Windows: Sicherheitswarnung beim Öffnen einer ausführbaren Datei von einem Netzlaufwerk

Versucht man eine ausführbare Datei von einem anderen Arbeitsgruppen-Computer oder einem NAS zu starten, erhält man in der Regel folgende Sicherheitswarnung:

Ist der eigene oder der entfernte Computer nicht Mitglied der selben Domäne oder handelt es sich generell um eine Arbeitsgruppen-Umgebung ist diese Meldung normal. Die dahinter stehende Funktionalität soll verhindern, das unbemerkt bzw. ungewollt Anwendungen gestartet werden.

Mittels einer Konfigurationsänderung lässt sich diese Meldung verhindern bzw. dem entfernten Computer oder NAS vertrauen. Grafisch lässt sich unter

Systemsteuerung - Internetoptionen - Sicherheit - Lokales Intranet

nach einem Klick auf “Sites” und “Erweitert” die IP-Adresse, der Computername oder der FQDN des entfernten Computers eintragen. Je nachdem wie das Netzwerk gestaltet ist oder wo sich der entfernte Computer befindet, z.B. anderes Subnetz oder anderen DNS-Domäne, und wie auf Diesen zugegriffen wird, kann es sinnvoll sein alle drei Varianten einzutragen.

Hinweis: Diese Einstellung wird pro Benutzer gespeichert!

Via Gruppenrichtlinie (Lokal oder Domäne) lässt sich die Änderung unter

Benutzer- oder Computereinstellungen - Administrative Vorlagen - Windows-Komponenten - Internet Explorer - Internetsystemsteuerung - Sicherheitsseite

in “Liste der Site zu Zonenzuweisungen” vornehmen. Hierzu muss man folgendes Wissen:

“Wertname” stellt die “Site”, also die eigentliche Ziel-Adresse, dar und mittels “Wert” wird die zugeordnete Zone angeben. Möglich ist:

  • 1 = Lokales Intranet
  • 2 = Vertrauenswürdige Sites
  • 3 = Internet
  • 4 = Eingeschränkte Sites

Hinweis: Sobald mittels Gruppenrichtlinie die Sites vorgegeben werden, kann der Benutzer keine eigenen bzw. weiteren Einträge hinzufügen!

Die Einstellung wird in der Registry unter

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

bzw.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

gespeichert. Folglich kann man diese ebenfalls via Skript, “reg import” oder auch “reg add” ändern. Ein Beispiel:

reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v AutoDetect /t REG_DWORD /d 0 /f
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\%DeploymentServer%" /v * /t REG_DWORD /d 1 /f

Die Änderung greift im Vergleich zu früheren Windows-Versionen, wie z.B. XP, sofort. Ein Neustart ist nicht notwendig.

Quellen:

Microsoft Docs – Registrierungseinträge für Internet Explorer-Sicherheitszonen für erweiterte Benutzer

DeployHappiness – Managing Internet Explorer Trusted Sites with Group Policy

Bents Blog – Sicherheitswarnung „Datei öffnen“ in Domänen via Gruppenrichtlinien abschalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.