Blocco dei controlli ActiveX non aggiornati

Importante

L'applicazione desktop Internet Explorer 11 verrà ritirata e non sarà più disponibile per il supporto il 15 giugno 2022. Per un elenco degli elementi nell'ambito, vedere le domande frequenti. Le stesse app e gli stessi siti di Internet Explorer 11 in uso oggi potranno essere aperti in Microsoft Edge in modalità Internet Explorer. Per altre informazioni, vedere.

Si applica a:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2008 R2 con Service Pack 1 (SP1)
  • Windows Vista SP2

I controlli ActiveX sono piccole app che consentono ai siti Web di fornire contenuto, ad esempio video e giochi, o che permettono le interazioni tra l'utente e il contenuto, come le barre degli strumenti. Sfortunatamente, dato che molti controlli ActiveX non si aggiornano automaticamente, con il rilascio di nuove versioni possono diventare obsoleti. È molto importante mantenere aggiornati i tuoi controlli ActiveX, perché il software dannoso (o malware) potrebbe sfruttare proprio i difetti del sistema di protezione nei controlli non aggiornati per danneggiare il computer raccogliendo info da questi controlli, installare software indesiderato o consentendo a qualcun altro di controllarlo da remoto. Per evitare questa situazione, Internet Explorer include una nuova funzionalità di sicurezza, chiamata blocco dei controlli ActiveX non aggiornati.

Il blocco dei controlli ActiveX non aggiornati consente di:

  • Sapere quando Internet Explorer impedisce a una pagina Web di caricare controlli ActiveX comuni, ma non aggiornati.

  • Interagire con altre parti della pagina Web non interessate dal controllo non aggiornato.

  • Aggiornare il controllo non aggiornato, in modo che sia sempre aggiornato e più sicuro da usare.

La funzionalità di blocco dei controlli ActiveX non aggiornati funziona con tutte le aree di sicurezza, ad eccezione dell'area Intranet locale e Siti attendibili.

Funziona anche con queste combinazioni di sistema operativo e Internet Explorer:

Sistema operativo Windows Versione di Internet Explorer
Windows 10 Tutte le versioni supportate di Internet Explorer.
Microsoft Edge non supporta i controlli ActiveX.
Windows 8.1 e Windows 8.1 Update Tutte le versioni supportate di Internet Explorer
Windows 7 SP1 Tutte le versioni supportate di Internet Explorer
Windows Server 2012 Tutte le versioni supportate di Internet Explorer
Windows Server 2008 R2 SP1 Tutte le versioni supportate di Internet Explorer
Windows Server 2008 SP2 Solo Windows Internet Explorer 9
Windows Vista SP2 Solo Windows Internet Explorer 9

Per altre info su questa nuova funzionalità, vedi il post di blog relativo al blocco dei controlli ActiveX non aggiornati da parte di Internet Explorer. Per vedere l'elenco completo dei controlli ActiveX non aggiornati bloccati da questa funzionalità, vedi Controlli ActiveX non aggiornati bloccati.

Che aspetto ha la notifica per il blocco dei controlli ActiveX non aggiornati?

Quando Internet Explorer blocca un controllo ActiveX non aggiornato, vedrai una barra di notifica simile alla seguente, a seconda della versione del programma:

Da Internet Explorer 9 a Internet Explorer 11

Avviso sui controlli ActiveX non obsoleti (ie9+).

Windows Internet Explorer 8

Avviso relativo ai controlli ActiveX non obsoleti (ie8).

La funzionalità di blocco dei controlli ActiveX non aggiornati visualizza anche un avviso di sicurezza che indica se una pagina Web tenta di avviare app obsolete specifiche al di fuori di Internet Explorer:

Avviso sui controlli ActiveX non obsoleti all'esterno di ie.

Come risolvo il problema di un'app o un controllo ActiveX non aggiornato?

Dalla notifica del controllo ActiveX non aggiornato, puoi passare al sito Web del controllo per scaricare la versione più recente.

Per ottenere il controllo ActiveX aggiornato

  1. Sulla barra di notifica tocca o fai clic su Aggiorna.

    Internet Explorer apre il sito Web del controllo ActiveX.

  2. Scarica la versione più recente del controllo.

Nota sulla sicurezza:
Se non consideri il sito completamente attendibile, non dovresti consentire il caricamento di un controllo ActiveX non aggiornato. Sebbene non sia consigliabile, puoi comunque visualizzare il contenuto della pagina Web mancante toccando o facendo clic su Esegui questa volta. Questa opzione consente di eseguire il controllo ActiveX senza aggiornarlo o senza risolvere il problema. Alla successiva visita di una pagina Web con lo stesso controllo ActiveX non aggiornato, riceverai nuovamente la notifica.

Per ottenere l'app aggiornata

  1. Nell'avviso di sicurezza tocca o fai clic sul collegamento Aggiorna.

    Internet Explorer apre il sito Web dell'app.

  2. Scarica l'ultima versione dell'app.

Nota sulla sicurezza:
Se non consideri del tutto attendibile un sito, non dovresti consentire l'avvio di un'app non aggiornata. Sebbene non sia consigliabile, puoi comunque consentire alla pagina Web di avviare l'app toccando o facendo clic su Consenti. Questa opzione apre l'app senza aggiornarla o senza risolvere il problema. Alla successiva visita di una pagina Web che esegue la stessa app non aggiornata, verrà visualizzata nuovamente la notifica.

In quale modo Internet Explorer decide quali controlli ActiveX bloccare?

Internet Explorer usa il file versionlist.xml o versionlistWin7.xml di Microsoft per stabilire se impedire il caricamento di un controllo ActiveX. Questi file vengono mantenuti aggiornati con i controlli ActiveX non aggiornati individuati e Internet Explorer li scarica automaticamente sostituendo la copia locale dei file.

Puoi vedere la copia del file qui %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml oppure la versione di Microsoft, in base al sistema operativo e alla versione di Internet Explorer in uso, qui:

Nota sulla sicurezza:
Sebbene sia decisamente sconsigliabile, se non vuoi scaricare automaticamente l'elenco delle versioni aggiornato da Microsoft, puoi eseguire il comando seguente da un prompt dei comandi:

reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

La disattivazione del download automatico impedisce il corretto funzionamento del blocco dei controlli ActiveX non aggiornati perché non consente di aggiornare l'elenco delle versioni con i controlli non aggiornati individuati nel tempo, compromettendo potenzialmente la sicurezza del computer. L'uso di questa opzione di configurazione è a tuo rischio.

Blocco dei controlli ActiveX non aggiornati

Importante

L'applicazione desktop Internet Explorer 11 verrà ritirata e non sarà più disponibile per il supporto il 15 giugno 2022. Per un elenco degli elementi nell'ambito, vedere le domande frequenti. Le stesse app e gli stessi siti di Internet Explorer 11 in uso oggi potranno essere aperti in Microsoft Edge in modalità Internet Explorer. Per altre informazioni, vedere.

nei dispositivi gestiti Il blocco del controllo ActiveX non aggiornato include quattro nuove impostazioni di Criteri di gruppo che è possibile utilizzare per gestire la configurazione del Web browser, in base al controller di dominio. Puoi scaricare i modelli amministrativi, comprese le nuove impostazioni, dalla pagina Modelli amministrativi (ADMX) per Windows 10 o Modelli amministrativi (ADMX) per Windows 8.1 e Windows Server 2012 R2, a seconda del sistema operativo in uso.

Impostazioni di Criteri di gruppo

Ecco un elenco delle nuove info di Criteri di gruppo, incluse le impostazioni, la posizione, i requisiti e le stringhe di testo della Guida. Tutte queste impostazioni possono essere impostate nell'ambito Configurazione computer o Configurazione utente, ma l'ambito Configurazione computer ha la precedenza.

Importante
Il blocco dei controlli ActiveX non aggiornati è disattivato nelle aree Intranet locale e Siti attendibili, pertanto i siti Web intranet e le app line-of-business continueranno a usare i controlli ActiveX non aggiornati senza interruzioni.

Impostazione Percorso categoria Supportato in Testo della Guida
Attiva registrazione per i controlli ActiveX in Internet Explorer Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Da Internet Explorer 8 a Internet Explorer 11 Questa impostazione dei criteri determina se Internet Explorer salva le informazioni dei log per i controlli ActiveX.

Se abiliti questa impostazione dei criteri, Internet Explorer registra in un file locale le informazioni dei controlli ActiveX (incluso l'URI che ha caricato il controllo e l'informazione che indica se era bloccato o meno).

Se si disabilita o non si configura questa impostazione dei criteri, Internet Explorer non registrerà informazioni sui controlli ActiveX.

Tieni presente che puoi abilitare o disabilitare questa impostazione indipendentemente dalle impostazioni Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer o Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer in domini specifici.

Rimuovi il pulsante Esegui questa volta per i controlli ActiveX obsoleti in Internet Explorer Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Da Internet Explorer 8 a Internet Explorer 11 Questa impostazione dei criteri consente di fare in modo che gli utenti non vedano più il pulsante Esegui questa volta e non possano eseguire specifici controlli ActiveX non aggiornati in Internet Explorer.

Se abiliti questa impostazione dei criteri, gli utenti non vedranno il pulsante Esegui questa volta nel messaggio di avviso visualizzato quando Internet Explorer blocca un controllo ActiveX non aggiornato.

Se disabiliti o non configuri questa impostazione dei criteri, gli utenti vedranno il pulsante Esegui questa volta nel messaggio di avviso visualizzato quando Internet Explorer blocca un controllo ActiveX non aggiornato. Il clic su questo pulsante consente all'utente di eseguire una volta il controllo ActiveX non aggiornato.

Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer in domini specifici Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Da Internet Explorer 8 a Internet Explorer 11 Questa impostazione dei criteri consente di gestire un elenco dei domini nei quali Internet Explorer non bloccherà più i controlli ActiveX non aggiornati. I controlli ActiveX non aggiornati non vengono mai bloccati nell'area Intranet.

Se abiliti questa impostazione dei criteri, puoi immettere un elenco personalizzato di domini per i quali i controlli ActiveX non aggiornati non verranno bloccati in Internet Explorer. Ogni voce di dominio deve essere formattata come una delle seguenti:

  • "nomedominio.TLD". Ad esempio, se vuoi includere *.contoso.com/*, usa "contoso.com".
  • "nomehost". Ad esempio, se vuoi includere https://example, usa "example".
  • "file:///percorso/nomefile.htm". Ad esempio, usa file:///C:/Users/contoso/Desktop/index.htm.

Se disabiliti o non configuri questa impostazione dei criteri, l'elenco viene eliminato e Internet Explorer continua a bloccare gli specifici controlli ActiveX non aggiornati in tutti i domini dell'area Internet.

Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management Da Internet Explorer 8 a Internet Explorer 11 Questa impostazione dei criteri determina se Internet Explorer blocca specifici controlli ActiveX non aggiornati. I controlli ActiveX non aggiornati non vengono mai bloccati nell'area Intranet.

Se abiliti questa impostazione dei criteri, Internet Explorer non bloccherà più i controlli ActiveX non aggiornati.

Se disabiliti o non si configuri questa impostazione dei criteri, Internet Explorer continuerà a bloccare specifici controlli ActiveX non aggiornati.

Rimuovi il pulsante Aggiorna nella notifica di blocco dei controlli ActiveX obsoleti per Internet Explorer Questa funzionalità è disponibile solo tramite il Registro di sistema Da Internet Explorer 8 a Internet Explorer 11 Questa impostazione determina se visualizzare il pulsante Aggiorna nella notifica di blocco dei controlli ActiveX non aggiornati. Questo pulsante consente agli utenti di aggiornare specifici controlli ActiveX non aggiornati in Internet Explorer.

Se non vuoi usare Criteri di gruppo, puoi anche attivare o disattivare queste impostazioni tramite il Registro di sistema. Puoi aggiornare manualmente il Registro di sistema.

Impostazione Impostazione del Registro di sistema
Attiva registrazione per i controlli ActiveX in Internet Explorer reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v AuditModeEnabled /t REG_DWORD /d 1 /f

Dove:

  • 0 o non configurata. Le informazioni sui controlli ActiveX (incluso l'URI di origine che ha caricato il controllo e se il controllo è stato bloccato) vengono registrate in un file locale.
  • 1. Registra informazioni sul controllo ActiveX.
Rimuovi il pulsante Esegui questa volta per i controlli ActiveX obsoleti in Internet Explorer reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v RunThisTimeEnabled /t REG_DWORD /d 0 /f

Dove:

  • 0. Rimuove il pulsante Esegui questa volta.
  • 1 o non configurata. Lascia il pulsante Esegui questa volta.
Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer in domini specifici reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\Domain" /v contoso.com /t REG_SZ /f

Dove:

  • contoso.com. Un singolo dominio in cui i controlli ActiveX non obsoleti non verranno bloccati in IE. Usa un nuovo comando reg add per ogni dominio da aggiungere all'elenco Consenti.
Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Dove:

  • 0. Interrompe il blocco dei controlli ActiveX non aggiornati.
  • 1 o non configurata. Continua a bloccare specifici controlli ActiveX non aggiornati.
Rimuovi il pulsante Aggiorna nella notifica di blocco dei controlli ActiveX obsoleti per Internet Explorer reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v UpdateEnabled /t REG_DWORD /d 0 /f

Dove:

  • 0. Rimuove il pulsante Aggiorna.
  • 1 o non configurata. Lascia il pulsante Aggiorna.

Creare un inventario dei controlli ActiveX

Puoi creare l'inventario di controlli ActiveX usati nell'azienda abilitando l'impostazione Attiva registrazione per i controlli ActiveX in Internet Explorer:

  • Windows 10: tramite un file con valori delimitati da virgole (CSV) o tramite una classe di Strumentazione gestione Windows (WMI) locale.

  • Tutte le altre versioni di Microsoft Windows: solo tramite un file con estensione CSV.

Creare un inventario dei controlli ActiveX usando un file CSV

Se decidi di creare un inventario dei controlli ActiveX in uso nella tua azienda attivando l'impostazione Attiva registrazione per i controlli ActiveX in Internet Explorer , Internet Explorer registra le informazioni sui controlli ActiveX nel file %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv .

Ecco un esempio dettagliato e una descrizione di ciò che è incluso nel file VersionAuditLog.csv.

URI di origine Percorso file Versione prodotto Versione file Consentito/Bloccato Motivo EPM compatible (Compatibile con EPM)
https://contoso.com/test1.html C:\Windows\System32\Macromed\Flash\Flash.ocx 14.0.0.125 14.0.0.125 Consentito Not in blocklist (Non incluso nell'elenco di blocco) EPM compatible (Compatibile con EPM)
https://contoso.com/test2.html C:\Programmi\Java\jre6\bin\jp2iexp.dll 6.0.410.2 6.0.410.2 Blocked (Bloccato) Out of date (Non aggiornato) Not EPM compatible (Non compatibile con EPM)

Dove:

  • URI di origine. L'URL della pagina che ha caricato il controllo ActiveX.

  • Percorso file. Il percorso del file binario che implementa il controllo ActiveX.

  • Versione prodotto. La versione del prodotto del file binario che implementa il controllo ActiveX.

  • Versione file. La versione del file binario che implementa il controllo ActiveX.

  • Consentito/Bloccato Se Internet Explorer ha bloccato il controllo ActiveX.

  • Compatibile con la modalità protetta avanzata (EPM). Se il controllo ActiveX caricato è compatibile con la modalità protetta avanzata.

    Nota
    La modalità protetta avanzata non è supportata in Internet Explorer 9 o nelle versioni precedenti. Per questo motivo, se usi Internet Explorer 8 o Internet Explorer 9, tutti i controlli ActiveX verranno sempre contrassegnati come non compatibili con EPM.

  • Motivo. Il controllo ActiveX può essere bloccato o consentito per i motivi seguenti:

Motivo Corrisponde a Descrizione
Version not in blocklist (Versione non inclusa nell'elenco di blocco) Consentito La versione del controllo ActiveX caricato è esplicitamente consentita dall'elenco di versioni di Internet Explorer.
Trusted domain (Dominio trusted) Consentito Il controllo ActiveX è stato caricato in un dominio elencato nell'impostazione Disattiva blocco dei controlli ActiveX obsoleti per Internet Explorer in domini specifici.
File doesn't exist (Il file non esiste) Consentito Per la corretta esecuzione del controllo ActiveX mancano file binari necessari.
Out-of-date (Non aggiornato) Blocked (Bloccato) Il controllo ActiveX caricato è bloccato in modo esplicito dall'elenco di versioni di Internet Explorer perché non è aggiornato.
Not in blocklist (Non incluso nell'elenco di blocco) Consentito Il controllo ActiveX caricato non è incluso nell'elenco di versioni di Internet Explorer.
Managed by policy (Gestito da criteri) Consentito Il controllo ActiveX caricato è gestito da un'impostazione di Criteri di gruppo non elencata qui e verrà gestito in conformità con tale impostazione di Criteri di gruppo.
Trusted Site Zone or intranet (Area Siti attendibili o Intranet) Consentito Il controllo ActiveX è stato caricato nell'area Siti attendibili o nell'area Intranet locale.
Hardblocked (Bloccato a livello di codice) Blocked (Bloccato) Il controllo ActiveX caricato è bloccato in Internet Explorer perché contiene vulnerabilità di sicurezza note.
Sconosciuto Allowed or blocked (Consentito o bloccato) Nessuno dei motivi sopra indicati è applicabile.

Creare un inventario dei controlli ActiveX usando una classe WMI locale

Per Windows 10 puoi anche registrare le informazioni di inventario in una classe WMI locale. Le informazioni registrate in questa classe includono tutte le informazioni recuperate dal file CSV, nonché il CLSID del controllo ActiveX caricato o il nome di qualsiasi app avviata da un controllo ActiveX.

Prima di iniziare

Prima di usare WMI per creare un inventario di controlli ActiveX, devi scaricare il pacchetto di configurazione (file con estensione ZIP), che include:

  • ConfigureWMILogging.ps1. Uno script di Windows PowerShell.

  • ActiveXWMILogging.mof. Un file MOF (Managed Object Format).

Prima di eseguire lo script di PowerShell, devi copiare I file PS1 E MOF nello stesso percorso di directory nel computer client.

Per configurare Internet Explorer per l'uso della registrazione di Strumentazione gestione Windows (WMI)

  1. Apri l'editor Criteri di gruppo attiva l'impostazione Administrative Templates\Windows Components\Internet Explorer\Turn on ActiveX control logging in IE.

  2. Nel dispositivo client avvia PowerShell in modalità con privilegi elevati (con privilegi di amministratore) ed esegui ConfigureWMILogging.ps1 eludendo i criteri di esecuzione di PowerShell con questo comando:

    powershell –ExecutionPolicy Bypass .\ConfigureWMILogging.ps1
    

    Per altre info, vedi about_Execution_Policies.

  3. Facoltativo: configura il firewall per i dati WMI. Per altre info, vedi Raccogliere dati con la funzionalità di individuazione siti aziendale.

Le informazioni di inventario vengono visualizzate nella classe WMI, IEAXControlBlockingAuditInfo, che si trova nello spazio dei nomi WMI, root\cimv2\IETelemetry. Per raccogliere le informazioni di inventario dai computer client, ti consigliamo di usare System Center 2012 R2 Configuration Manager o qualsiasi agente che possa accedere ai dati di Strumentazione gestione Windows. Per altre info, vedi Raccogliere dati utilizzando la funzionalità di individuazione siti aziendale.