Блокирование устаревших элементов ActiveX

15 июня 2022 г. настольное приложение Internet Explorer 11 будет снято с службы поддержки. Список того, что имеется в области, см. в faq. Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Более подробную информацию см. здесь.

Применимо к:

Windows 10
Windows 8.1
Windows 7
Windows Server 2012 R2
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Windows Vista с пакетом обновления 2 (SP2)

Элементы ActiveX— это небольшие приложения, с помощью которых веб-сайты предоставляют содержимое (например, видео и игры). Они также позволяют взаимодействовать с таким содержимым, как панели инструментов. К сожалению, так как многие элементы ActiveX не обновляются автоматически, они могут устаревать по мере выхода новых версий. Очень важно поддерживать актуальность элементов ActiveX, потому что вредоносные программы через устаревшие элементы ActiveX создают бреши в системе безопасности и наносят вред компьютеру, собирая с него сведения, устанавливая нежелательные программы или позволяя другим пользователям управлять им удаленно. Чтобы избежать такой ситуации, Internet Explorer включает новую функцию безопасности под названием Блокирование устаревших элементов ActiveX.

Блокирование устаревших элементов ActiveX позволяет:

Эта функция позволяет узнавать, когда IE блокирует загрузку веб-страницей распространенных, но устаревших, элементов ActiveX.

Взаимодействовать с другими областями веб-страницы, которые не затронуты устаревшим элементом управления.

Обновлять устаревший элемент управления, чтобы он был актуальным и безопасным для использования.

Функция блокирования устаревших элементов ActiveX работает со всеми зонами безопасности, кроме зон локальной интрасети и надежных сайтов.

Она также работает в таких сочетаниях операционной системы и IE:

Операционная система Windows Версия IE Windows 10 Все поддерживаемые версии IE.Microsoft Edge не поддерживает элементы ActiveX. Windows 8.1 и Windows 8.1 с обновлением Все поддерживаемые версии IE Windows 7 с пакетом обновления 1 (SP1) Все поддерживаемые версии IE Windows Server 2012 Все поддерживаемые версии IE Windows Server 2008 R2 с пакетом обновления 1 (SP1) Все поддерживаемые версии IE Windows Server 2008 с пакетом обновления 2 (SP2) Только Windows Internet Explorer9 Windows Vista с пакетом обновления 2 (SP2) Только Windows Internet Explorer9

Дополнительные сведения об этой новой функции см. в блоге Internet Explorer начинает блокирование устаревших элементов ActiveX. Полный список устаревших элементов Active, блокируемых этой функцией, см. в разделе Заблокированные устаревшие элементов ActiveX.

Как выглядит уведомление о блокировании устаревших элементов ActiveX?

Когда IE блокирует устаревший элемент ActiveX, появляется панель уведомлений, аналогичная этой, в зависимости от версии IE:

Internet Explorer версий с 9 по 11

Windows Internet Explorer 8

Функция блокирования устаревших элементов ActiveX также выдает предупреждение системы безопасности о том, пытается ли веб-страница загрузить определенные устаревшие приложения за пределами IE:

Как исправить устаревший элемент ActiveX или приложение?

Из уведомления об устаревшем элементе ActiveX вы можете перейти на веб-сайт элемента управления, чтобы скачать его последнюю версию.

Получение обновленного элемента ActiveX

На панели уведомлений нажмите кнопку Обновить.

IE откроет веб-сайт элемента ActiveX.

Скачайте последнюю версию элемента управления.

Примечание о безопасности.Если вы не полностью доверяете сайту, не следует разрешать ему загрузку устаревшего элемента ActiveX. И хотя это не рекомендуется, вы можете просмотреть отсутствующее содержимое веб-страницы, нажав кнопку Выполнить в этот раз. В этом случае элемент ActiveX запустится без обновления или решения проблемы. При следующем посещении веб-страницы, использующей такой же устаревший элемент ActiveX, уведомление появится снова.

Получение обновленного приложения

В предупреждении системы безопасности выберите ссылку Обновление.

IE откроет веб-сайт приложения.

Скачайте последнюю версию приложения.

Примечание о безопасности.Если вы не полностью доверяете сайту, не следует разрешать ему запускать устаревшее приложение. И хотя это не рекомендуется, вы можете разрешить запуск веб-страницы в приложении, выбрав вариант Разрешить. В этом случае приложение откроется без обновления или решения проблемы. При следующем посещении веб-страницы, использующей такое же устаревшее приложение, уведомление появится снова.

Как IE решает, какие элементы ActiveX блокировать?

IE использует файл versionlist.xml или versionlistWin7.xml от Майкрософт, чтобы определить, нужно ли останавливать загрузку элемента ActiveX. Эти файлы обновляются за счет недавно обнаруженных устаревших элементов ActiveX, которые IE автоматически загружает в локальную копию файла.

Вы можете посмотреть свою копию файла здесь %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml или просмотреть версию от Майкрософт, в зависимости от операционной системы и версии IE, здесь:

Примечание о безопасности.Хотя мы настоятельно не рекомендуем этого, если вы не хотите, чтобы ваш компьютер автоматически скачивал обновленный список версий от Майкрософт, запустите следующую команду из командной строки:

При отключении этого автоматического скачивания функция блокирования устаревших элементов ActiveX останавливается, так как не разрешается обновление списка версий за счет последних устаревших элементов управления. Это может поставить под угрозу безопасность компьютера. Используя этот параметр конфигурации, вы действуете на свой страх и риск.

Блокирование устаревших элементов ActiveX

на управляемых устройствах, ActiveX блокировка управления включает четыре новых параметра групповой политики, которые можно использовать для управления конфигурацией веб-браузера на основе контроллера домена. Административные шаблоны, включая новые настройки, можно скачать со страницы Административные шаблоны (.admx) для Windows 10 или страницы Административные шаблоны (.admx) для Windows 8.1 и Windows Server 2012 R2, в зависимости от операционной системы.

Параметры групповой политики

Вот список новых сведений групповой политики, включая параметры, расположение, требования и текстовые строки справки. Все эти параметры можно задать в области "Конфигурация компьютера" или "Конфигурации пользователя", но конфигурация компьютера имеет приоритет над конфигурацией пользователя.

Важно! Блокирование устаревших элементов ActiveX отключено в зоне локальной интрасети и зоне надежных сайтов. Поэтому сайты интрасети и бизнес-приложения будут по-прежнему использовать устаревшие элементы ActiveX без прерываний.

Если включить этот параметр, IE записывает сведения об элементах ActiveX (включая URI источника, который загрузил элемент управления, и был ли он заблокирован) в локальный файл.

Если отключить или не настраивать этот параметр, IE не будет записывать сведения об элементах ActiveX.

Если включить этот параметр, то пользователи не увидят кнопку Выполнить в этот раз в предупреждающем сообщении, отображаемом когда IE блокирует устаревший элемент ActiveX.

"domainname.TLD". Например, если необходимо включить *.contoso.com/* , используйте "contoso.com".
"hostname". Например, если необходимо включить https://example , используйте "образец".
"file:///path/filename.htm". Например, используйте file:///C:/Users/contoso/Desktop/index.htm .

Если включить этот параметр, IE не будет блокировать устаревшие элементы ActiveX.

Если вы не хотите использовать групповую политику, эти параметры также можно включить или отключить с помощью реестра. Вы можете обновить реестр вручную.

0 или не настроено. Записывает сведения об элементах ActiveX (включая URI источника, который загрузил элемент управления, и был ли он заблокирован) в локальный файл.
1. Записывает сведения об элементе ActiveX.

0. Удаляет кнопку Выполнить в этот раз.
1 или не настроено. Оставляет кнопку Выполнить в этот раз.

contoso.com. Один домен, на котором устаревшие элементы ActiveX не будут блокироваться в IE. Используйте новую команду reg add для каждого домена, который нужно добавить в список разрешений.

0. Прекращает блокирование устаревших элементов ActiveX.
1 или не настроено. Продолжает блокирование определенных устаревших элементов ActiveX.

0. Удаляет кнопку Обновить.
1 или не настроено. Оставляет кнопку Обновить.

Инвентаризация элементов ActiveX

Вы можете провести инвентаризацию элементов ActiveX, которые используются в вашей компании, включив параметр Turn on ActiveX control logging in IE :

Windows 10: с помощью значений отдельного файл с разделителями-запятыми (CSV-файл) или через локальный класс инструментария управления Windows (WMI).

Все остальные версии Microsoft Windows: только с помощью CSV-файла.

Инвентаризация элементов ActiveX с помощью CSV-файла

Если вы решили провести инвентаризацию элементов ActiveX, которые используются в вашей компании, включив параметр Turn on ActiveX control logging in IE, Internet Explorer записывает сведения об элементах ActiveX в файл %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv .

Вот подробный пример и описание того, что входит в файл VersionAuditLog.csv.

URI источника Путь к файлу Версия продукта Версия файла Разрешено/заблокировано Причина Совместимость с EPM https://contoso.com/test1.html C:\Windows\System32\Macromed\Flash\Flash.ocx 14.0.0.125 14.0.0.125 Разрешено Нет в списке запрещенных Совместимость с EPM https://contoso.com/test2.html C:\Program Files\Java\jre6\bin\jp2iexp.dll 6.0.410.2 6.0.410.2 Заблокировано Устаревший Не совместимо с EPM

Где:

URI источника. URL-адрес страницы, которая загрузила элемент ActiveX.

Путь к файлу. Расположение двоичного файла, который реализует элемент ActiveX.

Версия продукта. Версия продукта двоичного файла, который реализует элемент ActiveX.

Версия файла. Версия двоичного файла, который реализует элемент ActiveX.

Разрешено/заблокировано: IE заблокировал элемент ActiveX или разрешил его.

Совместим с расширенным защищенным режимом (EPM). Указывает, совместим ли загруженный элемент ActiveX с расширенным защищенным режимом.

ПримечаниеРасширенный защищенный режим не поддерживается в Internet Explorer9 или более ранних версиях IE. Поэтому, если вы используете Internet Explorer 8 или Internet Explorer9, все элементы ActiveX всегда будут помечены как не совместимые с EPM.

Причина. Элемент ActiveX может быть заблокирован или разрешен по любой из этих причин:

Инвентаризация элементов ActiveX с помощью локального класса WMI

Для Windows 10 также можно записывать информацию об инвентаризации продукции в локальный класс WMI. Сведения, внесенные в этот класс, включают в себя все сведения, которые вы получаете от CSV-файла, а также по коду CLSID загруженного элемента ActiveX или имени всех программ, запускаемых из элемента ActiveX.

Перед началом работы

Прежде чем использовать WMI для инвентаризации элементов ActiveX, необходимо скачать пакет конфигурации (ZIP-файл), который содержит:

ConfigureWMILogging.ps1. Сценарий Windows PowerShell.

ActiveXWMILogging.mof. Файл управляемого объекта.

Перед запуском сценария PowerShell необходимо скопировать файлы .ps1 и .mof в один каталог клиентском компьютере.

Настройка IE для использования ведения журнала WMI

Откройте редактор групповых политик и выберите параметр Administrative Templates\Windows Components\Internet Explorer\Turn on ActiveX control logging in IE .

На устройстве клиента запустите PowerShell в режиме с повышенными правами (используя привилегии администратора) и выполните ConfigureWMILogging.ps1 , обойдя политику выполнения PowerShell, с помощью этой команды:

Дополнительные сведения см. в статье about_Execution_Policies.

Дополнительно. Настройте брандмауэр домена для данных WMI. Подробнее см. в разделе Сбор данных с помощью средства Enterprise Site Discovery.

Данные инвентаризации отображаются в классе WMI IEAXControlBlockingAuditInfo , расположенном в пространстве имен WMI root\cimv2\IETelemetry. Чтобы собирать данные инвентаризации с клиентских компьютеров, мы рекомендуем использовать System Center 2012 R2 Configuration Manager или любой агент, который может получать доступ к данным WMI. Подробнее см. в разделе Сбор данных с помощью средства Enterprise Site Discovery.

📎📎📎📎📎📎📎📎📎📎