Microsoft 已發布 Intune Windows 安全性基準 25H2 版的重要更新,引入一項新設定以協助保護您的環境安全:停用透過 COM 自動化啟動 Internet Explorer 11。此設定的基準預設值現為已啟用

如果您正在管理 Windows 裝置,且高度依賴 Intune 安全性基準來強制執行最佳做法,這是您必須了解的更新——無論是出於安全性優勢,還是對舊版應用程式的潛在影響。

「停用透過 COM 自動化啟動 Internet Explorer 11」設定是什麼?

雖然 Microsoft 已主動淘汰 Internet Explorer 11(IE11)並將其作為獨立瀏覽器停用(將使用者重新導向至 Microsoft Edge),但舊版 COM(元件物件模型)自動化提供了一個漏洞。舊版指令碼、舊版企業營運應用程式以及潛在的惡意承載,仍然可以在背景透過 COM 自動化以程式設計方式叫用 IE11,完全繞過獨立瀏覽器封鎖。

這項新增的設定(DisableInternetExplorerLaunchViaCOM / InternetExplorer/DisableInternetExplorerLaunchViaCOM)明確防止 IE11 透過此方式啟動。

為什麼稍後才新增?

此設定最初因為已知問題,在 25H2 基準發行時被排除在外。既然問題已解決,Microsoft 已更新基準以納入這項關鍵防護措施。

透過強制執行此封鎖,Microsoft 關閉了威脅發動者常利用舊版指令碼方法入侵的重大自動化繞過管道。這與現代安全實務一致,完全鞏固了 IE11 的淘汰,並降低受管理裝置的攻擊面。

對您的組織有何影響

當此原則設定為已啟用時:

  • 增強的安全性: 您正在關閉一個常被忽略的攻擊媒介。透過封鎖對 IE11 的程式設計存取,您可以限制舊版惡意探索在背景中無聲執行。
  • 對舊版應用程式的影響: 如果您的組織依賴舊版應用程式、VBScript,或仍透過 COM 自動化觸發 IE11 的 Office 增益集,這些應用程式會發生無聲失敗或擲回錯誤。

您需要採取的行動

因為這是對現有基準版本的更新,而非全新的基準,所以該設定不會自動套用至您現有的 25H2 基準設定檔。

  1. 稽核您的環境: 在廣泛推出之前,請確保您的環境中沒有依賴 IE11 COM 自動化的關鍵舊版應用程式或指令碼。
  2. 測試與驗證: 使用試驗群組來測試啟用此設定對日常工作流程與舊版軟體的影響。
  3. 更新您的設定檔: 若要將此設定新增至現有的 25H2 基準設定檔,只需開啟該設定檔,選取編輯,然後儲存。新設定將以其預設組態出現。儲存後,Intune 會在受指派群組下次裝置簽入時將該設定部署至這些群組。(如果您建立新的 25H2 設定檔,它會自動包含此設定。)

採取此基準更新的行動可確保您的裝置機群保持對舊版威脅的強化狀態,讓您的端點更接近真正的零信任態勢。

請持續關注更多 Intune 更新,並且一如既往,部署到生產環境前請徹底測試!