Das Acrobat Reader XI-Addon wird in Internet Explorer innerhalb der Windows-Domäne regelmäßig deaktiviert

7

Wir haben ein folgendes Problem, das nur auf neuen Workstations mit Windows 7 x64 und Acrobat Reader XI auftritt.

Alle paar Tage wird der Registrierung automatisch der folgende Schlüssel hinzugefügt:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Dieser Schlüssel hat zur Folge, dass Acrobat Reader XI in Internet Explorer-Add-Ons deaktiviert wird. Wenn der Benutzer PDF im IE (oder in SAP oder einer anderen Windows-Software mit IE) öffnet, wird es nicht im IE geöffnet, sondern in einem neuen separaten Fenster.


Alle Client-Workstations verwenden Microsoft System Center 2012 R2 und Microsoft System Center Endpoint-Schutz als Antivirenlösung.

Können Sie bitte vorschlagen, was der Grund dafür sein kann, wie Gruppenrichtlinien, Antivirenprogramme usw.?

Vojtěch Dohnal
quelle
Wir haben dieses Problem ebenfalls, hatten aber nicht die Zeit, es herunterzufahren. Ich habe überprüft, dass das Entfernen des bereitgestellten HKCU-Schlüssels es dem Adobe PDF Reader-Add-On ermöglicht, PDFs im IE zu rendern. Ich bin sehr daran interessiert, auch den Real Fix zu finden. Verwenden Sie zufällig WSUS / SCUP / SCCM, um Ihre Adobe Reader- (oder Acrobat-) Updates bereitzustellen?
Jscott
Wir verwenden SCCM, um Acrobat Reader bereitzustellen, aber ich bin nicht der Domänenadministrator. Ich entwickle einige Apps mit AR XI und löse einige Benutzerprobleme. Ich habe meiner App sogar den Menübefehl "Acrobat XI aktivieren" hinzugefügt und bin der Meinung, dass unsere Domain-Administratoren dieses Problem nur lösen können, wenn ich ihnen genau sage, was zu tun ist. Obwohl ich die Registrierungsüberwachung als lokaler Administrator verwenden kann, werde ich es versuchen.
Vojtěch Dohnal
@vojtech Haben Sie immer noch den wieder auftauchenden Schlüssel oder haben Sie eine Lösung oder Problemumgehung gefunden?
Oleschri
1
@oleschri Ich habe keine Lösung gefunden. Wir haben eine Benutzergruppenrichtlinieneinstellung eingerichtet, um den Registrierungsschlüssel zu löschen. Dies ist nicht perfekt, aber es endete eine Menge Frustration der Benutzer. Sollten Sie oder jemand anderes die wahre Ursache identifizieren, würde ich gerne ein Kopfgeld belohnen.
Jscott
1
@oleschri Ja, diese Clients verwenden den Endpoint Protection von Microsoft. Bitte posten Sie eine Antwort, wenn Sie eine Lösung zum Teilen haben.
Jscott

Antworten:

3

Das Problem reproduzieren

Vorausgesetzt, Sie haben installiert

  • Microsoft Windows 7+ / Server 2008 R2 +
  • Microsoft Internet Explorer 11+ ( IE )
  • Adobe PDF Reader 11+ ( Reader )
  • Microsoft System Center-Endpunktschutz / Microsoft Malware Protection ( MalwareProtection )

Folgendes scheint hier zu passieren:

MalwareProtection registriert eine Komponente mit dem Namen Microsoft Antimalware IOfficeAntiVirus-Implementierung ( MpOAv ) für die Erweiterungsvalidierung im IE .

IExtensionValidation-Schnittstelle

Gibt für Internet Explorer 11 eine Schnittstelle an, die die Anti-Malware-Anbieter implementieren können. Anbieter, die die Unterstützung für diese Schnittstelle registrieren, können von IE11 aufgerufen werden, um zu überprüfen, ob die Instanziierung eines ActiveX-Steuerelements sicher ist.

MpOAv registriert sich als CLSID von {2781761E-28E1-4109-99FE-B9D127C57AFE}.

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Sie können die detaillierten Eigenschaften von MpOAv in der Registrierung überprüfen . Die zugehörige DLL befindet sich normalerweise unterC:\Program Files (x86)\Microsoft Security Client\MpOAv.dll

[HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Jedes Mal, wenn der IE ein ActiveX-Steuerelement ausführen möchte, wird das registrierte MpOAv zuvor aufgerufen und verhält sich manchmal schlecht oder denkt einfach, dass das Reader ActiveX-Steuerelement nicht sicher ist. Ich habe keine Ahnung, wovon sein Verhalten wirklich abhängt.

Dies alles führt dazu, dass der IE (iexplore.exe) 2 Schlüssel in die Registrierung schreibt: Die CLSIDs von MpOAv {2781761E-28E1-4109-99FE-B9D127C57AFE} und Reader {CA8A9780-280D-11CF-A24D-444553540000} .

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]

Ab diesem Zeitpunkt führt der IE das Reader ActiveX-Steuerelement erst aus, wenn jemand seine CLSID manuell von dort entfernt. Dies ist das beobachtete Problem.

Problemumgehungen

  • Stop - IE von der Verlängerung Validierungskomponente in erster Linie Aufruf: Entfernen CLSID von MpOAv von den Erweiterungs - Validierung Schlüsseln [HKLM\…\Internet Explorer\Extension Validation]. Dies erfordert Administratorrechte und kann über Gruppenrichtlinien verteilt werden. Seien Sie vorsichtig: Zukünftige Updates von MalwareProtection können den Registrierungseintrag neu erstellen.

  • Deinstallieren Sie Microsoft System Center Endpoint Protection / Microsoft Malware Protection. Verwenden Sie ein anderes Produkt.

Langfristige Lösung

  • Einen Fehler bei Microsoft und / oder Adobe melden? Ich fürchte, sie werden sich gegenseitig die Schuld geben. ;)
  • Warten Sie vielleicht besser auf Microsoft Spartan mit integrierter PDF-Unterstützung.
Oleschri
quelle
Ich bestätige die Existenz von Metionsregistrierungsschlüsseln, sieht vielversprechend aus!
Vojtěch Dohnal
Ich befürchte jedoch, dass das vollständige Entfernen von MpOAv aus Validierungserweiterungen zu einem weniger sicheren Surfen für Benutzer führt.
Vojtěch Dohnal
1
@ VojtěchDohnal Wir erlauben unseren Benutzern nicht, ActiveX-Steuerelemente selbst zu installieren, und wir beschränken Browser-Add-Ons über Gruppenrichtlinien auf eine bestimmte Liste. Das ist für uns also kein wirkliches Problem.
Oleschri
Sie haben Recht, das ist auch unser Fall.
Vojtěch Dohnal
4

Gruppenrichtlinie könnte diesen Registrierungswert hinzufügen. Das gpresultTool kann Ihnen einen Einblick in die Einstellungen geben, die über Gruppenrichtlinien angewendet werden.

Jedes Programm, das als Benutzer ausgeführt wird, kann dies tun, da Benutzer standardmäßig die Berechtigung haben, diesen Teil der Registrierung zu ändern. Da es sich "Alle paar Tage" ändert, vermute ich, dass es nicht die Gruppenrichtlinie ist, die dies tut (da die Richtlinienaktualisierung häufiger erfolgt).

Ich würde in Betracht ziehen, die Überwachung des HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\SettingsRegistrierungsschlüssels zu aktivieren und das Sicherheitsereignisprotokoll zu überwachen, um die Änderung abzufangen. (Ich beeile mich nicht, auf Blogs zu verlinken, aber das Verfahren in diesem Eintrag ist nett, da keine Änderungen an der Überwachungsrichtlinie über Gruppenrichtlinien vorgenommen werden müssen, wie dies in den meisten offiziellen Beispielen von Microsoft der Fall ist.)

Möglicherweise möchten Sie auch die Prozessverfolgungsüberwachung aktivieren , um ein klares Bild davon zu erhalten, welche Prozesse an der Änderung beteiligt sind.

Evan Anderson
quelle
Vielen Dank für diesen nützlichen Vorschlag, ich werde das versuchen und das Feedback geben.
Vojtěch Dohnal
Ich habe die Überwachung für HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settingsund alle Unterschlüssel für Jeder aktiviert und alle Kontrollkästchen mit Ausnahme der beiden oberen (Lesewert) aktiviert . Wenn der Unterschlüssel gelöscht wird, wird er in Ordnung protokolliert, beim Erstellen des Schlüssels jedoch nicht. Das Problem trat erneut auf einem Computer mit aktivierter Registrierungsüberwachung auf, es wurde jedoch kein Ereignis protokolliert.
Vojtěch Dohnal
Tatsächlich habe ich das Ereignis zum Löschen des Schlüssels noch nicht gefunden, aber ich kann ziemlich sicher sein, dass es gelöscht wurde und dass das Löschen protokolliert wird, wenn es über regedit erfolgt ...
Vojtěch Dohnal
3

Während die Antwort von oleschri ziemlich umfassend ist, möchte ich einige zusätzliche Details hinzufügen.

In meinen Beobachtungen sehe ich keine MpOAvAuswirkungen oder einen Zusammenhang mit diesem Problem. Das Entfernen des Schlüssels zur Validierung der Erweiterung ändert auch nichts an meinem Verhalten - der Rest des Beitrags hat mich dazu gebracht, weiter zu graben ...

Wenn Sie Internet Explorer 11 verwenden und viele Google-Webseiten (z. B. Google Bilder) besuchen, wird im Javascript ein Fehler generiert:

{var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}

kurz nach dem Versuch, das neue window.ActiveXObject(a)Segment zurückzugeben.

Dies führt dazu, dass der IE die \Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}Registrierungsänderungen vornimmt und das Adobe PDF Reader-Add-On deaktiviert. Dies wird mit dem Sysinternals- Tool Procmon beobachtet und der Pfad zu unserem Registrierungsspeicherort gefiltert.

Ab IE 11 ist die Eigenschaft window.ActiveXObject im DOM ausgeblendet. https://msdn.microsoft.com/library/dn423948(v=vs.85).aspx

Schlechter / veralteter Code von Google? Dies bedeutet sicherlich nicht, dass Microsoft die Ausnahme nicht besser behandeln kann.

Jair
quelle
Internet Explorer 11 Sicherheitseinstellungen - Internetzone (oder gewünschte Zone) ActiveX-Steuerelemente und Plug-Ins Führen Sie Antimalwaresoftware auf ActiveX-Steuerelementen aus: Deaktivieren
Jair
Ich werde mir das auf jeden Fall ansehen, falls unsere aktuelle Problemumgehung zusammenbricht.
Oleschri
2

Oleschris Erklärung ist sehr genau.

Eine Erklärung für den MS-Support war dies vor einigen Tagen:

"Nach interner Analyse und Zusammenarbeit mit Partnern glauben wir, dass wir die Hauptursache als Problem bei der Verwendung unseres Registrierungsschlüssels durch Adobe im Internet Explorer identifiziert haben, was dazu führt, dass sich Adobe so verhält, als ob er blockiert oder nicht installiert ist, obwohl dies der Fall ist." Das Problem wurde gemeldet und sollte im nächsten vierteljährlichen Update des Adobe PDF-Produkts behoben werden. SCEP stellt das Problem durch Aktivieren der Scanfunktion für das IE-Plug-in offen, verursacht es jedoch nicht. Dies erklärt auch, warum keine ähnlichen Probleme auftreten mit anderen IE-Plug-Ins. "

Es gibt keine völlig angemessene Lösung. Zu den kurzfristigen Lösungen gehört das Ausführen einer clientseitigen Gruppenrichtlinieneinstellung, um den Adobe CLSID-Schlüssel von Zeit zu Zeit zu löschen, falls er gefunden wird, oder das Ändern einer IE-Verknüpfung, um die CLSID vor dem Start zu löschen. Das Deaktivieren des Malware-Scannens in IE11, entweder nach Client- oder Gruppenrichtlinieneinstellung, über die Einstellungen für die Internet-Sicherheitszone "Ausführen von Antimalwaresoftware auf ActiveX-Steuerelementen" ist meiner Meinung nach keine gute Wahl.

Völlig nicht zu empfehlen

Der GP-Speicherort für die Einstellung lautet: "Administrative Vorlagen \ Windows-Komponenten \ Internet Explorer \ Internet-Systemsteuerung \ Sicherheitsseite \ Internetzone \" Führen Sie keine Antimalware-Programme für ActiveX-Steuerelemente aus. "

Adobe Behobenes Problem

Glücklicherweise hat Adobe am 12. Januar 2016 Version 11.0.14 veröffentlicht, mit der dieses Problem behoben wird. Auch Adobe Reader DC mit dem gleichen Veröffentlichungsdatum hat dieses Problem nicht.

http://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/11/11.0.14.html

Hier ist ein kleines VB-Skript, aus dem Sie eine Verknüpfung erstellen und bereitstellen können. Dadurch wird die Adobe Reader-CSLID gelöscht, der IE gestartet und Google aufgerufen.

Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}"
WshShell.RegDelete Key & "\" 


CreateObject("WScript.Shell").Run "https://www.google.com"

Wscript.quit

Grüße

Das Buch
quelle
1

Vielen Dank an oleschri und Jair für die Information; es war sehr hilfreich.

Eine Sache, die ich hinzufügen möchte, ist, dass dieses Problem nur meine Benutzer betrifft, bei denen die Benutzerkontensteuerung deaktiviert ist. Wenn Sie Procmon beobachten, während Sie das Auftreten des Problems erzwingen (indem Sie zu Google Images gehen ...), werden Sie feststellen, dass der IE nach dem folgenden Schlüssel sucht und mit dem Ergebnis "NAME NOT FOUND" fehlschlägt:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Wenn die Benutzerkontensteuerung des Benutzers aktiviert ist, ist dies alles, was passiert. Procmon zeigt, wie der IE noch einige Male nach dem Schlüssel sucht und dann nichts mehr. Wenn die Benutzerkontensteuerung deaktiviert ist, sollten Sie jedoch "RegCreateKey" -Operationen vom IE sehen (wie oleschri in seinem Beitrag erklärt hat). Es sieht so aus, als ob der IE die gewünschten Schlüssel nicht findet, also erstellt er sie. Ich denke, dass die Benutzerkontensteuerung den IE daran hindert, die Schlüssel zu erstellen, weshalb nur meine Benutzer, die sie deaktiviert haben, das Problem haben.

Pyxstars
quelle