封鎖過時的 ActiveX 控制項

ActiveX 控制項是讓網站提供內容 (例如視訊、遊戲) 以及讓您與內容 (例如工具列) 互動的小型 App。不過,因為許多 ActiveX 控制項不會自動更新,所以在新版本推出時它們可能會變成過時的控制項。讓您的 ActiveX 控制項維持在最新狀態很重要,因為惡意軟體 (或惡意程式碼) 可以攻擊過時控制項中的安全性漏洞、從電腦收集資訊來損壞您的電腦、安裝垃圾軟體,或讓其他人從遠端控制電腦。為協助避免發生此情況,Internet Explorer 包含了新的安全性功能,稱為封鎖過時的 ActiveX 控制項

封鎖過時 ActiveX 控制項可讓您:

  • 在 IE 防止網頁載入常見但已經過時的 ActiveX 控制項時獲得通知。

  • 與網頁中未受過時控制項影響的其他部分互動。

  • 更新過時的控制項,讓控制項維持在最新狀態以及更安全地使用。

除了近端內部網域區域和信任的網站區域之外,封鎖過時的 ActiveX 控制項功能可以和所有安全性區域搭配使用。

它也可以和以下作業系統及 IE 組合搭配使用:

Windows 作業系統IE 版本

Windows 10

所有支援的 IE 版本。

Microsoft Edge 已不再支援 ActiveX 控制項。

Windows 8.1 和 Windows 8.1 更新版

所有支援的 IE 版本。

Windows 7 SP1

所有支援的 IE 版本。

Windows Server 2012

所有支援的 IE 版本。

Windows Server 2008 R2 SP1

所有支援的 IE 版本。

Windows Server 2008 SP2

僅限 Windows Internet Explorer 9

 

如需有關此新功能的詳細資訊,請參閱 Internet Explorer 開始封鎖過時的 ActiveX 控制項部落格。若要查看此功能封鎖之過時的 ActiveX 控制項的完整清單,請移至此處

封鎖過時的 ActiveX 控制項的通知看起來是什麼樣子?

當 IE 封鎖過時的 ActiveX 控制項時,您將會看到如下所示的通知列 (視您的 IE 版本而定):

Internet Explorer 9 至 Internet Explorer 11

過時的 ActiveX 控制項的相關警告 (IE9+)

Windows Internet Explorer 8

過時的 ActiveX 控制項的相關警告 (IE8)

封鎖過時的 ActiveX 控制項也會提供您安全性警告,以告知您網頁是否嘗試啟動 IE 之外的特定的過時 app:

過時的 ActiveX 控制項的相關警告 (IE 除外)

如何修正過時的 ActiveX 控制項或 app?

您可以從過時的 ActiveX 控制項的相關通知移至控制項的網站,以下載控制項的最新版本。

Dn761713.wedge(zh-tw,TechNet.10).gif取得更新的 ActiveX 控制項

  1. 在通知列上,點選或按一下 [更新]。

    IE 就會開啟 ActiveX 控制項的網站。

  2. 下載最新版本的控制項。

安全性注意事項:  

如果您並不完全信任某個網站,您就不應該允許網站載入過時的 ActiveX 控制項。不過,雖然我們不建議這樣做,但是您還是可以點選或按一下 [此次執行] 來檢視遺失的網頁內容。此選項會在不更新或修正問題的情況下執行 ActiveX 控制項。下次您瀏覽執行相同的過時 ActiveX 控制項的網頁時,您會再次收到通知。

Dn761713.wedge(zh-tw,TechNet.10).gif取得更新的 app

  1. 在安全性警告上,點選或按一下 [更新] 連結。

    IE 就會開啟 app 的網站。

  2. 下載最新版本的 app。

安全性注意事項:  

如果您並不完全信任某個網站,您就不應該允許網站啟動過時的 app。不過,雖然我們不建議這樣做,但是您還是可以點選或按一下 [允許] 來讓網頁啟動 app。此選項會在不更新或修正問題的情況下開啟 app。下次您瀏覽執行相同的過時 app 的網頁時,您會再次收到通知。

IE 如何決定要封鎖哪一個 ActiveX 控制項?

IE 會使用 Microsoft 的 versionlist.xml 檔案來判斷是否應該停止載入某個 ActiveX 控制項。此檔案會在發現新的過時 ActiveX 控制項時更新,IE 會自動將其下載至您的本機檔案。

您可以在 %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml 這個位置看到您的 versionlist.xml 檔案備份,或者您可以在 Internet Explorer 版本清單中檢視 Microsoft 的版本。

安全性注意事項:  

雖然我們強烈建議您不要這樣做,但如果您不想讓您的電腦自動從 Microsoft 下載更新的版本清單,請在命令提示字元執行以下命令:

reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

關閉這個自動下載功能會阻止版本清單在發現新的過時控制項時更新,進而影響封鎖過時的 ActiveX 控制項功能,這可能會危及您電腦的安全性。請自行承擔使用此設定選項的風險。

在受管理的裝置上封鎖過時的 ActiveX 控制項

封鎖過時的 ActiveX 控制項包含 4 個新的群組原則設定,您可以使用這些設定,依據您的網域控制站來管理您的網頁瀏覽器設定。您可以從 Internet Explorer 的系統管理範本頁面下載系統管理範本,包括新的設定。

群組原則設定

以下是新群組原則資訊的清單,包括設定、位置、需求及說明文字字串。所有這些設定都可以在電腦設定或使用者設定範圍中設定,但是電腦設定的優先順序高於使用者設定。

重要事項  

在近端內部網路區域中,封鎖過時的 ActiveX 控制項會關閉;因此,內部網路網站與企業營運 app 將會繼續使用過時的 ActiveX 控制項,而不會中斷。

 
設定類別路徑支援的版本說明文字

開啟 IE 中的 ActiveX 控制項記錄

系統管理範本\Windows 元件\Internet Explorer\安全性功能\附加元件管理

Internet Explorer 8 至 IE11

這項設定會決定 IE 是否要儲存 ActiveX 控制項的記錄資訊。

如果啟用這個設定,IE 會將 ActiveX 控制項資訊 (包括載入控制項的來源 URI 以及它是否已被封鎖的資訊) 記錄到本機檔案。

如果停用或尚未進行這項設定,IE 將不會記錄 ActiveX 控制項資訊。

請注意,無論 [關閉 IE 的封鎖過時的 ActiveX 控制項功能] 或 [於特定網域上關閉 IE 的封鎖過時的 ActiveX 控制項功能] 的設定為何,您都可以開啟或關閉此項設定。

移除 IE 中過時的 ActiveX 控制項的 [此次執行] 按鈕

系統管理範本\Windows 元件\Internet Explorer\安全性功能\附加元件管理

Internet Explorer 8 至 IE11

這項設定可讓您防止使用者看到 [此次執行] 按鈕,及防止使用者在 IE 中執行特定的過時 ActiveX 控制項。

如果啟用這項設定,使用者將不會在 IE 封鎖過時的 ActiveX 控制項時顯示的警告訊息上看到 [此次執行] 按鈕。

如果停用或尚未進行這項設定,使用者將會在 IE 封鎖過時的 ActiveX 控制項時顯示的警告訊息上看到 [此次執行] 按鈕。按一下這個按鈕可讓使用者執行一次過時的 ActiveX 控制項。

於特定網域上關閉 IE 的封鎖過時的 ActiveX 控制項功能

系統管理範本\Windows 元件\Internet Explorer\安全性功能\附加元件管理

Internet Explorer 8 至 IE11

這項設定可讓您管理 IE 將停止封鎖過時的 ActiveX 控制項之網域的清單。在內部網路區域中,一律不會封鎖過時的 ActiveX 控制項。

如果您啟用這項設定,您就可以輸入不會在 IE 中封鎖過時的 ActiveX 控制項之網域的自訂清單。每個網域項目的格式都必須為下列其中一種格式:

  • "domainname.TLD"。例如,如果您想要包括 *.contoso.com/*,請使用 "contoso.com"。

  • "hostname"。例如,如果您想要包括 http://example,請使用 "example"。

  • "file:///path/filename.htm"。例如,請使用 file:///C:/Users/contoso/Desktop/index.htm。

如果停用或尚未進行這項設定,將會刪除清單且 IE 會在網際網路區域中的所有網域上繼續封鎖特定的過時 ActiveX 控制項。

關閉 IE 的封鎖過時的 ActiveX 控制項功能

系統管理範本\Windows 元件\Internet Explorer\安全性功能\附加元件管理

Internet Explorer 8 至 IE11

這項設定會決定 IE 是否要封鎖特定的過時 ActiveX 控制項。在內部網路區域中,一律不會封鎖過時的 ActiveX 控制項。

如果啟用這項設定,IE 會停止封鎖過時的 ActiveX 控制項。

如果您停用或未設定這項設定,IE 會繼續封鎖特定的過時 ActiveX 控制項。

移除 IE 封鎖過時的 ActiveX 控制項通知中的 [更新] 按鈕

這項功能僅能透過登錄使用

Internet Explorer 8 至 IE11

這項設定會決定封鎖過時的 ActiveX 控制項通知中是否會顯示 [更新] 按鈕。這個按鈕會在 IE 中將使用者指向更新特定的過時 ActiveX 控制項。

 

如果您不想使用群組原則,您也可以使用登錄來開啟或關閉這些設定。您可以手動更新登錄,或者您可以使用提升權限的命令提示字元與這些命令來自動開啟設定。

設定登錄設定

開啟 IE 中的 ActiveX 控制項記錄

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v AuditModeEnabled /t REG_DWORD /d 1 /f

其中:

  • 0 或未設定 = 將 ActiveX 控制項資訊 (包括載入控制項的來源 URI 以及它是否已被封鎖的資訊) 記錄到本機檔案。

  • 1 = 記錄 ActiveX 控制項資訊。

移除 IE 中過時的 ActiveX 控制項的 [此次執行] 按鈕

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v RunThisTimeEnabled /t REG_DWORD /d 0 /f

其中:

  • 0 = 移除 [此次執行] 按鈕。

  • 1 或未設定 = 保留 [此次執行] 按鈕。

於特定網域上關閉 IE 的封鎖過時的 ActiveX 控制項功能

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\Domain" /v contoso.com /t REG_SZ /f

其中:

  • contoso.com = 不會在 IE 中封鎖過時的 ActiveX 控制項的單一網域。請為您想要新增至 [允許清單] 的每個網域使用新的 reg add 命令。

關閉 IE 的封鎖過時的 ActiveX 控制項功能

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

其中:

  • 0 = 停止封鎖過時的 ActiveX 控制項。

  • 1 或未設定 = 繼續封鎖特定的過時 ActiveX 控制項。

移除 IE 封鎖過時的 ActiveX 控制項通知中的 [更新] 按鈕

reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v UpdateEnabled /t REG_DWORD /d 0 /f

  • 0 = 移除 [更新] 按鈕。

  • 1 或未設定 = 保留 [更新] 按鈕。

 

清查您的 ActiveX 控制項

您可以透過開啟 [開啟 IE 中的 ActiveX 控制項記錄] 設定來清查您公司中正在使用的 ActiveX 控制項:

  • Windows 10:透過逗點分隔值 (.csv) 檔案或透過本機的 Windows Management Instrumentation (WMI) 類別。

  • Microsoft Windows 的所有其他版本:僅限透過 .csv 檔案。

使用 .CSV 檔案清查您的 ActiveX 控制項

如果您決定開啟 [開啟 IE 中的 ActiveX 控制項記錄] 設定來清查您公司中正在使用的 ActiveX 控制項,IE 就會將 ActiveX 控制項資訊記錄到 %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv 檔案。

以下是詳細範例和 VersionAuditLog.csv 檔案中包含之項目的描述。

來源 URI檔案路徑產品版本檔案版本允許/封鎖原因EPM 相容

http://contoso.com/test1.html

C:\Windows\System32\Macromed\Flash\Flash.ocx

14.0.0.125

14.0.0.125

允許

不在封鎖清單中

EPM 相容

http://contoso.com/test2.html

C:\Program Files\Java\jre6\bin\jp2iexp.dll

6.0.410.2

6.0.410.2

封鎖

過期

與 EPM 不相容

 

  • 來源 URI。載入 ActiveX 控制項之頁面的 URI。

  • 檔案路徑。實作 ActiveX 控制項之二進位檔的位置。

  • 產品版本。實作 ActiveX 控制項之二進位檔的產品版本。

  • 檔案版本。實作 ActiveX 控制項之二進位檔的檔案版本。

  • 允許/封鎖IE 是否封鎖 ActiveX 控制項。

  • 原因。可因為下列原因封鎖或允許使用 ActiveX 控制項:

    原因對應至說明

    版本不在封鎖清單中

    允許

    IE 版本清單明確允許使用載入之 ActiveX 控制項的版本。

    受信任的網域

    允許

    ActiveX 控制項會在 [於特定網域上關閉 IE 的封鎖過時的 ActiveX 控制項功能] 設定中列出的網域上載入。

    檔案不存在

    允許

    載入的 ActiveX 控制項缺少必要的二進位檔而無法正確執行。

    過時

    封鎖

    載入的 ActiveX 控制項已由 IE 版本清單明確封鎖,因為該控制項已經過時。

    不在封鎖清單中

    允許

    載入的 ActiveX 控制項不在 IE 版本清單中。

    由原則管理

    允許

    載入的 ActiveX 控制項是由這裡未列出的群組原則設定管理,並且將依據該群組原則設定來管理。

    受信任的網站區域或內部網路

    允許

    ActiveX 控制項是在受信任的網站或近端內部網路區域中載入。

    硬式封鎖

    封鎖

    IE 中已封鎖載入的 ActiveX 控制項,因為控制項包含已知的安全性弱點。

    不明

    允許或封鎖

    上述項目皆不適用。

     

  • 加強的受保護模式 (EPM) 相容。載入的 ActiveX 控制項是否與加強的受保護模式相容。

    注意  

    Internet Explorer 9 或較舊版本的 IE 不支援加強的受保護模式。因此,如果您是使用 Internet Explorer 8 或 Internet Explorer 9,所有 ActiveX 控制項將會一律標示為與 EPM 不相容。

     

使用本機 WMI 類別清查您的 ActiveX 控制項

在 Windows 10 中,您也可以選擇將清查資訊記錄到本機 WMI 類別。記錄到這個類別的資訊會包含您從.csv 檔案取得的所有資訊,再加上載入之 ActiveX 控制項的 CLSID 或從 ActiveX 控制項啟動之任何 app 的名稱。

開始之前

在您可以使用 WMI 清查 ActiveX 控制項之前,您必須下載設定套件 (.zip 檔案),其中包含:

  • ConfigureWMILogging.ps1。Windows PowerShell 指令碼。

  • ActiveXWMILogging.mof.受管理的物件檔案。

執行 PowerShell 指令碼之前,您必須將 .ps1 和 .mof 檔案複製到用戶端電腦上的相同目錄位置。

Dn761713.wedge(zh-tw,TechNet.10).gif設定 IE 使用 WMI 記錄

  1. 開啟您的 [群組原則] 編輯器,然後開啟 [系統管理範本\Windows 元件\Internet Explorer\開啟 IE 中的 ActiveX 控制項記錄] 設定。

  2. 在用戶端裝置上,使用以下命令,繞過 PowerShell 執行原則,在提升權限的模式 (使用系統管理員權限) 中啟動 PowerShell,並執行 ConfigureWMILogging.ps1:powershell –ExecutionPolicy Bypass .\ConfigureWMILogging.ps1。 如需詳細資訊,請參閱 about_Execution_Policies

  3. 選用:設定 WMI 資料的網域防火牆。如需詳細資訊,請參閱使用企業網站探索收集資料

清查資訊會出現在位於 WMI 命名空間 root\cimv2\IETelemetry 的 WMI 類別 IEAXControlBlockingAuditInfo 中。若要從用戶端電腦收集清查資訊,我們建議使用 System Center 2012 R2 Configuration Manager 或任何可以存取 WMI 資料的代理程式。如需詳細資訊,請參閱使用企業網站探索收集資料

 

 

顯示: