffnen
• URL über Strg-O eingeben
• Eigenschaften von Bildelementen anzeigen
• ">>" in der Toolbar einblenden
• Drucken (nur mit JSCript)
• Google-Toolbar

Die Liste wird über den "Importieren"-Button im Menü "Konfiguration" geladen. Alle Einträge sind danach noch inaktiv und müssen nach Wunsch aktiviert werden.

Eine aktualisierte Version des IEController, die auch unter Windows XP SP2 läuft, finden Sie auf der Website des Programmautors www.withopf.com/tools/iec/ : iec31.zip.

Zu diesem Zwecke wurde eine Registry-Datei = dl1.zip/iec.reg zusammengestellt:

Diese enthält eine Reihe von Registry-Keys, die durch Doppelklick auf die Datei in die Registrierungsdatei übernommen werden. Vorsicht! Vor der Installation sollte man zunächst mit dem Registry- Editor regedit die Registry-Keys

HKEY_CLASSES_ROOT\htmlfile
HKEY_CLASSES_ROOT\HTTP
HKEY_CLASSES_ROOT\https
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html

exportieren, um bei Problemen den Urzustand der Registry wiederherstellen zu können. Gegebenenfalls muß man die in der Registry-Datei angegebenen Pfade zum IEController dem eigenen System entsprechend anpassen.

Damit Webseiten mit Flash-Filmchen nicht nervend nachfragen, ob sie Flash nachinstallieren dürfen
("Installieren und ausführen...?"), muß unter "Experten-Konfiguration" die Option
"Unbekannte COM-Objekte erzeugen / Immer sperren" gesetzt werden.

Der Registry-Eintrag "BrowseNewProcess=yes" unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess"
sorgt dafür, daß man gleichzeitig mit und ohne IEController surfen kann.

Nach Hinweisen von ghi@ct - Flash ausschalten dort auch für Mozilla / Firebird / Firefox für Windows / Opera für Windows

Auszug aus M$ Knowledgebase Artikel 240797

"So verhindern Sie die Ausführung von ActiveX-Steuerelementen in IE" :

Hinweis: Für WinXP/Server 2003 können Administratoren Richtlinien zur Softwarebeschränkung verwenden, um die Ausführung von ActiveX-Steuerelementen auf allen Computern in der Active Dicrectory-Domäne zu unterbinden.

Warnung: M$ rät davon ab, die Kill-Aktion für ein ActiveX-Steuerelement rückgängig zu machen. Wenn Sie die "Kill"-Aktion dennoch rückgängig machen, können dadurch Sicherheitsanfälligkeiten verursacht werden.

Bei der CLSID (Class Identifier) für ein ActiveX-Steuerelement handelt es sich um einen GUID (Globally Unique Identifier) für das Steuerelement. Sie können die Ausführung eines ActiveX-Steuerelements im IE verhindern, indem Sie das "Kill Bit" setzen und so bewirken, daß das Steuerelement von IE nicht aufgerufen werden kann. Das "Kill Bit" ist ein spezifischer Wert für den DWORD-Wert "Compatibility Flags" des ActiveX-Steuerelements in der Registrierung. Beachten Sie, daß sich dieses Verfahren von einem Widerrufen der Option "Sicher für Skripting" in einem ActiveX-Steuerelement unterscheidet. Wenn die Option "Sicher für Skripting" widerrufen wird, startet der IE trotzdem einen Aufruf für das Steuerelement, zeigt Ihnen jedoch eine Warnung an, die besagt, daß das ActiveX-Steuerelement möglicherweise nicht sicher ist. Das Steuerelement kann also ausgeführt werden, wenn Sie der Ausführung zustimmen. Wenn jedoch das "Kill Bit" für ein ActiveX-Steuerelement gesetzt ist, wird dieses Steuerelement vom IE Explorer generell nicht mehr aufgerufen.

Gehen Sie folgendermaßen vor, um das "Kill Bit" für ein ActiveX-Steuerelement zu setzen,
damit es nicht mehr vom IE aufgerufen wird:

1. Ermitteln Sie die CLSID für das ActiveX-Steuerelement, das Sie deaktivieren möchten. Wenn Sie sich bezüglich der CLSID für das Steuerelement nicht sicher sind, wenden Sie sich an den Hersteller. Falls das Steuerelement installiert ist, können Sie dessen CLSID eventuell ermitteln, wenn Ihnen der Anzeigename bekannt ist. Prüfen Sie dazu den Zeichenfolgenwert Default für den Schlüssel ProgID aller CLSID-Schlüssel unter
   
   HKEY_CLASSES_ROOT\CLSID .
   
   Sie müssen u. U. möglichst viele ActiveX-Steuerelemente entfernen (mit Ausnahme desjenigen, das Sie deaktivieren möchten), um das Ermitteln der richtigen CLSID zu erleichtern.
   
   Oder: Im IE selbst:
   Extras -> Internetoptionen... -> unter "Tempräre Internetdateien" auf [Einstellungen...] klicken -> Objekte anzeigen... -> markier "Shockwave Flash Object" und mit rechter Maustaste darauf -> Eigenschaften
   Was hinter ID: ohne den geschweiften Klammern steht, ist die CLSID! (z.B. D27CDB6E-AE6D-11CF-96B8-444553540000 für "Shockwave Flash Object")
   Dort kann man auch gleich:
   Rechter Maustaste -> Entfernen -> Ja
   ausführen!
2. Verwenden Sie den Registrierungseditor, um den Datenwert des DWORD-Wertes "Compatibility Flags" für die CLSID des ActiveX-Objekts im folgenden Registrierungsschlüssel zu ermitteln:
   (alles in einer Zeile - Starte)
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CLSID des ActiveX-Steuerelements}
   (alles in einer Zeile - Ende)
   Dabei steht CLSID des ActiveX-Steuerelements für die Klassenkennung des betreffenden ActiveX-Steuerelements.(z.B. D27CDB6E-AE6D-11CF-96B8-444553540000 für "Shockwave Flash Object")
3. Ändern Sie den Datenwert des DWORD-Wertes für "Compatibility Flags" zu "00000400".

Auszug aus M$ Knowledgebase Artikel 154850

"SO WIRD'S GEMACHT: In Windows ein ActiveX-Steuerelement entfernen" :

IE 4.x oder höher beinhaltet die Datei C:\WINNT\system32\Occache.dll, die dazu verwendet wird, mit Hilfe eines "Shell-Ordners" ActiveX-Steuerelemente aufzulisten, zu aktualisieren und sicher zu deinstallieren.

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Programme ändern oder entfernen.
2. Wenn das ActiveX-Steuerelement, das Sie entfernen möchten, in der Liste installierter Programme angezeigt wird:
   Klicken Sie auf das betreffende ActiveX-Steuerelement und dann auf Hinzufügen/Entfernen, und befolgen Sie anschließend die Anweisungen auf dem Bildschirm.
   Wenn das Steuerelement nicht in der Liste angezeigt wird, gehen Sie zum nächsten Schritt.
3. Doppelklicken Sie im Windows Explorer oder im Windows NT Explorer auf den Ordner
      Windows\Downloaded Program Files
   oder den Ordner
      Winnt\Downloaded Program Files
   Klicken Sie mit der rechten Maustaste auf das ActiveX-Steuerelement, das Sie entfernen möchten, und klicken Sie anschließend auf Entfernen.
4. Klicken Sie auf Ja, wenn Sie gefragt werden, ob das Steuerelement entfernt werden soll.

Fehlermeldungen beim Entfernen von ActiveX-Steuerelementen:

Sie erhalten möglicherweise die folgende Meldungen bei dem Versuch, ein ActiveX-Steuerelement mithilfe eines Occache-Shell-Ordners zu entfernen:

Gemeinsame Zugriffsverletzung
Diese Programmdateien werden zurzeit von einem oder mehreren Programmen verwendet. Schließen Sie einige Programme und versuchen Sie es erneut. Möglicherweise müssen Sie Windows neu starten.

Diese Nachricht erscheint dann, wenn das ActiveX-Steuerelement, das Sie entfernen möchten, zurzeit vom IE oder von der Active Desktop-Komponente in den Speicher geladen ist.

Gehen Sie folgendermaßen vor, um diese Fehlermeldung zu beseitigen:

1. Schließen Sie alle geöffneten Fenster des IE's.
2. Deaktivieren Sie den Active Desktop. Klicken Sie dazu mit der rechten Maustaste an eine leere Stelle auf Ihrem Desktop und zeigen Sie auf Active Desktop. Klicken Sie dann auf Als Webseite anzeigen, um diese Option im Menü zu deaktivieren.

Hinweis: Im IE 4.01 SP1 oder höher entfernt Occache keine abhängigen Dateien außerhalb eines registrierten Occache-Ordners und fordert Sie auch nicht auf, solche Dateien zu entfernen.

Unterstützung für mehrere Occache-Ordner
IE 4.0 und höher unterstützt mehrere Occache-Ordner. Eine Liste dieser Ordner finden Sie in folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ActiveX Cache

Standardmäßig nutzt IE 4.0 und höher den Ordner
   Windows\Downloaded Program Files
oder
   Winnt\Downloaded Program Files
Wenn Sie von IE 3.x aus aktualisiert haben, existiert möglicherweise sowohl ein Ordner Occache als auch ein Ordner Downloaded Program Files. In diesem Fall werden alle neuen ActiveX-Steuerelemente im Ordner Downloaded Program Files installiert, aber früher installierte ActiveX-Steuerelemente befinden sich weiterhin im Ordner Occache. Wenn Sie in Windows Explorer, Windows NT Explorer oder im Arbeitsplatz den Ordner Occache oder Downloaded Program Files öffnen, werden alle ActiveX-Steuerelemente angezeigt, unabhängig davon, in welchem Ordner sich deren Dateien befinden. In diesem Fall erscheinen folgende Zeichenfolgenwerte im obigem Registrierungsschlüssel:

"0"="C:\\WINDOWS\\OCCACHE"
"1"="C:\\WINDOWS\\Downloaded Program Files"

Sie können auch zwei kleine Dateien disableflash.reg :

und enableflash.reg :

erzeugen, mit denen Sie die Registry-Änderung von Fall zu Fall durchführen können.

Wenn Sie sich anschließend auf dem Desktop Verknüpfungen
   regedit.exe /s c:\disableflash.reg
   regedit.exe /s c:\enableflash.reg
mit diesen Dateien erstellen, können Sie sehr einfach nach Ihren Wünschen die lästigen Popups aus- und die erwünschten Filme einschalten. (Umschalten während der Internetsitzung funktioniert nicht, weil IE die Registry-Einstellungen nur beim Laden liest.)

• Homepage IEController Autors diese Programms Matthias Withopf
• Abzock-Prophylaxe                         (c't 20/2007 S. 102, kostenpflichtiger Artikel)
• Sicherheitsschleuse                        (c't   5/2007 S. 134)
• Kontrolliertes Risiko                        (c't 21/2003 S. 108)
• IE an die Kette gelegt (c't   1/2003 S.   86)
• IE-Controller Michael Reimann
• Aus ' Informationen Katholische Universität Eichstätt RechenZEntrum'
  • INKUERZE 1/03 :
    • IEController: Kontrolle über den IE
  • INKUERZE 2/02 :
    • Finger weg von IE und Outlook!
• 10 neue Tricks gegen Online-Werbung
• The Hosts File: Downloads
• Der Proxomitron - Ein Universeller Web-Filter