MicrosoftはWindows向けIntuneセキュリティベースラインバージョン25H2の重要な更新をリリースし、環境を保護するための新しい設定を導入しました: Disable Internet Explorer 11 Launch Via COM Automation(IE11のCOM自動化による起動を無効化)です。この設定は現在、ベースラインのデフォルトが有効になっています。

Windowsデバイスを管理し、ベストプラクティスを強制するためにIntuneセキュリティベースラインに大きく依存している場合、これは把握しておく必要がある更新です — セキュリティ上のメリットとレガシーアプリケーションへの潜在的な影響の両面で。

「Disable Internet Explorer 11 Launch Via COM Automation」設定とは

MicrosoftはInternet Explorer 11(IE11)を積極的に非推奨化し、スタンドアロンブラウザとして無効化し(Microsoft Edgeにユーザーをリダイレクト)していますが、レガシーのCOM(コンポーネントオブジェクトモデル)自動化が抜け穴を残していました。レガシースクリプト、古い基幹業務アプリケーション、悪意のあるペイロードは、COM自動化を使用してバックグラウンドでIE11をプログラム的に呼び出し、スタンドアロンブラウザのブロックを完全にバイパスできました。

この新しく追加された設定(DisableInternetExplorerLaunchViaCOM / InternetExplorer/DisableInternetExplorerLaunchViaCOM)は、IE11がこの方法で起動されることを決定的に防ぎます。

なぜ後から追加されたのか

この設定は既知の問題のため、リリース時にバージョン25H2ベースラインから除外されていました。問題が解決された今、Microsoftはこの重要な保護策を含めるようベースラインを更新しました。

このブロックを強制することで、Microsoftは脅威アクターがレガシーのスクリプト手法でよく悪用する重大な自動化バイパス経路を閉じます。これはIE11の非推奨化を完全に確固たるものにし、管理対象デバイスの攻撃面を削減することで、モダンなセキュリティ慣行に合致します。

組織への影響

このポリシーが有効に設定されると:

  • セキュリティの強化: よく見過ごされる攻撃ベクトルを閉じます。IE11へのプログラム的アクセスをブロックすることで、レガシーエクスプロイトがバックグラウンドで暗黙的に実行されるのを防ぎます。
  • レガシーアプリへの影響: 組織がCOM自動化経由でIE11をトリガーするレガシーアプリケーション、VBScript、Officeアドインに依存している場合、これらのアプリケーションはサイレント失敗したりエラーをスローしたりします。

必要な対応

これは新しいベースラインではなく既存のベースラインバージョンの更新であるため、設定は既存の25H2ベースラインプロファイルに自動的には適用されません。

  1. 環境を監査: 広く展開する前に、環境の重要なレガシーアプリやスクリプトがIE11 COM自動化に依存していないことを確認してください。
  2. テストと検証: パイロットグループを使用して、この設定を有効にした場合の日々のワークフローやレガシーソフトウェアへの影響をテストしてください。
  3. プロファイルを更新: 既存の25H2ベースラインプロファイルに設定を追加するには、プロファイルを開き、編集を選択してから保存するだけです。新しい設定がデフォルト構成で表示されます。保存すると、Intuneは次のデバイスチェックイン時に設定を割り当て済みグループに展開します。(新しい25H2プロファイルを作成する場合、この設定は自動的に含まれます。)

このベースライン更新に対応することで、フリートがレガシーの脅威に対して強化され、エンドポイントを真のゼロトラスト態勢に一歩近づけます。

Intuneの更新は引き続きお楽しみに。そしていつものように、本番展開前に十分なテストを!