דפדפן Internet Explorer החל לחסום פקדי ActiveX אשר אינם בתוקף

19 בAugust 2014

אין תגובות

    

כחלק ממחויבות לספק דפדפן אינטרנט מאובטח  Microsoft תחל לחסום  פקדי ActiveX לא מעודכנים החל מ-09.09.14.

למי שלא מכיר, פקדי ActiveX הם מעיין יישומים קטנים שמאפשרים לאתרי אינטרנט לספק תוכן, כמו: קטעי וידאו, משחקים ולתת לנו אינטראקציה עם תכני סרגלי הכלים. לרוע המזל, פקדי ActiveX רבים אינם מתעדכנים באפון אוטומטי. לכן מאוד חשוב שנשמור עליהם מעודכנים כדי למנוע מאתרי אינטרנט זדוניים לנצל פרצות אבטחה בגרסאות לא מעודכנות.

כדי לנוע את זה מיקרוסופט החלה להציג תכונת אבטחה חדשה בדפדפן שנקראת out-of-date ActiveX control blocking.

אז מה בקרת החסימה של Out-of-date ActiveX תאפשר לנו:

  • לדעת מתי Internet Explorer מונע מדף האינטרנט מלהיטען  ע”י חלון קופץ.
  • אינטראקציה עם חלקים אחרים של האתר שלא מושפעים מבקרת החסימה.
  • לעדכן את פקדי הActiveX הלא מעודכנים.
  • לראות מלאי של פקדי ActiveX אשר קיימים בארגון שלנו.

באילו דפדפנים יעבוד תוסף האבטחה out-of-date ActiveX:

  • Internet Explorer 8 עד Internet Explorer 11 כולל וב-Windows 7 SP1 ומעלה.
  • Internet Explorer 8 עד Internet Explorer 11 כולל וב-Windows Server 2008 R2 SP1 ומעלה.
  • כול ה-Security Zones כמו-Internet Zone אך לא Local Intranet Zone ו-Trusted Sites Zone.

אז איך תראה התראת בקרת החסימה של out-of-date ActiveX:

חשוב לציין כי, בברירת מחדל, תכונה זו מזהירה משתמשים, עם אפשרויות כמו, לעדכן את הפקד או לעקוף את התראת האזהרה. כאשר Internet Explorer יחסום פקד ActiveX, נוכל לראות שורת הודעות דומה לזו, תלוי באיזו גרסה של Internet Explorer אנו משתמשים:

1

ב-Internet Explorer 9 עד Internet Explorer 11 כולל.

2

ב-Internet Explorer 8

בלחיצה על ההודעה הקופצת של חסימת ה-ActiveX, ניתן יהיה ללחוץ כפתור ימני  ולאחר מכן יתגלו לנו מס אפשריות, לחיצה על “עדכון” תיקח אותנו לאתר היצרן של אותו פקד,  ומשם ניתן יהיה להוריד את הגרסה האחרונה של אותו פקד. לחלופין, בסביבות מנוהלות כמו בארגונים מסוימים, ה-IT יוכלו להגדיר שהפקד יחסם ולא רק יזהיר-משתמש מהפעלת פקדי ActiveX  לא מעודכנים.
בנוסף בקרת הOut-of-ActiveX נותנת לנו אזהרת אבטחה שאומרת שדף האינטרנט מנסה להפעיל יישומים מיושנים ספציפיים, מחוץ לInternet Explorer:

3

אז איך בעצם Internet Explorer מחליט איזה פקדי ActiveX לחסום:

Internet Explorer משתמש בקובץ versionlist.xml, אשר מתעדכן מקומית עם רשימת פקדים לא מעודכנים שנתגלו לאחרונה. כרגע מסומנים גרסאות ישנות יותר של Java, אך עם הזמן התווספו פקדי ActiveX לא מעודכנים אחרים לרשימה.

ניהול בקרת חסימה של Out-of-date ActiveX בסביבות מנוהלות:

בקרת חסימה של Out-of-date ActiveX לא פעילה ב-Local Intranet Zone ו-Trusted Sites Zone, כדי להבטיח שאתרים פנימיים ויישומים עסקיים מהימנים יוכלו להמשיך להשתמש בפקדי ActiveX ללא הפרעה. חלק מהארגונים ירצו  שליטה  איך התכונה הזאת תשפיע על מערכות מנוהלות. יתכן שצוות ה-IT ירצו  כן להפעיל את רישום פקדי הActiveX , לאכוף חסימה, לאפשר לdomains מסוימים להשתמש בבקרת ה-out-of-date ActiveX , או  שלבטל את התכונה הזאת לגמרי – מה שלא מומלץ בכלל.

כדי לתמוך בתרחישים אלה, התווספו ל-Internet Explorer  ארבע הגדרות Group Policy חדשות שנוכל להשתמש בהם כדי לנהל את בקרת החסימה של out-of-date ActiveX.

  • “Turn on ActiveX control logging in Internet Explorer” – בעזרתו  נוכל להגדיר אילו פקדי ActiveX יתאפשרו או יסומנו באזהרה או יחסמו, ומאיזו סיבה..
  • “Remove Run this time button for outdated ActiveX controls in Internet Explorer” – בעזרתו נוכל למנוע מהמשתמשים את האפשרות לעקוף את בקרת out-of-control ActiveX. בהגדרת מדניות זו המשתמשים לא יראו את כפתור ה-“הפעל הפעם”.
  • “Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains” – בעזרתו נוכל לנהל את Internet Explorer  כך שהוא לא יחסום או  יקפיץ הודעה על פקדי ActiveX לא מעודכנים, שיכללו רשימה של דומיינים ברמה העליונה, שמות מארח, או קבצים.
  • “Turn off blocking of outdated ActiveX controls for Internet Explorer” – בעזרתו נוכל לבטל את התכונה של  בקרת חסימה של פקדי ActiveX לא מעודכנים.

    אפשר כמובן להגדיר את כול 4 התרחישים ע”י יצירת ערכים בregistry- ע”י יצירת מפתח REG_DWORD  עם ערך 0 , במיקום הבא:
    “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled”

*ניתן לראות את המאמר המלא בTechNet.  או להוריד את עדכוני הInternet Explorer administrative templates מפה.

להישאר מעודכן באמצעות Internet Explorer
כפי שכולנו יודעים ארגונים רבים עדיין מסתמכים על היכולות של פקדי ActiveX, אבל פקדי ActiveX לא מעודכנים מהווים סיכון היום. על ידי סיוע לצרכנים להישאר מעודכנים ואפשרות לנהל טוב יותר את פקדי ActiveX, כולל אפשרות Enhanced Protected Mode של מיקרוסופט שמסייעת ללקוחות להישאר בטוחים יותר באינטרנט. תכונות הלו הן חלק מדוגמא נוספת של  מיקרוסופט לספק למשתמשי Internet Explorer דפדפן בטוח יותר.

חי בלסן

יועץ תשתיות בכיר ב- Agile IT

הוסף תגובה
facebook linkedin twitter email

Leave a Reply

Your email address will not be published. Required fields are marked *