Blockieren veralteter ActiveX-Steuerelemente

Betrifft:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2008 R2 mit Service Pack 1 (SP1)
  • Windows Vista SP2

Bei ActiveX-Steuerelementen handelt es sich um kleine Apps, die das Bereitstellen von Inhalten (z. B. Videos und Spiele) auf Websites und die Interaktion mit Inhalten wie Symbolleisten ermöglichen. Da viele ActiveX-Steuerelemente nicht automatisch aktualisiert werden, werden sie mit Erscheinen neuer Versionen zu veralteten Steuerelementen. ActiveX-Steuerelemente sollten unbedingt auf dem neuesten Stand gehalten werden, da Schadsoftware (Malware) Sicherheitslücken in veralteten Steuerelementen ausnutzen kann. Dies kann die Sicherheit Ihres Computers erheblich beeinträchtigen – beispielsweise durch Auslesen von Informationen, die Installation unerwünschter Software oder Remoteangriffe durch Hacker. Zur Vermeidung einer solchen Situation verfügt Internet Explorer über ein neues Sicherheitsfeature zum Blockieren veralteter ActiveX-Steuerelemente.

Vorteile der Blockierung veralteter ActiveX-Steuerelemente:

  • Sie werden informiert, wenn IE auf einer Webseite das Laden gängiger, aber veralteter ActiveX-Steuerelemente unterbindet.

  • Sie können weiterhin auf andere Bereiche der Webseite zugreifen, auf die sich das veraltete Steuerelement nicht auswirkt.

  • Sie können das veraltete Steuerelement aktualisieren, damit es auf dem neuesten Stand und sicher ist.

Das Feature zum Blockieren veralteter ActiveX-Steuerelemente ist mit allen Sicherheitszonenkompatibel. Einzige Ausnahmen sind die Zonen für lokales Intranet und vertrauenswürdige Sites.

Darüber hinaus kann es mit den folgenden Kombinationen aus Betriebssystem und IE verwendet werden:

Windows-Betriebssystem IE-Version
Windows 10 Alle unterstützten IE-Versionen
Microsoft Edge unterstützt keine ActiveX-Steuerelemente.
Windows 8.1 und Windows 8.1 Update Alle unterstützten IE-Versionen
Windows 7 SP1 Alle unterstützten IE-Versionen
Windows Server 2012 Alle unterstützten IE-Versionen
Windows Server 2008 R2 SP1 Alle unterstützten IE-Versionen
Windows Server 2008 SP2 Nur Windows Internet Explorer 9
Windows Vista SP2 Nur Windows Internet Explorer 9

Weitere Informationen zu diesem neuen Feature finden Sie im Blog Internet Explorer blockiert veraltete ActiveX-Steuerelemente. Die vollständige Liste veralteter ActiveX-Steuerelemente, die von diesem Feature blockiert werden, finden Sie unter Blockieren veralteter ActiveX-Steuerelemente.

Wie sieht die Benachrichtigung über das Blockieren veralteter ActiveX-Steuerelemente aus?

Wenn IE ein veraltetes ActiveX-Steuerelement blockiert, wird je nach IE-Version eine Benachrichtigung wie die folgende angezeigt:

Internet Explorer 9 bis Internet Explorer 11

Warnung bei veralteten ActiveX-Steuerelementen (ab IE9)

Windows Internet Explorer8

Warnung bei veralteten ActiveX-Steuerelementen (ab IE8)

Das Feature zum Blockieren veralteter ActiveX-Steuerelemente zeigt ggf. auch eine Sicherheitswarnung mit dem Hinweis an, dass eine Webseite versucht, bestimmte veraltete Apps außerhalb von IE zu starten:

Warnung zu veralteten ActiveX-Steuerelementen außerhalb von IE

Wie aktualisiere ich ein veraltetes ActiveX-Steuerelement oder eine veraltete App?

Im Benachrichtigungsfenster für das veraltete ActiveX-Steuerelement können Sie die Website des Steuerelements aufrufen, um die aktuelle Version herunterzuladen.

So aktualisieren Sie das ActiveX-Steuerelement

  1. Tippen oder klicken Sie auf der Benachrichtigungsleiste auf Aktualisieren.

    IE öffnet die Website des ActiveX-Steuerelements.

  2. Laden Sie die neueste Version des Steuerelements herunter.

Sicherheitshinweis:
Wenn Sie einer Website nicht vorbehaltlos vertrauen, sollten Sie das Laden eines veralteten ActiveX-Steuerelements nicht zulassen. Sie können den fehlenden Webseiteninhalt zwar durch Tippen oder Klicken auf Einmal ausführentrotzdem anzeigen, dies wird jedoch nicht empfohlen. Mit dieser Option führen Sie das ActiveX-Steuerelement aus, ohne eine Aktualisierung durchzuführen oder das Problem zu beheben. Beim nächsten Besuch einer Webseite, die das gleiche veraltete ActiveX-Steuerelement verwendet, erscheint wieder eine Benachrichtigung.

So aktualisieren Sie die App

  1. Tippen oder klicken Sie in der Sicherheitswarnung auf den Link Aktualisieren .

    IE öffnet die Website der App.

  2. Laden Sie die neueste Version der App herunter.

Sicherheitshinweis:
Wenn Sie einer Website nicht vorbehaltlos vertrauen, sollten Sie nicht zulassen, dass sie eine veraltete App startet. Sie können das Ausführen der App zwar durch Tippen oder Klicken auf Zulassentrotzdem zulassen, dies wird jedoch nicht empfohlen. Mit dieser Option öffnen Sie die App, ohne sie zu aktualisieren oder das Problem zu beheben. Beim nächsten Besuch einer Webseite, die die gleiche veraltete App verwendet, erscheint wieder eine Benachrichtigung.

Wie entscheidet IE, welche ActiveX-Steuerelemente blockiert werden?

IE ermittelt anhand der Datei „versionlist.xml“ oder „versionlistWin7.xml“ von Microsoft, ob das Laden eines ActiveX-Steuerelements verhindert werden soll. Diese Dateien wird mit neu entdeckten veralteten ActiveX-Steuerelementen aktualisiert, die dann von IE automatisch in Ihre lokale Kopie der Datei heruntergeladen werden.

Sie können Ihre Kopie der Datei unter %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml anzeigen, oder Sie können die Microsoft-Version (je nach Betriebssystem und der Version von Internet Explorer) hier anzeigen:

Sicherheitshinweis:
Obwohl dringend davon abgeraten wird, können Sie den folgenden Befehl manuell an der Eingabeaufforderung ausführen, wenn Sie nicht möchten, dass die aktualisierte Versionsliste von Microsoft automatisch auf Ihren Computer heruntergeladen wird:

reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

Durch Deaktivieren automatischer Downloads behindern Sie das Feature zum Blockieren veralteter ActiveX-Steuerelemente. Da die Versionsliste dann nicht mehr mit neu entdeckten veralteten Steuerelementen aktualisiert werden kann, können auf Ihrem Computer Sicherheitsprobleme auftreten. Sie verwenden diese Konfigurationsoption auf eigenes Risiko.

Blockieren veralteter ActiveX-Steuerelemente auf verwalteten Geräten

Das Feature zum Blockieren veralteter ActiveX-Steuerelemente enthält vier neue Gruppenrichtlinieneinstellungen, mit denen Sie Ihre Webbrowserkonfiguration auf der Grundlage Ihres Domänencontrollers verwalten können. Sie können die administrativen Vorlagen, einschließlich der neuen Einstellungen, von der Seite Administrative Vorlagen (ADMX-Dateien) für Windows 10 oder von der Seite Administrative Vorlagen (ADMX-Dateien) für Windows 8.1 und Windows Server2012 R2 (je nach Betriebssystem) herunterladen.

Gruppenrichtlinieneinstellungen

Im Anschluss finden Sie eine Liste mit den neuen Gruppenrichtlinieninformationen (Einstellungen, Speicherort, Anforderungen und Hilfetext). Alle diese Einstellungen können entweder in der Computerkonfiguration oder der Benutzerkonfiguration festgelegt werden. Beachten Sie, dass die Computerkonfiguration Vorrang vor der Benutzerkonfiguration hat.

Wichtig
Das Blockieren veralteter ActiveX-Steuerelemente ist in der Zone „Lokales Intranet“ und in der Zone „Vertrauenswürdige Sites“ deaktiviert. Deshalb werden veraltete ActiveX-Steuerelemente von Intranetsites und Branchen-Apps ohne Unterbrechung weiterverwendet.

Einstellung Kategoriepfad Unterstützung Hilfetext
Protokollierung von ActiveX-Steuerelementen in Internet Explorer einschalten Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Internet Explorer 8 bis IE11 Diese Einstellung bestimmt, ob IE Protokollinformationen für ActiveX-Steuerelemente speichert.

Wenn Sie diese Einstellung aktivieren, protokolliert Internet Explorer Informationen zu ActiveX-Steuerelementen (einschließlich des Quell-URIs, der das Steuerelement geladen hat, und der Information, ob es blockiert wurde) in einer lokalen Datei.

Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, protokolliert IE keine Informationen zu ActiveX-Steuerelementen.

Beachten Sie, dass diese Einstellung unabhängig von den Einstellungen Turn off blocking of outdated ActiveX controls for IE und Turn off blocking of outdated ActiveX controls for IE on specific domains aktiviert und deaktiviert werden kann.

Schaltfläche Einmal ausführen für veraltete ActiveX-Steuerelemente aus Internet Explorer entfernen Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Internet Explorer 8 bis IE11 Mit dieser Einstellung können Sie verhindern, dass die Schaltfläche Einmal ausführen angezeigt wird und dass Benutzer in IE bestimmte veraltete ActiveX-Steuerelemente ausführen.

Wenn Sie diese Einstellung aktivieren, wird den Benutzern in der Warnmeldung, die erscheint, wenn IE ein veraltetes ActiveX-Steuerelement blockiert, die Schaltfläche Einmal ausführen nicht angezeigt.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird den Benutzern in der Warnmeldung, die erscheint, wenn IE ein veraltetes ActiveX-Steuerelement blockiert, die Schaltfläche Einmal ausführen angezeigt. Der Benutzer kann das veraltete ActiveX-Steuerelement einmal ausführen, indem er auf die Schaltfläche klickt.

Blockieren von veralteten ActiveX-Steuerelementen für Internet Explorer in spezifischen Domänen ausschalten Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Internet Explorer 8 bis IE11 Mit dieser Einstellung können Sie eine Liste mit Domänen verwalten, für die IE keine veralteten ActiveX-Steuerelemente blockieren soll. Veraltete ActiveX-Steuerelemente werden in der Intranetzone grundsätzlich nicht blockiert.

Wenn Sie diese Einstellung aktivieren, können Sie eine benutzerdefinierte Liste mit Domänen eingeben, für die Internet Explorer veraltete ActiveX-Steuerelemente nicht blockieren soll. Jeder Domäneneintrag muss auf eine der folgenden Arten formatiert sein:

  • "domainname.TLD". Wenn Sie z. B. *.contoso.com/* einschließen möchten, verwenden Sie "contoso.com".
  • "hostname". Wenn Sie z. B. http://example einschließen möchten, verwenden Sie "example".
  • "file:///path/filename.htm". Verwenden Sie z. B. file:///C:/Users/contoso/Desktop/index.htm.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die Liste gelöscht, und Internet Explorer blockiert weiterhin bestimmte veraltete ActiveX-Steuerelemente für alle Domänen in der Internetzone.

Blockieren von veralteten ActiveX-Steuerelementen für Internet Explorer ausschalten Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Internet Explorer 8 bis IE11 Diese Einstellung bestimmt, ob Internet Explorer bestimmte veraltete ActiveX-Steuerelemente blockiert. Veraltete ActiveX-Steuerelemente werden in der Intranetzone grundsätzlich nicht blockiert.

Wenn Sie diese Einstellung aktivieren, beendet IE die Blockierung veralteter ActiveX-Steuerelemente.

Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, blockiert IE weiterhin bestimmte veraltete ActiveX-Steuerelemente.

Schaltfläche Aktualisieren in der Benachrichtigung über das Blockieren veralteter ActiveX-Steuerelemente für IE entfernen Diese Funktion ist nur in der Registrierung verfügbar. Internet Explorer 8 bis IE11 Diese Einstellung bestimmt, ob in der Benachrichtigung über das Blockieren veralteter ActiveX-Steuerelemente die Schaltfläche Aktualisieren angezeigt wird. Über diese Schaltfläche gelangt der Benutzer zum Update für bestimmte veraltete ActiveX-Steuerelemente in IE.

Wenn Sie keine Gruppenrichtlinie verwenden möchten, können Sie diese Einstellungen auch über die Registrierung aktivieren oder deaktivieren. Sie können die Registrierung manuell aktualisieren.

Einstellung Registrierungseinstellung
Protokollierung von ActiveX-Steuerelementen in Internet Explorer einschalten reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v AuditModeEnabled /t REG_DWORD /d 1 /f

Dabei gilt:

  • 0 oder nicht konfiguriert. Protokolliert Informationen zu ActiveX-Steuerelementen (einschließlich des Quell-URIs, der das Steuerelement geladen hat, und der Information, ob es blockiert wurde) in einer lokalen Datei.
  • 1. Protokolliert Informationen über ActiveX-Steuerelemente.
Schaltfläche Einmal ausführen für veraltete ActiveX-Steuerelemente aus Internet Explorer entfernen reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v RunThisTimeEnabled /t REG_DWORD /d 0 /f

Dabei gilt:

  • 0. Entfernt die Schaltfläche Einmal ausführen.
  • 1 oder nicht konfiguriert. Belässt die Schaltfläche Einmal ausführen.
Blockieren von veralteten ActiveX-Steuerelementen für Internet Explorer in spezifischen Domänen ausschalten reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\Domain" /v contoso.com /t REG_SZ /f

Dabei gilt:

  • contoso.com. Eine einzelne Domäne, für die veraltete ActiveX-Steuerelemente im IE nicht blockiert werden. Führen Sie den Befehl reg add für jede Domäne aus, die Sie der Liste Zulassen hinzufügen möchten.
Blockieren von veralteten ActiveX-Steuerelementen für Internet Explorer ausschalten reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Dabei gilt:

  • 0. Beendet die Blockierung veralteter ActiveX-Steuerelemente.
  • 1 oder nicht konfiguriert. Blockiert weiterhin bestimmte veraltete ActiveX-Steuerelemente.
Schaltfläche Aktualisieren in der Benachrichtigung über das Blockieren veralteter ActiveX-Steuerelemente für IE entfernen reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v UpdateEnabled /t REG_DWORD /d 0 /f

Dabei gilt:

  • 0. Entfernt die Schaltfläche Aktualisieren.
  • 1 oder nicht konfiguriert. Belässt die Schaltfläche Aktualisieren.

Inventarisieren von ActiveX-Steuerelementen

Wenn Sie die in Ihrem Unternehmen verwendeten ActiveX-Steuerelemente inventarisieren möchten, aktivieren Sie die Einstellung Turn on ActiveX control logging in IE :

  • Windows 10: Verwenden Sie entweder eine CSV-Datei oder eine lokale Klasse der Windows-Verwaltungsinstrumentation (WMI-Klasse).

  • Alle anderen Versionen von Microsoft Windows: Verwenden Sie eine CSV-Datei.

Inventarisieren von ActiveX-Steuerelementen mithilfe einer CSV-Datei

Wenn Sie die in Ihrem Unternehmen verwendeten ActiveX-Steuerelemente durch Aktivieren der Einstellung Turn on ActiveX control logging in IE inventarisieren, protokolliert Internet Explorer die ActiveX-Steuerelementinformationen in der Datei %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv .

Im Anschluss finden Sie ein ausführliches Beispiel und eine Inhaltsbeschreibung für die Datei „VersionAuditLog.csv“.

Quell-URI Dateipfad Produktversion Dateiversion Zugelassen/blockiert Grund EPM-kompatibel
http://contoso.com/test1.html C:\Windows\System32\Macromed\Flash\Flash.ocx 14.0.0.125 14.0.0.125 Zugelassen Nicht in der Blockierungsliste EPM-kompatibel
http://contoso.com/test2.html C:\Programme\Java\jre6\bin\jp2iexp.dll 6.0.410.2 6.0.410.2 Blockiert Veraltet Nicht EPM-kompatibel

Dabei gilt:

  • Quell-URI. Die URL der Seite, die das ActiveX-Steuerelement geladen hat.

  • Dateipfad. Der Speicherort der Binärdatei, die das ActiveX-Steuerelement implementiert.

  • Produktversion. Die Produktversion der Binärdatei, die das ActiveX-Steuerelement implementiert.

  • Dateiversion. Die Dateiversion der Binärdatei, die das ActiveX-Steuerelement implementiert.

  • Zugelassen/blockiert. Gibt an, ob das ActiveX-Steuerelement blockiert wird.

  • EPM-kompatibel. Gibt an, ob das geladene ActiveX-Steuerelement mit dem erweiterten geschützten Modus.

    Hinweis
    Der erweiterte geschützte Modus wird für Internet Explorer 9 oder ältere IE-Versionen nicht unterstützt. Daher sind bei Verwendung von Internet Explorer 8 oder Internet Explorer 9 alle ActiveX-Steuerelemente als nicht EPM-kompatibel gekennzeichnet.

  • Grund. Die Ausführung des ActiveX-Steuerelements kann aus folgenden Gründen zugelassen oder blockiert werden:

Grund Entspricht Beschreibung
Version nicht in Blockierungsliste Zugelassen Die Version des geladenen ActiveX-Steuerelements wird durch die IE-Versionsliste explizit zugelassen.
Vertrauenswürdige Domäne Zugelassen Das ActiveX-Steuerelement wurde in einer Domäne geladen, die in der Einstellung Turn off blocking of outdated ActiveX controls for IE on specific domains angegeben wurde.
Datei nicht vorhanden Zugelassen Es fehlen Binärdateien, die für die ordnungsgemäße Ausführung des geladenen ActiveX-Steuerelements benötigt werden.
Veraltet Blockiert Das geladene ActiveX-Steuerelement wird durch die IE-Versionsliste explizit blockiert, da es veraltet ist.
Nicht in der Blockierungsliste Zugelassen Das geladene ActiveX-Steuerelement ist nicht in der IE-Versionsliste enthalten.
Durch Richtlinie verwaltet Zugelassen Das geladene ActiveX-Steuerelement wird durch eine Gruppenrichtlinieneinstellung verwaltet, die hier nicht aufgeführt ist, und gemäß dieser Gruppenrichtlinieneinstellung verwaltet.
Vertrauenswürdige Website oder Intranet Zugelassen Das ActiveX-Steuerelement wurde in der Zone „Vertrauenswürdige Sites“ oder „Lokales Intranet“ geladen.
Fest blockiert Blockiert Das geladene ActiveX-Steuerelement wird in IE blockiert, da es bekannte Sicherheitslücken enthält.
Unbekannt Zugelassen oder blockiert Keiner der oben genannten Gründe.

Inventarisieren von ActiveX-Steuerelementen mithilfe einer lokalen WMI-Klasse

Für Windows 10 besteht auch die Möglichkeit, die Bestandsinformationen in einer lokalen WMI-Klasse zu protokollieren. In dieser Klasse werden neben den Informationen der CSV-Datei auch die CLSID des geladenen ActiveX-Steuerelements sowie die Namen von Apps protokolliert, die ggf. durch ein ActiveX-Steuerelement gestartet werden.

Vorbereitung

Vor der Inventarisierung Ihrer ActiveX-Steuerelemente mithilfe von WMI müssen Sie das Konfigurationspaket herunterladen. Die ZIP-Datei enthält Folgendes:

  • ConfigureWMILogging.ps1. Ein WindowsPowerShell-Skript.

  • ActiveXWMILogging.mof. Eine verwaltete Objektdatei.

Kopieren Sie vor dem Ausführen des PowerShell-Skripts sowohl die PS1-Datei als auch die MOF-Datei an den gleichen Speicherort auf dem Clientcomputer.

So konfigurieren Sie IE für die Verwendung der WMI-Protokollierung

  1. Öffnen Sie in Ihrem Gruppenrichtlinien-Editor, und aktivieren Sie die Einstellung Administrative Templates\Windows Components\Internet Explorer\Turn on ActiveX control logging in IE.

  2. Starten Sie auf dem Clientgerät PowerShell unter Verwendung von Administratorrechten im Modus mit erhöhten Rechten, und führen Sie ConfigureWMILogging.ps1 aus, indem Sie mithilfe des folgenden Befehls die PowerShell-Ausführungsrichtlinie umgehen:

    powershell –ExecutionPolicy Bypass .\ConfigureWMILogging.ps1
    

    Weitere Informationen finden Sie unter about_Execution_Policies.

  3. Optional: Richten Sie Ihre Domänen-Firewall für WMI-Daten ein. Weitere Informationen finden Sie unter Sammeln von Daten mithilfe von Enterprise Site Discovery.

Die Bestandsinformationen werden in der WMI-Klasse IEAXControlBlockingAuditInfo (im WMI-Namespace root\cimv2\IETelemetry) angezeigt. Wir empfehlen, für die Sammlung der Bestandsinformationen Ihrer Clientcomputer entweder System Center 2012 R2 Configuration Manager oder einen Agent zu verwenden, der auf die WMI-Daten zugreifen kann. Weitere Informationen finden Sie unter Sammeln von Daten mithilfe von Enterprise Site Discovery.