Microsoft가 Windows용 Intune 보안 베이스라인 버전 25H2의 중요한 업데이트를 릴리스했습니다. 환경 보안을 강화하는 새 설정 Disable Internet Explorer 11 Launch Via COM Automation을 도입합니다. 이 설정은 이제 베이스라인 기본값이 Enabled입니다.

Windows 장치를 관리하며 모범 사례를 적용하기 위해 Intune 보안 베이스라인에 크게 의존하는 경우, 이 업데이트를 인식해야 합니다 — 보안 이점과 레거시 애플리케이션에 미칠 수 있는 잠재적 영향 모두에 대해.

“Disable Internet Explorer 11 Launch Via COM Automation” 설정이란?

Microsoft는 Internet Explorer 11(IE11)을 적극적으로 사용 중단하고 독립 실행형 브라우저로서 비활성화(사용자를 Microsoft Edge로 리디렉션)했지만, 레거시 COM(Component Object Model) 자동화가 허점을 제공했습니다. 레거시 스크립트, 오래된 업무용 애플리케이션, 잠재적으로 악의적인 페이로드는 COM 자동화를 사용해 백그라운드에서 프로그래밍 방식으로 IE11을 여전히 호출할 수 있어 독립 실행형 브라우저 차단을 완전히 우회했습니다.

새로 추가된 이 설정(DisableInternetExplorerLaunchViaCOM / InternetExplorer/DisableInternetExplorerLaunchViaCOM)은 IE11이 이 방법으로 시작되는 것을 결정적으로 차단합니다.

나중에 추가된 이유는?

이 설정은 알려진 문제로 인해 릴리스 시 버전 25H2 베이스라인에서 처음에 제외되었습니다. 이제 문제가 해결되어 Microsoft가 베이스라인을 업데이트하여 이 중요한 안전장치를 포함시켰습니다.

이 차단을 적용함으로써 Microsoft는 위협 행위자가 레거시 스크립팅 방법을 통해 자주 악용하는 중요한 자동화 우회 채널을 닫습니다. 이는 IE11의 사용 중단을 완전히 공고히 하고 관리 장치의 공격 표면을 줄여 현대 보안 관행에 부합합니다.

조직에 미치는 영향

이 정책이 Enabled로 설정되면:

  • 강화된 보안: 자주 간과되는 공격 벡터를 닫습니다. IE11에 대한 프로그래밍 방식 액세스를 차단하여 레거시 익스플로잇이 백그라운드에서 조용히 실행되는 것을 제한합니다.
  • 레거시 앱 영향: 조직이 COM 자동화를 통해 여전히 IE11을 트리거하는 레거시 애플리케이션, VBScript, Office 애드인에 의존하는 경우, 이러한 애플리케이션은 조용한 실패를 겪거나 오류를 발생시킵니다.

해야 할 일

이것은 완전히 새로운 베이스라인이 아니라 기존 베이스라인 버전에 대한 업데이트이므로, 설정은 기존 25H2 베이스라인 프로필에 자동으로 적용되지 않습니다.

  1. 환경 감사: 광범위하게 롤아웃하기 전에 환경의 중요 레거시 애플리케이션이나 스크립트가 IE11 COM 자동화에 의존하지 않는지 확인하세요.
  2. 테스트 및 검증: 파일럿 그룹을 사용해 일상 워크플로와 레거시 소프트웨어에 이 설정을 활성화하는 영향을 테스트하세요.
  3. 프로필 업데이트: 기존 25H2 베이스라인 프로필에 설정을 추가하려면 프로필을 열고 Edit를 선택한 다음 Save하세요. 새 설정이 기본 구성과 함께 나타납니다. 저장되면 Intune은 다음 장치 체크인 시 할당된 그룹에 설정을 배포합니다. (새 25H2 프로필을 생성하면 이 설정이 자동으로 포함됩니다.)

이 베이스라인 업데이트에 조치를 취하면 플릿이 레거시 위협에 대해 강화되어 엔드포인트를 진정한 제로 트러스트 태세에 한 걸음 더 가깝게 만듭니다.

Intune 업데이트에 계속 주목하시고, 언제나 그렇듯 프로덕션에 배포하기 전에 철저히 테스트하세요!