Microsoft 已发布 Windows 的 Intune 安全基线 25H2 版本的重要更新,引入了一项有助于保护您环境的新设置:禁用通过 COM 自动化启动 Internet Explorer 11。此设置的基线默认值现已为 已启用。
如果您正在管理 Windows 设备并严重依赖 Intune 安全基线来强制执行最佳实践,这是一项您需要了解的更新——既关乎安全收益,也关乎对旧版应用的潜在影响。
什么是"禁用通过 COM 自动化启动 Internet Explorer 11"设置?
虽然 Microsoft 已积极弃用 Internet Explorer 11 (IE11) 并将其作为独立浏览器禁用(将用户重定向到 Microsoft Edge),但旧版 COM(组件对象模型)自动化留下了一个漏洞。旧脚本、旧的业务线应用以及潜在的恶意负载仍可在后台通过 COM 自动化以编程方式调用 IE11,完全绕过独立浏览器阻断。
新添加的设置(DisableInternetExplorerLaunchViaCOM / InternetExplorer/DisableInternetExplorerLaunchViaCOM)明确阻止通过此方法启动 IE11。
为什么后来才添加?
由于一个已知问题,此设置最初在发布时被排除在 25H2 版本基线之外。现在该问题已解决,Microsoft 已更新基线以包含这一关键保护措施。
通过强制执行此阻断,Microsoft 关闭了一个威胁行为者经常利用旧脚本方法的重要自动化绕过通道。这符合现代安全实践,完全巩固了 IE11 的弃用,并减少了受管设备上的攻击面。
对您的组织有何影响
当此策略设置为 已启用 时:
- 增强的安全性: 您正在关闭一个常被忽视的攻击向量。通过阻止对 IE11 的编程访问,您限制旧版漏洞利用在后台静默运行。
- 对旧版应用的影响: 如果您的组织依赖于旧版应用、VBScript 或仍通过 COM 自动化触发 IE11 的 Office 加载项,这些应用将出现静默失败或抛出错误。
您需要做什么
由于这是对现有基线版本的更新,而不是全新的基线,该设置不会自动应用到您现有的 25H2 基线配置文件。
- 审计您的环境: 在大规模推广之前,确保您的环境中没有关键旧版应用或脚本依赖 IE11 COM 自动化。
- 测试和验证: 使用试点组测试启用此设置对日常工作流和旧版软件的影响。
- 更新您的配置文件: 要将此设置添加到现有的 25H2 基线配置文件,只需打开该配置文件,选择 编辑,然后 保存。新设置将以默认配置出现。保存后,Intune 将在下次设备签入时将设置部署到您的分配组。(如果您创建新的 25H2 配置文件,它会自动包含此设置。)
对此基线更新采取行动可确保您的设备群抵御旧版威胁保持强化,使您的端点更接近真正的零信任态势。
请持续关注更多 Intune 更新,并且一如既往,在部署到生产环境之前进行充分测试!