byterunner
Goto Top

Verhalten von IE11 bei gespeicherten Proxyserver Passwort

Hallo,
Bei IE 11 ist mir aufgefallen, dass das Verhalten mit gespeicherten Passwörtern nicht gleich zum IE9 ist. Dies kann auch schon beim IE10 so gewesen sein.
Wenn man im Entennetz sucht, stößt man zur auf VIELE Artikel, aber nichts zu dieser Verhaltensänderung.

Wer auch immer seine Passwörter speichert, war bei IE9 wenigstens eines, dass am Anfang wenigstens nochmal "OK" klicken musste. (PW war mit Sternchen versehen)
Jetzt mit IE11 seht gleich die Verbindung über den Proxy und es kommt keine Dialogbox mehr hoch.
Das öffnet natürlich jeden PGM die Möglichkeit über den IE ins Internet zu gehen.

Gibt es irgendwo die Möglichkeit diese "Bestätigungs-DialogBox" wieder zu kommen?

Gruss
Byterunner

Content-ID: 230159

Url: https://administrator.de/forum/verhalten-von-ie11-bei-gespeicherten-proxyserver-passwort-230159.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Clijsters
Clijsters 17.02.2014 um 23:13:01 Uhr
Goto Top
Hallo Byterunner,

Schau Dir doch mal die Intraneteinstellungen des IE an.
Es gibt die Möglichkeit, PW-Dialoge für Intranetadressen automatisch ausfüllen zu lassen. (Wozu auch UNC-Pfade und Proxyadressen zählen)

Hier:
Technet - Configuring Internet Explorer for Automatic Logon
Das Ganze lässt sich auch via GPO konfigurieren.

Beste Grüße
Dominique
byterunner
byterunner 18.02.2014 um 09:21:20 Uhr
Goto Top
Hallo Dominique
Danke für deine Antwort, aber das Problem ist, dass bei IE11 vom Benutzer gespeicherte Passwörter automatisch einen autologin beim proxyserver iniziert wird.
Hier kann ich in der Sicherheitsregel auch einstellen, nur bei der intranet zone automatisch anmelden... Das interessiert ihm (IE11) nicht die Bohne. Es kommt zum Autologin.
Sobald das Passwort in der Anmeldeinformationsverwaltung gespeichert ist (Windows Tresor) tritt dieses Verhalten auf.
Bei IE9 kam wenigstens ein POPUP hoch mit Anmeldename und "gesternten" Passwort, wo man noch bestätigen musste.

Dies war in der Vergangenheit wenigstens ein "wenig" Sicherheit in Punkto unkontrollierte Internetverbindungen. Bedingt durch diese Änderung kann jetzt jedes Programm, welches die API vom IE nutzt den Proxy passieren, ohne dass der Nutzer es mitbekommt.

Also meine Frage ist, kann man den IE11 bzw vielleicht auch IE10 dazu bringen auch dieses POPUP Dialogfenster wieder zu bringen?

Grüße
Byterunner
Clijsters
Clijsters 18.02.2014 um 10:39:33 Uhr
Goto Top
Hallo Byterunner,

Es geht nämlich genau nicht um "Nur in der Intranetzone..." Wie ich bereits sagte, zählt dein Proxy eventuell in die Intranetzone. Es geht um die Einstellung "Nach Benutzername und Kennwort fragen".
Screenshot

Beste Grüße
Dominique
byterunner
byterunner 19.02.2014 aktualisiert um 09:36:13 Uhr
Goto Top
Hallo Dominique,
habe jetzt diesen Eintrag auf alle Zonen gemacht um zu testen.
Ergebnis: negativ, Wenn Passwort gespeichert ist wird nichts mehr gefragt.

Gruß und Danke
Byterunnner
Clijsters
Clijsters 19.02.2014 um 12:44:59 Uhr
Goto Top
Hallo Byterunner,

so sollte das nicht sein...
Magst Du uns noch ein paar Details über die betroffenen Systeme verraten?
Betriebssystem, Hardwarehersteller, besondere Software... Vielleicht finden sich dort Hinweise.
hier zum Beispiel war die HP-Fingerprint-Software der Übeltäter für das selbe Problem.


LG
Dominique
byterunner
byterunner 27.02.2014 um 08:20:39 Uhr
Goto Top
Hallo,
Client: WIN7 pro, UPTODATE mit PATCHES
Proxy: Squid, oder andere
IE: IE11


Sobald das PW in Password Tresor von Windows ist, scheint hier Tür und Tor offen zu sein.
byterunner
byterunner 04.03.2014 um 14:09:46 Uhr
Goto Top
Hallo Zusammen,

Ich habe jetzt bei Microsoft ein Ticket eröffnet und die konnten das Verhalten auch nachvollziehen.

Kurz zum Verhalten.

IE11 mit WIN7 in Proxyumgebung

In der Anmeldeinformationsverwaltung ist das Passwort vom Proxy hinterlegt bzw. gespeichert.
Bei den Sicherheitseinstellungen vom IE11 ist auf ALLEN Zonen "HOCH" eingestellt (also nach PWD immer fragen)

Das Problem dabei ist, dass dem IE es egal ist was hier eingetragen ist und sich am Proxy automatisch die Authentifizierung holt.

MS Support (LEVEL 1) überlegt gerade ob das jetzt ein BUG oder Sicherheitsloch ist.
Auf meinen Hinweis, dass es für mich ein Sicherheitsleck sei, da Programme die die API vom IE benutzen unbehelligt Daten austauschen können. Der Proxyserver ist hiermit vollkommen unnütz geworden.

MS Support (LEVEL 1) prüft auch, ob das Verhalten bei der Entwicklung bereits bekannt ist.

Hat hier keiner das Verhalten festgestellt oder tritt es irgendwo auch noch auf. (Wir sind ja nicht die einzigen die einen Proxy einsetzen).
Wie ist bei Euch der Workaround??

Grüße
Byterunner
darlavuelta
darlavuelta 24.04.2014 um 15:10:08 Uhr
Goto Top
Hallo,

habe exakt das gleiche Problem mit dem IE11 und einem Squid als Proxy.
Gibts hier irgendwelche Erkentnisse mittlerweile?
byterunner
byterunner 25.04.2014 um 13:12:05 Uhr
Goto Top
Hatte call bei ms

Liegt by Design"
Ie10 hat das nicht!
Aussage MS
Umstellung auf Ntlm oder Kerberos.. Hat man aber das gleiche Problem... Nur verschlüsselt
Basic Auth ist zu unsicher...(das weiß ich auch... Nehme es in Kauf by Intranet Zone)
Per GPO kannst du das cachen von Passwörtern verbieten... Nur User hackt immer Pw ein... Auch geile Effekte by Outlook by Mails mit external links...

Andere Browser: Die haben gar nicht die Möglichkeit das PW zu speichern..

Aussage von MS: wenn installationscode ausgeführt wird dann hat man ja noch die UAC Steuerung face-sad(

Schöne Logs bekommst du auch auf der Unixseite wenn PW gesperrt ist, da immer wininet sich auth. Will aber die nächste Sequenz wird abgebrochen weil kein pw. Gespeichert ist... Ergo Unix tötet Session...

Ich hasse langsam die zwangsbeglückungen..

Hier Org Antwort von ms;
*
Guten Tag Herr Mister X

Referenzierend auf unser Gespräch am Dienstag, sende ich Ihnen eine Zusammenfassung unsrer Diskussion.

· Standardauthentifizierung Aufforderung ist nicht mehr ein Teil der Funktionalität von Windows 7 wie bei Windows XP z.B. Das ist „by design“ Verhalten und kann nicht geändert werden. Mehr Information bezüglich CredUI Dialog in Windows 7 (von IE angerufen) finden Sie auf:

http://blogs.msdn.com/b/ieinternals/archive/2009/11/22/clipboard-paste- ...

· Standardauthentifizierung-Methode ist an sich eine Sicherheitsrisiko(64bit kodierte String). Sicherere Authentifizierungsmethoden soll in Betracht gezogen werden. Wie z.B NTLM oder Kerberos.
· Eine Migration von Windows XP auf Windows 7 ist bereits ein großer Schritt in Richtung Sicherheit, aufgrund der Einführung von UAC, DEP-Schutz, verbesserte ASLR. Die Prozesse eines Benutzers mit Administratorrechten wird nicht als echte Administrator ausgeführt werden.

Erweiterte Informationen finden Sie unten in der Zusammenfassung von Herrn Antonio Pino – Eskalationsingenieur aus der Internet Explorer Abteilung.

· The Basic authentication prompt behavior difference observed in Windows 7 (when compared to Windows XP) is by design and there’s no room to change: It has been this way for 3 different OS releases. This blog post has more information on the new CredUI dialog in Windows 7 (that IE invokes), in the following section:

“First, a bit of background. In Windows 7, WinINET was updated to call the CredUIPromptForWindowsCredentials function to collect HTTP Authentication credentials. The function shows a new CredUI dialog that offers an improved UI over the legacy password prompt, and its use is recommended for use on Windows Vista and later (although IE8 only uses it when running on Windows 7).”

· On the other hand, more important than the presence of absence of a password prompt, and in my view, the following details play much more in favor of security:
o Using Basic authentication is, in itself, a security risk, moreover when the Basic authentication blob (which is merely a base64 encoded string) is sent unencrypted to the proxy server. Other, stronger and more secure, authentication methods should be consider, like NTLM or Kerberos
o Migrating to Windows 7 is already a big security increase, not only because XP is almost out of support (and all the limitations that this includes), but mainly due to the introduction of UAC and other security enhancements (much better DEP protection, improved ASLR, etc). The security concern potential is highly reduced, since even a user with administrator privileges won’t execute all its processes as a true admin, greatly reducing the potential impact malware can have in a machine (of course, if UAC is not explicitly disabled, which is no longer possible in Windows 8 and up in fact)

Mit freundlichen Grüßen
darlavuelta
Lösung darlavuelta 29.04.2014, aktualisiert am 30.04.2014 um 17:06:12 Uhr
Goto Top
Na Prima!
Da fällt mir ehrlich gesagt nix mehr ein.... Wie schön man einen Konstruktionsfehler doch umschreiben kann.

@ byterunner
Wie habt ihr das jetzt gelöst?
Es soll bei uns halt nicht jeder ins Internet. Kennwortspeicherung über GPO deaktivieren hab ich auch schon durch.
Jeder ist genervt und ist einfach unkomfortabel.

Wird mir und vor allem den Usern nix anderes übrig bleiben.... dann vergessen die wenigstens ihre Zugangsdaten nicht ;O)
topladen
topladen 26.03.2016 um 18:20:15 Uhr
Goto Top
Ich hatte auch das gleiche Problem, daß sich die Passwort-Dialogbox nicht mehr öffnete und gleich eine Unauthorisation... kam. Das habe ich damit gelöst, daß ich alle Sparten unter Internet|Lokales Internat|Vertrauens Sites|Eingeschränkte Sites unter der Rubrik Internetoptionen|Sicherheit auf "Nach Benutzername und Kennwort fragen" umgestellt habe. Jetzt geht es.