Seiten mit Zertifikat-Fehler sperren per Gruppenrichtlinie

Ein wichtiger Punkt im Thema Sicherheit ist die Konfiguration der Web-Browser per Gruppenrichtlinie. In folgendem Beitrag geht es darum Seiten mit Zertifikat-Fehler sperren zu lassen. Webseiten, welche ein ungültiges oder fehlerhaftes Zertifikat besitzen, sind nicht vertrauenswürdig. Oft können es auch Phising-Seiten sein, oder alte Websites, welche nie upgedatet werden. Deswegen ist es wichtig, dem Benutzer keinen Zugriff auf solche Seiten zu gewähren. Natürlich erscheint im Browser eine Sicherheitsmeldung, allerdings kann man diese Seiten mit einem Klick auf „Trotzdem fortfahren“ oder Ähnlichen Buttons trotzdem aufrufen. Abhilfe schaffen Gruppenrichtlinien, also GPO im Active Directory.

Seiten mit Zertifikat-Fehler sperren

 

Web-Seiten mit Zertifikat-Fehler sperren, in dem man Gruppenrichtlinien (GPO) konfiguriert

Wie oben schon genannt, ist es sehr wichtig den Benutzern das Surfen auf nicht-vertrauenswürdigen Seiten zu unterbinden. Denn Zertifikat-Fehler auf Webseiten bedeuten oft nichts gutes. In schlimmen Fällen ist es sogar möglich, dass sich auf solchen Seiten Schadcode befindet. Also sollte man solche Seiten sperren. Da dies oft über die Firewall, beziehungsweise Proxy nicht einfach umzusetzen ist, da es zig-tausende Seiten gibt, kann man diese Aufgabe dem Web-Browser erteilen. Das ist am einfachsten über Gruppenrichtlinien im Active Directory zu erledigen. Hierzu erstellen wir eine neue Computer-Richtlinie, da es jeden Benutzer der am Client angemeldet ist unterbunden werden soll.

Das nächste Problem ist hier wieder, dass es oft auf den Computern mehrere Web-Browser gibt. Deswegen haben wir für euch eine Liste erstellt, welche alle Gruppenrichtlinien der verschiedenen Browser übersichtlich darstellt.

 

Google Chrome GPO

Es gibt haufenweise Google Chrome Gruppenrichtlinien. Unter anderem kann natürlich das Vorhaben oben auch erledigt werden:

  • Fortfahren von SSL-Hinweisseite erlauben = Deaktiviert
  • Computerkonfiguration/Administrative Vorlagen/Google/Google Chrome

 

Mozilla Firefox GPO

Auch für Mozilla Firefox gibt es ADMX Templates die eingefügt werden können:

  • Ausnahme hinzufügen verhindern bei unsicheren Zertifikaten = Aktiviert
  • Computerkonfiguration/Administrative Vorlagen/Mozilla/Firefox

 

Microsoft Edge

Der MS Edge hat natürlich auch GPOs, welche als Standard schon eingebaut sind:

  • Außerkraftsetzungen von Zertifikatfehlern verhindern = Aktiviert
  • Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Microsoft Edge

 

Microsoft Edge (Chromium)

Die neue Version des Edge kommt mit einem Chromium Kernel und hat daher auch andere Einstellungen:

  • Zulassen, dass Benutzer von der HTTPS-Warnungsseite aus fortfahren können = Deaktiviert
  • Computerkonfiguration/Administrative Vorlagen/Microsoft Edge

 

Microsoft Internet Explorer

Auch der Internet Explorer hat schon Gruppenrichtlinien, welche zum Lieferumfang gehören:

  • Ignorieren von Zertifikatfehlern verhindern = Aktiviert
  • Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung

 

Mit diesen GPO-Vorlagen sollte das Sperren von nicht vertrauenswürdigen Webseiten kein Problem mehr sein, egal welchen Browser der Mitarbeiter verwendet.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

sidebar
>