Windows で Internet Explorer をブロックする方法

多くの技術者と同様に、私は Internet Explorer のレガシー スクリプト エンジン (jscript.dll) の新しい重大な脆弱性と、それがどのように積極的に悪用されているかについての最近の一連の勧告を読みました。それ自体で、これは起こりえますよね。しかし、私を悩ませたのは、Web の陰鬱と破滅の前兆でした。この問題を分析し、洗練された方法で緩和できるかどうかを確認することにほとんど焦点を当てずに、ほとんどパニックに陥っています。

実際、マイクロソフトは回避策を挙げています。影響を受けるライブラリへのアクセスを拒否できます。しかし、これは副作用も引き起こします。印刷、グループ ポリシー エディターへのアクセス、およびその他のいくつかの問題が発生する場合があります。そこで私は腰を据えて考えました.実際にシステムを完全に不安定にすることなく、脆弱性の影響を軽減する方法はありますか?

問題の範囲

この脆弱性は (Internet Explorer) スクリプト エンジンに存在します。これは、このエンジンを呼び出すプログラムがメモリ破損を引き起こす可能性があり、任意のコード実行につながる可能性があることを意味します。一般的に、これは Internet Explorer、おそらく Microsoft Office、そしておそらくいくつかの奇妙なレガシー アプリケーションを意味しますが、これらは一般的な家庭環境では見られない可能性があります。

解決策は、Internet Explorer を実行せず、奇妙なファイルやリンクを他のプログラムで開かないようにすることです。さて、これは関係なく常に真実です。問題は、この脆弱性を引き起こす可能性のあるページに対して Internet Explorer を「誤って」開いた場合はどうなるでしょうか?

Internet Explorer を実行しないでください

Windows には、長い間、特定のアプリケーションを禁止するオプションがありました。これは、レジストリまたはグループ ポリシー エディター (プロ バージョンのユーザーの場合) を介して実装でき、リストされたプログラムの実行を防ぎます。具体的には、gpedit.msc を起動し、[ユーザーの構成]> [システム] に移動して、次のようなポリシーを開きます:指定された Windows アプリケーションを実行しないでください。

ポリシーを有効にします。次に、[オプション:] で [表示] をクリックし、iexplore.exe を許可されていないアプリケーションのリストに追加します。

現在、これは宣伝どおりに機能しますが、Windows エクスプローラーまたは [スタート] メニューを使用してプログラムを起動した場合のみです。他の手段によるアクセスをブロックしたり、アプリケーションによる jscript.dll ライブラリの使用を停止したりすることはありません。心配しないでください、私たちはそこに着きます。ゆっくり、直線的に進んでいます。

同様に、アプリケーションを追加するためのレジストリ パスは次のとおりです。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

画像ファイル実行オプション (IFEO)

GWX コンテキストでのこの非常に便利で強力な機能について説明しました。これを使用して、システム上のどのプログラムの動作も変更できます。基本的に、デバッガ機能を使用して、iexplore.exe の実行をデフォルトの動作から空の cmd シェルの実行に変更します。基本的に、何もせず、Javascript ライブラリを呼び出さないダミーの実行です。

これにより、Internet Explorer を「実行」できるようになりますが、実行全体はコマンド プロンプト シェルが生成され、終了するだけです。つまり、どのように Internet Explorer を起動しても実際には実行されず、jscript.dll ライブラリがメモリに読み込まれるリスクが軽減されます。

これは Internet Explorer にのみ影響し、jscript.dll 関数を参照する不正な形式の埋め込みオブジェクトを含むドキュメントを表示する Microsoft Word など、他のプログラムがライブラリを使用することを妨げるものではないことに注意してください。ただし、特に Internet Explorer などのネットワーク対応プログラムによって、ライブラリが使用されるリスクが軽減されます。 Other tools on your system may still require this library, but if they don't necessarily connect to external network resources, then the risks are reduced.

The cool part about IFEO is that it does not require anything beyond setting the registry key. If you want to revert back, just delete the Debugger string, and you will have the old functionality back.

Lastly, if you use anti-malware software, some may see this as a potential IFEO Hijack. Be aware of this fact, and then move on, and perhaps even embrace a smarter way of doing computer security. But that's a topic for another time.

Let's talk about jscript.dll

Now, my work above does not fix the problem. It works around it by reducing the chance of Internet Explorer running. The proper fix is to update the library. Technically, you could "just" copy the new patched version over the old one, and you're done. But the Windows Update mechanism is a bit more complex.

So the mitigation is to remove the executable permission from the library. You can do it on the command line, as the advisory says, or you can do it using Windows Explorer. The reason for the command line is to take ownership of the (system) library, to be able to change its security settings. Alternatively, you can manipulate the permissions by opening cmd (or explorer) through ExecTI, a utility that lets you run programs with the highest privileges, as I've shown you in my list of must-have Windows admin utilities.

What you want to do is remove the Read &execute checkbox mark for all of the listed groups or users. But then, the side effects! For example, the aforementioned Group Policy editor will not launch correctly if execute is denied for Administrators. This also emphasizes the importance of running as standard user, as you could have no execute for Jscript for Users, and you would still be able to use Internet Explorer then, without any effect on system functionality.

Group Policy Editor with JScript.dll not allowed to execute. Messed-up layout.

But then, since this is all there is to it, you can disable Read &execute, and toggle it when you need it, until you can apply the official patch - provided you actually want to apply it. In some scenarios, you might not want to, or be able to, and you might even have to use Internet Explorer. But this is not likely in the home setup. And I'm not talking enterprise security here. So lower your pitchforks. Finally, you can do the same thing for Internet Explorer - remove the execute permission.

Other things - local scripting

Then, if you do need to use Internet Explorer, you can disable Active Scripting under Internet Options. This is old news really, so I'm not going to focus too much on this here. A more practical thing is to avoid accidentally executing Javascript files stored on your local disk, through the Microsoft Based Script Host. This is the default, even on Windows 10. But in reality, there are very few reasons why you'd need to run Javascript files locally, outside the context of your browser.

What you want to do is create a dummy Javascript file, something like file.js. Right click> Open with, and then select a text editor of some kind (under More apps). This means that even if you do double-click on a locally stored Javascript file, it will open as a text file.

結論

Don't let panic be your compass. Some security problems are serious and require scrutiny. But others are not necessarily as dreadful as they may seem, based on the Internet chatter. In this case, yes, this is not a good thing. On the other hand, not running Internet Explorer pretty much solves it. Also, don't be an n00b and randomly execute files left and right, and you should be fine.

In this article, I tried to give you a somewhat calmer overview of what gives, and the options you have. Most importantly, you can use the fabulous magic of IFEO to prevent Internet Explorer from running, no questions asked. This way, you reduce the risk of nonsense, be it an old game launcher that hard-codes to iexplore.exe for messages or announcements, or your own twitchy fingers. You can also disable the execute permissions for the library, and if your system is set up with a standard user, you might not even need to compromise on reduced functionality due to the disabled library.では行きましょう。 Enjoy your Webz.

乾杯。