服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Acrobat Reader XI插件在Windows域中的Internet Explorer中定期禁用
Intereting Posts
未find时,Apache2从另一个文件夹中检索文件 Docker如何Django + uwsgi / gunicorn + nginx? VMware Studio:创buildUbuntu 64位虚拟设备 ASA IPSec隧道了,但logging错误? (艰难)安全Queston关于ISP公司 DFS引用caching持续时间 如何设置2个域名指向同一台服务器上的2个不同的文件夹? Apache mod_proxy_balancer健康检查 如何恢复qmail备份文件 一个PHP应用程序将受益于从RAM驱动器提供服务吗? 虚拟主机的行为真的很奇怪 如何在ubuntu启动时设置JAVA_HOME 无法让IBM xSeries 345服务器使用ServerGuide实用程序加载Windows Server 2003 无法联系该域的活动目录域控制器 集群F5 Big-IP设备; 可能吗?

Acrobat Reader XI插件在Windows域中的Internet Explorer中定期禁用

我们只有在使用Windows 7 x64和Acrobat Reader XI的新工作站上才会出现followig问题。

每隔几天,以下密钥将自动添加到registry中: 

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

此键具有Acrobat Reader XI在Internet Explorer加载项中被禁用的效果。 所以当用户在IE(或者SAP或者其他使用IE的Windows软件)中打开PDF时,IE不会在IE中打开,而是在一个新的窗口中打开。

所有客户端工作站都使用Microsoft System Center 2012 R2和Microsoft System Center Endpoint保护作为防病毒解决scheme。

你可以请build议可以这样做的原因,如组策略,防病毒等?

    重现问题

    假设你已经安装

    • Microsoft Windows 7 + / Server 2008 R2 +
    • Microsoft Internet Explorer 11 +( IE
    • Adobe PDF Reader 11+( Reader
    • Microsoft System Center Endpoint Protection / Microsoft恶意软件防护( MalwareProtection

    以下似乎发生在这里:

    MalwareProtectionIE 扩展validation注册一个名为Microsoft Antimalware IOfficeAntiVirus实现MpOAv )的组件。

    IExtensionValidation接口

    对于Internet Explorer 11,指定反恶意软件供应商可以实施的界面。 支持此接口的供应商可能会被IE11调用,以validationActiveX控件是否安全实例化。

    MpOAv注册为{2781761E-28E1-4109-99FE-B9D127C57AFE}的CLSID。 

     [HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}] [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

    您可以在registry中检查MpOAv的详细属性。 关联的DLL通常驻留在C:\Program Files (x86)\Microsoft Security Client\MpOAv.dll 

     [HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}] [HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

    现在,每次IE想要运行一个ActiveX控件,注册的MpOAv在此之前被调用,有时会出现exception,或者只是认为Reader ActiveX控件不安全。 我不知道它的行为真的依赖于什么。

    这一切导致IE (iexplore.exe)向registry写入2个密钥: MpOAv {2781761E-28E1-4109-99FE-B9D127C57AFE}Reader {CA8A9780-280D-11CF-A24D-444553540000}

     [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]

    从这以后, IE将不会运行Reader ActiveX控件,直到有人从那里手动删除它的CLSID。 这是观察到的问题。

    解决方法

    • 停止IE首先调用Extension Validation组件:从Extension Validation keys [HKLM\…\Internet Explorer\Extension Validation]删除MpOAv的 CLSID。 这需要pipe理权限,并可以通过组策略进行分配。 注意:未来的MalwareProtection更新可能会重新创buildregistry项。

    • 卸载Microsoft系统中心端点保护/ Microsoft恶意软件防护。 使用不同的产品。

    长期解决scheme

    • 提交微软和/或Adobe的错误? 我担心他们会责怪对方。 ;)
    • 也许最好等待Microsoft Spartan集成PDF支持。

    组策略可能会添加该registry值。 gpresult工具可以让您了解通过组策略应用的设置。

    以用户身份运行的任何程序都可以这样做,因为用户有权在默认情况下修改registry的这一部分。 因为它改变了“每隔几天”,我怀疑这不是组策略,因为策略更新发生得比这更频繁。

    我会考虑在HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settingsregistry项上启用审核function,并观察安全事件日志以捕获修改。 (我不急于链接到博客,但是这个入口的过程很好,因为它不涉及通过组策略对审计策略进行更改,微软官方的大部分例子都是这样做的)。

    您可能还需要启用stream程跟踪审计 ,以清楚了解修改中涉及哪些stream程。

    虽然oleschri的答案相当全面,但我想添加一些额外的细节。

    在我的观察中,我没有看到MpOAv影响或涉及这个问题。 删除扩展validation键也不会改变我经验的任何行为 – 其他的post让我进一步挖掘…

    当使用Internet Explorer 11并访问许多Google网页(例如Google图片)时,会在Javascript中生成一个错误: 

     {var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}

    只是在尝试返回新的window.ActiveXObject(a)段之后。

    这会导致IE使\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}registry更改,并禁用Adobe PDF Reader附加组件。 这是观察使用Sysinternals工具Procmon和筛选我们的registry位置的path。

    从IE 11开始,window.ActiveXObject属性对DOM是隐藏的。 https://msdn.microsoft.com/library/dn423948(v=vs.85).aspx

    来自Google的糟糕/过时的代码? 当然并不意味着微软无法更好地处理这个exception。

    Oleschri的发现非常准确。

    一个MS支持的解释是几天前:

    “经过内部分析和与合作伙伴的合作之后,我们相信我们已经确定了根本原因是Adobe在IE中使用我们的registry项的一个问题,导致Adobeperformance得好像被封锁或者没有被安装,即使它是。问题已经被报道,并且应该在Adobe PDF产品的下一季度更新中解决,SCEP通过激活IE插件扫描function来暴露这个问题,但是不会引起问题,这也解释了为什么我们没有看到类似的问题与其他IE插件“。

    没有完全足够的解决scheme。 短期解决scheme包括运行组策略客户端偏好,以便每隔一段时间删除一次Adobe CLSID密钥,或者在启动前修改IE快捷方式以删除CLSID。 通过互联网安全区域设置,“在ActiveX控件上运行反恶意软件”,禁用IE11中的恶意软件扫描,无论是按客户端还是组策略设置,都远非我认为最明智的select。

    完全不build议

    GP设置的位置是:“pipe理模板\ Windows组件\ Internet Explorer \互联网控制面板\安全页\互联网区\”不要对ActiveX控件运行反恶意软件程序“

    Adobe已解决问题

    幸运的是,Adobe在2016年1月12日发布了v 11.0.14,可以解决这个问题。 同样的版本,date的Adobe Reader DC也没有这个问题。

    http://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/11/11.0.14.html

    这是一个小小的VB脚本,你可以制作一个快捷方式,并部署。 这将删除Adobe Reader CSLID,然后启动IE并转到Google。 

     Set WshShell = WScript.CreateObject("WScript.Shell") On Error Resume Next Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}" WshShell.RegDelete Key & "\" CreateObject("WScript.Shell").Run "https://www.google.com" Wscript.quit

    问候

    感谢oleschri和Jair的信息; 这非常有帮助。

    我想补充的一件事是,这个问题只影响我的UACclosures的用户。 如果您在强制解决问题时观看Procmon(通过转到Google图片…),您将注意到IE正在查找下面的键,并且结果“名称未find”失败: 

     HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

    如果用户的UAC打开,这就是发生的一切。 Procmon显示IE多找几次,然后什么都没有。 但是,如果UAC被closures,你应该看到来自IE的“RegCreateKey”操作(如oleschri在他的文章中解释)。 它看起来像IE没有find它想要的键,所以它正在创build它们。 我认为UAC是停止创build密钥的IE,这就是为什么只有我的用户谁拥有它正在经历这个问题。

    我在互联网安全区域find了这个选项来禁用“扩展validation”。 不要针对ActiveX控件运行反恶意软件程序

    设置这个选项为'禁用'的时刻,希望MS EN Adob​​e一起合作:)