Internet Explorer 开始阻止过时的 ActiveX 控件

作为履行我们提供更安全浏览器的长期承诺的一部分,自 9 月 9 日起,Internet Explorer 将开始阻止过时 ActiveX 控件。注意:原来的博文指出将从 8 月 12 日开始阻止 ActiveX。请参考附录了解更多详细信息。

ActiveX 控件是一些小应用,可帮助网站提供视频和游戏等内容,并帮助您与工具栏等内容进行交互。遗憾的是,由于许多 ActiveX 控件不会自动更新,因此随着新版本的发布,它们可能会变得过时。将 ActiveX 控件保持为最新状态非常重要,因为恶意或遭受攻击的网页可能会寻找过时控件中的安全漏洞,以收集信息,安装危险软件或让其他人远程控制您的计算机。

例如,根据最新的 Microsoft 安全情报报告,2013 年每个月的 Java 漏洞攻击占检测到的漏洞相关攻击的 84.6% 到 98.5%。这些漏洞可能已在最近的版本中得到修复,但用户可能不知道如何升级。为了帮助避免 ActiveX 控件出现这种情况,2014 年 8 月 12 日的 Internet Explorer 更新将推出一项新的安全功能,称为“过时 ActiveX 控件阻止”。

过时 ActiveX 控件阻止功能使您能够:

  • 了解 Internet Explorer 何时阻止网页加载常见但过时的 ActiveX 控件。
  • 与不受过时控件影响的网页其他部分交互。
  • 更新过时控件,以便它保持最新,使用起来更安全。
  • 清点您的组织使用的 ActiveX 控件。

我们希望在下周推出更新之前提前分享一些指导,以帮助您了解此功能并确定最佳操作过程。如果您是最终用户并看到通知栏,建议您更新到最新版本。如果您是 IT 专业人员,可以确定如何实现此功能。

支持的配置

过时 ActiveX 控件阻止功能适用于:

  • Windows 7 SP1 及更高版本上的 Internet Explorer 8 至 Internet Explorer 11
  • Windows Server 2008 R2 SP1 及更高版本上的 Internet Explorer 8 至 Internet Explorer 11
  • 所有安全区域(例如 Internet 区域),但不适用于“本地 Intranet”区域和“可信站点”区域

此功能不会对“本地 Intranet”区域或“可信站点”区域内的 ActiveX 控件发出警告,也不会阻止这些控件。

过时 ActiveX 控件阻止通知是什么样子的?

必须注意,默认情况下,此功能会警告用户,并提供更新控件或忽略警告的选项。当 Internet Explorer 阻止过时 ActiveX 控件时,您会看到一个与下图类似的通知栏,具体取决于您的 Internet Explorer 版本:

Internet Explorer 9-11 中的提示,告诉用户页面加载了过时 ActiveX 控件。
Internet Explorer 9 至 Internet Explorer 11

Internet Explorer 8 中的提示,告诉用户页面加载了过时 ActiveX 控件。
Internet Explorer 8

在有关过时 ActiveX 控件的通知中单击“更新”会将您带到该控件的网站以下载其最新版本。或者,在托管环境中,IT 人员可以配置相应的功能来阻止用户运行过时 ActiveX 控件,而不只是发出警告。

如果某个网页尝试在 Internet Explorer 之外启动特定的过时应用,过时 ActiveX 控件阻止也会向您发出安全警告,告诉您这种情况:

如果某个网页尝试在 Internet Explorer 之外启动特定的过时应用,过时 ActiveX 控件阻止也会向您发出安全警告,告诉您这种情况。

Internet Explorer 如何决定阻止哪些 ActiveX 控件?

Internet Explorer 使用 Microsoft 托管的文件 versionlist.xml,来确定是否应该阻止加载某个 ActiveX 控件。该文件将使用新发现的过时 ActiveX 控件进行更新,Internet Explorer 会自动下载该文件以覆盖您的本地文件副本。刚开始时我们只标记较旧版本的 Java,但随着时间的推移,我们会陆续向该列表中添加其他过时 ActiveX 控件。

在 2014 年 9 月 9 日之前,当网页尝试加载以下版本的 Java ActiveX 控件时,此功能会通知用户:

  • J2SE 1.4,低于(但不包括)update 43 的所有版本
  • J2SE 5.0,低于(但不包括)update 71 的所有版本
  • Java SE 6,低于(但不包括)update 81 的所有版本
  • Java SE 7,低于(但不包括)update 65 的所有版本
  • Java SE 8,低于(但不包括)update 11 的所有版本

您可以在 Internet Explorer 版本列表中查看 Microsoft 过时 ActiveX 控件的完整列表。

托管环境的过时 ActiveX 控件阻止功能

“本地 Intranet”区域和“可信站点”区域中的过时 ActiveX 控件阻止功能将关闭,以帮助确保 Intranet 网站和可信业务线应用能够继续不受干扰地使用 ActiveX 控件。有些客户可能希望更精细地控制此功能在托管系统上的工作方式。IT 专业人员可能希望打开 ActiveX 控件的日志记录,强制进行阻止,允许所选域使用过时 ActiveX 控件,或者完全禁用此功能(不建议这么做)。有关企业就绪指南,请参阅 Microsoft 知识库文章 2991000

为了支持这些应用场景,Internet Explorer 包含了四个新的组策略设置,您可以使用这些设置来管理过时 ActiveX 控件阻止功能。

  • 日志记录可以告诉您哪些 ActiveX 控件将允许使用,或进行标记以便发出警告或阻止,以及出于什么原因。创建 ActiveX 控件清单也可以显示哪些 ActiveX 控件与增强保护模式(该模式是 Internet Explorer 11 的一项安全功能,可针对浏览器漏洞攻击提供额外保护)兼容,但并非所有 ActiveX 控件都与 EPM 兼容,因此,此功能可帮助评估贵组织是否已准备好阻止过时 ActiveX 控件和启用 EPM。该组策略是“在 Internet Explorer 中启用 ActiveX 控件日志记录”,可以单独使用,也可以与另外三个策略结合使用。
  • 强制阻止可防止用户忽略有关过时 ActiveX 控件的警告。用户不会看到“运行这一次”按钮。该组策略是“删除 Internet Explorer 中过时 ActiveX 控件的“运行这一次”按钮”。
  • 可以对所选域进行管理,使 Internet Explorer 不阻止过时 ActiveX 控件,也不发出警告。此策略是“在特定域上关闭 Internet Explorer 的过时 ActiveX 控件阻止功能”,并包括一个顶级域名、主机名或文件的列表。
  • 可以使用策略“关闭 Internet Explorer 的过时 ActiveX 控件阻止功能”关闭此功能。这只能与日志记录临时结合使用,以便在重新启用此功能之前评估 ActiveX 控件。也可以使用注册表项启用此策略,这一点所有 4 个策略均相同 — 对于此策略,相关注册表项是 REG_DWORD“HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled”,值为零。

请参见此处的完整技术文档。也可以从 Internet Explorer 管理模板页面下载包含这些新设置的更新的 Internet Explorer 管理模板。

使 Internet Explorer 保持最新状态

我们知道许多组织仍然依赖 ActiveX 控件的功能,但过时 ActiveX 控件如今会带来风险。通过帮助消费者保持最新状态并使 IT 部门能够更好地管理 ActiveX 控件(包括与增强保护模式兼容的那些控件),Microsoft 可以帮助客户提高在线安全性。这是我们履行承诺的另一个例子,这个承诺就是帮助用户及时获得更安全、更可靠的 Internet Explorer。

最后,感谢 Java 工程团队与我们合作提供此功能。这种合作伙伴关系表明,在帮助用户保持最新和安全方面,Java 和 IE 的目标一致!

附录 - 2014 年 8 月 10 日

我们已收到多个有关此更新的问题,想在此澄清这些问题并进行简短声明。

根据客户反馈,我们已经决定等待 30 天,然后再开始阻止任何过时 ActiveX 控件。客户可以使用新的日志记录功能评估其环境中的 ActiveX 控件,并部署组策略来强制阻止、关闭特定域的 ActiveX 控件阻止功能,或完全关闭此功能,具体视其需求而定。此功能和相关组策略仍将在 8 月 12 日推出,但在 9 月 9 日(周二)之前,不会阻止任何过时 ActiveX 控件。Microsoft 将继续打造更安全的浏览器,我们鼓励所有客户进行升级,获取最新的 Internet Explorer 和更新。

下面是有关此次更新的一些常见问题的解答。

常见问题解答

此次更新涵盖哪些过时 ActiveX 控件?

当在 8 月份首次发布此功能时,不会影响任何 ActiveX 控件。9 月份,只有过时的 Oracle Java ActiveX 控件会受影响。所有其他 ActiveX 控制将延续现有行为。

此次更新是否会影响在 Internet Explorer 之外使用过时 Java 的应用程序?

不会。只有在 Internet Explorer 中将 Java 的过时版本作为 ActiveX 控件加载时,此功能才会提示用户。

此次更新是否同时适用于服务器和客户端 SKU 上的 Internet Explorer?

是的。

此功能是 8 月累计更新的一部分还是将作为单独的修补程序发布?

此功能将是 8 月 Internet Explorer 累计安全更新的一部分,但在 30 天内,不会阻止任何过时 ActiveX 控件,以便为客户留出时间测试和管理他们的环境。

此功能是否有助于抵御以过时 Java 控件为目标的主动攻击?

是的,安装 Java 运行时的最新版本可以显著提高用户安全性。Microsoft 安全博客“持续更新 Oracle Java 仍然能够提供较高的安全投资回报率”和 Microsoft 安全情报报告中提供了有关特定 CVE 的更多详细信息。

如果某个受信任的应用程序需要使用过时 Java,最终用户是否可以选择忽略提示?

可以,对于需要使用过时 ActiveX 控件的 Internet 网站,用户可以选择“运行这一次”选项。

我所在企业在 Intranet 区域或“可信站点”区域中有一些业务线网站依赖于过时 Java ActiveX 控件,此次更新是否会影响这些网站?

不会,在应用此更新后,Intranet 区域或“可信站点”区域的网站将继续照常运行。通过完全限定域名或 IP 地址访问的 Intranet 网站会视为位于 Internet 区域内,将会受到此次更新的影响。请参阅以下知识库文章查看完整讨论和建议的解决方法。此外,还应注意,在前 30 天内,将不会有过时 ActiveX 控件受到影响,以便为客户留出时间测试和管理他们的环境。

我所在企业在 Internet 区域有一些业务线网站依赖于过时 Java ActiveX 控件,此次更新是否会影响这些网站?

过时 Java ActiveX 控件最初不会受到影响,以便为客户留出 30 天时间测试和管理他们的环境。9 月 9 日之后,当最终用户尝试加载过时 Java ActiveX 控件时,将会看到一则提示(如上文所述)。最终用户可以单击“运行这一次”选项以加载过时 Java ActiveX 控件。加载后,过时 Java ActiveX 控件将照常工作。

如果我所在企业需要较旧版本的 Java 运行时,能否禁用此功能?

可以,可通过多种方法禁用此功能。Microsoft 提供了更新的 IE 组策略管理模板,其中包括 4 个用于控制此功能的新组策略*。其中两个组策略可用来按域禁用或完全禁用此功能。

如果您不希望使用组策略管理模板来禁用此功能,则可以使用可通过组策略设置的以下注册表项(此处此处详细介绍了该操作过程)。所有注册表项都可以在 HKLM 或 HKCU 中设置(HKLM 优先于 HKCU)。

策略 注册表设置
关闭 Internet Explorer 在特定域上阻止过时 ActiveX 控件的功能
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\ Domain" /v contoso.com /t REG_SZ /f
关闭 Internet Explorer 阻止过时 ActiveX 控件的功能
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

如果上述方法均不起作用,可以将需要使用过时 Java ActiveX 控件的网站的地址添加到“可信站点”区域中。

没有管理访问权限是否可以禁用此功能?

可以。具体方法是删除之前下载的所有 versionlist.xml 文件并指示 IE 停止更新 XML 文件。这可以通过在命令窗口中运行以下命令来实现:

  1.  reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f
    
  2.  del “%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml”
    

Internet Explorer 如何获取、更新和使用 versionlist.xml 文件?

受支持的 Internet Explorer 版本将会在安装 8 月累计更新并启动 Internet Explorer 后的 12 小时内下载 versionlist.xml 文件的初始版本。versionlist.xml 文件将从此处下载到以下位置:%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml。

下载该文件后,该功能即被启用,Internet Explorer 将开始根据 versionlist.xml 文件中的数据阻止过时 Java ActiveX 控件。然后,Internet Explorer 会定期检查该文件的更新。如果 Microsoft 更新该文件,Internet Explorer 将下载该文件的新版本。请注意,在前 30 天内,该文件不会阻止过时 ActiveX 控件,以便为客户留出时间测试和管理他们的环境。

企业是否可以禁用或改写用户在过时 ActiveX 提示上单击“更新”按钮时将定向到的 URL?

用户在单击“更新”按钮时将定向到的 URL 存储在 versionlist.xml 文件中,虽然可以在该文件中更改此 URL,但 versionlist.xml 将来的任何更新都将覆盖这些更改。

过时的 Java 是该功能在 9 月份阻止的唯一一个 ActiveX 控件吗?

是的,9 月份,该功能将只阻止过时的 Oracle Java ActiveX 控件。不过,在未来的更新中,Internet Explorer 将会考虑阻止其他常见但过时的 ActiveX 控件。

*在哪里可以找到有关此功能和组策略管理模板的更多文档?

8 月 12 日将分别在 TechNet 上和下载中心提供更多的 TechNet 文档和组策略管理模板。

— Internet Explorer 高级产品经理 Fred Pullen

— 安全部门项目经理 Jasika Bawa