Am Einfachsten: IE entfernen und nie wieder verwenden. Dafür reicht ein Einzeiler in der Installation oder nachträglich per Deployment Tool oder StartUp Script verteilt. Überall, wo er nicht benötigt wird bitte den IE entfernen. Es geht wie immer um die Reduktion der Angriffsfläche, nur ein Rechner ohne IE ist ein guter Rechner. Diskutiert intern, ob er wirklich auf allen Clients benötigt wird oder nur in der Buchhaltung? Server benötigen ihn ebenfalls nicht, obwohl er immer vorhanden ist. Bei Servern sollte generell diskutiert werden, ob diese Systeme ins Internet dürfen, wenn es nicht einen echten Grund gibt (z.B.: WSUS ;-)

Disable-WindowsOptionalFeature -Online -FeatureName Internet-Explorer-Optional-amd64 -NoRestart

https://www.gruppenrichtlinien.de/artikel/internet-explorer-wird-intranet-explorer