Verhalten von IE11 bei gespeicherten Proxyserver Passwort

Hallo Dominique
Danke für deine Antwort, aber das Problem ist, dass bei IE11 vom Benutzer gespeicherte Passwörter automatisch einen autologin beim proxyserver iniziert wird.
Hier kann ich in der Sicherheitsregel auch einstellen, nur bei der intranet zone automatisch anmelden... Das interessiert ihm (IE11) nicht die Bohne. Es kommt zum Autologin.
Sobald das Passwort in der Anmeldeinformationsverwaltung gespeichert ist (Windows Tresor) tritt dieses Verhalten auf.
Bei IE9 kam wenigstens ein POPUP hoch mit Anmeldename und "gesternten" Passwort, wo man noch bestätigen musste.

Dies war in der Vergangenheit wenigstens ein "wenig" Sicherheit in Punkto unkontrollierte Internetverbindungen. Bedingt durch diese Änderung kann jetzt jedes Programm, welches die API vom IE nutzt den Proxy passieren, ohne dass der Nutzer es mitbekommt.

Also meine Frage ist, kann man den IE11 bzw vielleicht auch IE10 dazu bringen auch dieses POPUP Dialogfenster wieder zu bringen?

Grüße
Byterunner

Hallo Dominique,
habe jetzt diesen Eintrag auf alle Zonen gemacht um zu testen.
Ergebnis: negativ, Wenn Passwort gespeichert ist wird nichts mehr gefragt.

Gruß und Danke
Byterunnner

Hallo,
Client: WIN7 pro, UPTODATE mit PATCHES
Proxy: Squid, oder andere
IE: IE11


Sobald das PW in Password Tresor von Windows ist, scheint hier Tür und Tor offen zu sein.

Hallo Zusammen,

Ich habe jetzt bei Microsoft ein Ticket eröffnet und die konnten das Verhalten auch nachvollziehen.

Kurz zum Verhalten.

IE11 mit WIN7 in Proxyumgebung

In der Anmeldeinformationsverwaltung ist das Passwort vom Proxy hinterlegt bzw. gespeichert.
Bei den Sicherheitseinstellungen vom IE11 ist auf ALLEN Zonen "HOCH" eingestellt (also nach PWD immer fragen)

Das Problem dabei ist, dass dem IE es egal ist was hier eingetragen ist und sich am Proxy automatisch die Authentifizierung holt.

MS Support (LEVEL 1) überlegt gerade ob das jetzt ein BUG oder Sicherheitsloch ist.
Auf meinen Hinweis, dass es für mich ein Sicherheitsleck sei, da Programme die die API vom IE benutzen unbehelligt Daten austauschen können. Der Proxyserver ist hiermit vollkommen unnütz geworden.

MS Support (LEVEL 1) prüft auch, ob das Verhalten bei der Entwicklung bereits bekannt ist.

Hat hier keiner das Verhalten festgestellt oder tritt es irgendwo auch noch auf. (Wir sind ja nicht die einzigen die einen Proxy einsetzen).
Wie ist bei Euch der Workaround??

Grüße
Byterunner

Hatte call bei ms

Liegt by Design"
Ie10 hat das nicht!
Aussage MS
Umstellung auf Ntlm oder Kerberos.. Hat man aber das gleiche Problem... Nur verschlüsselt
Basic Auth ist zu unsicher...(das weiß ich auch... Nehme es in Kauf by Intranet Zone)
Per GPO kannst du das cachen von Passwörtern verbieten... Nur User hackt immer Pw ein... Auch geile Effekte by Outlook by Mails mit external links...

Andere Browser: Die haben gar nicht die Möglichkeit das PW zu speichern..

Aussage von MS: wenn installationscode ausgeführt wird dann hat man ja noch die UAC Steuerung (

Schöne Logs bekommst du auch auf der Unixseite wenn PW gesperrt ist, da immer wininet sich auth. Will aber die nächste Sequenz wird abgebrochen weil kein pw. Gespeichert ist... Ergo Unix tötet Session...

Ich hasse langsam die zwangsbeglückungen..

Hier Org Antwort von ms;
*
Guten Tag Herr Mister X

Referenzierend auf unser Gespräch am Dienstag, sende ich Ihnen eine Zusammenfassung unsrer Diskussion.

· Standardauthentifizierung Aufforderung ist nicht mehr ein Teil der Funktionalität von Windows 7 wie bei Windows XP z.B. Das ist „by design“ Verhalten und kann nicht geändert werden. Mehr Information bezüglich CredUI Dialog in Windows 7 (von IE angerufen) finden Sie auf:

http://blogs.msdn.com/b/ieinternals/archive/2009/11/22/clipboard-paste- ...

· Standardauthentifizierung-Methode ist an sich eine Sicherheitsrisiko(64bit kodierte String). Sicherere Authentifizierungsmethoden soll in Betracht gezogen werden. Wie z.B NTLM oder Kerberos.
· Eine Migration von Windows XP auf Windows 7 ist bereits ein großer Schritt in Richtung Sicherheit, aufgrund der Einführung von UAC, DEP-Schutz, verbesserte ASLR. Die Prozesse eines Benutzers mit Administratorrechten wird nicht als echte Administrator ausgeführt werden.

Erweiterte Informationen finden Sie unten in der Zusammenfassung von Herrn Antonio Pino – Eskalationsingenieur aus der Internet Explorer Abteilung.

· The Basic authentication prompt behavior difference observed in Windows 7 (when compared to Windows XP) is by design and there’s no room to change: It has been this way for 3 different OS releases. This blog post has more information on the new CredUI dialog in Windows 7 (that IE invokes), in the following section:

“First, a bit of background. In Windows 7, WinINET was updated to call the CredUIPromptForWindowsCredentials function to collect HTTP Authentication credentials. The function shows a new CredUI dialog that offers an improved UI over the legacy password prompt, and its use is recommended for use on Windows Vista and later (although IE8 only uses it when running on Windows 7).”

· On the other hand, more important than the presence of absence of a password prompt, and in my view, the following details play much more in favor of security:
o Using Basic authentication is, in itself, a security risk, moreover when the Basic authentication blob (which is merely a base64 encoded string) is sent unencrypted to the proxy server. Other, stronger and more secure, authentication methods should be consider, like NTLM or Kerberos
o Migrating to Windows 7 is already a big security increase, not only because XP is almost out of support (and all the limitations that this includes), but mainly due to the introduction of UAC and other security enhancements (much better DEP protection, improved ASLR, etc). The security concern potential is highly reduced, since even a user with administrator privileges won’t execute all its processes as a true admin, greatly reducing the potential impact malware can have in a machine (of course, if UAC is not explicitly disabled, which is no longer possible in Windows 8 and up in fact)

Mit freundlichen Grüßen