Bijna 10% gebruikt nog steeds IE6
Uit de statistieken van de mensen die op mijn beide blogs komen zie ik dat IE6 nog steeds behoorlijk veel gebruikt wordt (9,8% van alle gebruikers). Wat ook opvalt is dat het vaak (overheids) bedrijven zijn.
IE6 voor interne programma's
Er zijn waarschijnlijk verschillende redenen maar uit ervaring weet ik dat één van de hoofd redenen is dat er op het intranet (het netwerk binnen de organisatie) server programma's draaien die alleen goed werken met IE6. Het doel van dit bericht is om op een veilige en beperkte manier met IE6 verder te kunnen blijven werken.
Problemen met IE6
Een van de problemen met IE6 is dat het programma al bijna 9 jaar oud is. Je kunt niet verwachten dat Microsoft dit programma continue aanpast aan de nieuwste ontwikkelingen. Een bijkomend probleem is echter dat de basis van IE ook gebruikt wordt in een programma als Outlook. Als je Outlook gebruikt op een PC met IE6 gebruik je de IE 6 basis (rendering engine) om emails in Outlook op je scherm te laten zien. Precies daar is het de afgelopen twee maanden, met de Chinese hackers die onder andere Google aanvielen, mis gegaan.
IE6 behouden en veiliger maken
Als het nodig is om IE6 te behouden vanwege compatibiliteit met interne sever applicaties, kun je toch veilig(er) werken. De eerste stap is om naast IE een andere browser te gebruiken voor surfen op het internet. Er zijn legio browsers en iedereen heeft zo zijn of haar eigen voorkeur. Ik gebruik zelf sinds 2004 FireFox en daarnaast sinds 2008 Google Chrome.
IE6 dicht spijkeren
In IE6 kun je de veiligheid voor zowel het "interne netwerk" als het "internet" appart instellen. We zetten voor beide netwerken de veiligheidsinstelling op maximaal. Nadat dit gedaan is kun je IE6 haast niet meer gebruiken omdat de meeste websites niet meer goed op de nu aangepaste IE6 te zien zijn.
Geen automatische updates meer
Dit betekend ook dat de Windows en Office updates niet meer werken want het update programma werkt ook met IE. In de internet configuratie kunnen we de twee domeinen van Microsoft vrijgeven zodat de updates blijven werken.
Updates via ICT beheer
Veel bedrijven hebben de automatische updates uitgeschakeld omdat de ICT groep eerst de updates wil kunnen testen. Als de tests OK zijn worden de updates vaak via het eigen netwerk verspreidt. In dat geval hoeven de Microsoft domeinen niet op iedere PC te worden vrijgegeven.
Server applicaties vrijgeven
Als volgende stap geef je bij de instellingen in het "lokale netwerk" de domeinnamen van de servers op het eigen netwerk op als betrouwbaar (white listing). Hierdoor kunnen de interne applicaties gewoon goed werken op IE6.
Apparte DNS server?
Ik heb dit niet gestest, alleen maar bedacht dus laat me maar weten of dit werkt. Om IE6 nog verder dicht te spijkeren zou je een speciale DNS server in het netwerk kunnen plaatsen die alleen geverifieerde adressen heeft. In IE6 zou je dan via een automatisch configuratie script naar die DNS server kunnen verwijzen.
DropMyRights
Veel bedrijven gebruiken XP en soms nog Windows 2000. Omdat beperkte gebruiker accounts onder XP vaak tot problemen leiden werken veel mensen met administrator of power user rechten. Hierdoor is het voor malware gemakkelijker om zich te nestellen.
Ik gebruik zelf al jaren het programma "DropMyRights" wat door een Microsoft engineer is geschreven. DropMyRights plaatst een beperkte gebruikersschil om een programma dat je draait. Als je IE met DropMyRights start in een administrator omgeving kan IE niet meer doen dan als het in een beperkte gebruikersomgeving gestart zou zijn. Ik draai dan ook standaard de volgende programma's met DropMyRight: IE8, FireFox, Google Chrome, Thunderbird en FeedDemon.
De instellingen
Dit moet ik uit mijn hoofd doen want ik heb geen IE6 op mijn machine.
In Internet Explorer ga naar het menu [Extra] en dan naar [Internet Opties], selecteer daar de tab [Beveiliging]. Daarna klik je op het wereldbolletje van "Het Internet" en klik je op de knop [Standaardniveau]. Dit klinkt onlogisch. Er komt nu een schuifje in beeld dat je helemaal naar boven schuift naar "Hoog". Daarna doe je het zelfde voor "Lokaal Intranet". Als laatste klik je op het groene vinkje voor "Vertrouwde websites". Hier halen we eerst het vinkje bij "HTTPS" weg. Daarna voeren we de volgende twee adressen toe: *.microsoft.com en *.windowsupdate.com.
Bijkomende effecten
Het bijkomende effect (is voor sommige administratoren positief) kan zijn dat zelfs de administrator (of power user) geen installatieprogramma's (.exe) meer kan starten via de Windows verkenner. Je kunt nog wel programma's installeren door eerst een DOS venster (via [Start] [Uitvoeren..] en dan "cmd" intoetsen en op de [Enter] toets te drukken) te starten en het programma daar te starten.
De melding in het Engels is: "Windows cannot access the specified device, path, or file. You may not have the appropriate permission to access the item." in het Nederlands is dat: "Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen". Dit kun je aanpassen door in de Internet Explorer onder "Eigenschappen" naar de tab "Beveiliging" te gaan en dan onder "Internet" te klikken op "Aangepast niveau.." en dan op 2/3 naar beneden "Toepassingen en onveilige bestanden starten" naar "vragen (aanbevolen)" zetten.
Succes.
