O addon Acrobat Reader XI é desabilitado periodicamente no Internet Explorer dentro do domínio do Windows

7

Temos um problema de acompanhamento que acontece apenas em novas estações de trabalho com o Windows 7 x64 e o Acrobat Reader XI.

A cada poucos dias, a seguinte chave é adicionada automaticamente ao registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Essa chave faz com que o Acrobat Reader XI seja desabilitado nos complementos do Internet Explorer. Portanto, quando o usuário abre o PDF no IE (ou SAP ou outro software Windows usando o IE), ele não é aberto no IE, mas em uma nova janela separada.

Todas as estações de trabalho clientes usam o Microsoft System Center 2012 R2 e a proteção do Microsoft System Center Endpoint como solução antivírus.

Você pode sugerir o que pode ser o motivo disso, como política de grupo, antivírus, etc.?

    
por Vojtěch Dohnal 12.11.2014 / 10:20

6 respostas

3

Reproduzindo o problema

Supondo que você tenha instalado

  • Microsoft Windows 7+ / Server 2008 R2 +
  • Microsoft Internet Explorer 11+ ( IE )
  • Adobe PDF Reader 11+ ( Leitor )
  • Proteção do Microsoft System Center Endpoint Protection / Microsoft Malware Protection ( MalwareProtection )

o seguinte parece acontecer aqui:

O MalwareProtection registra um componente chamado Implementação do Antimalware IOfficeAntiVirus ( MpOAv ) para Validação de extensão com IE .

IExtensionValidation interface

For Internet Explorer 11, specifies an interface the anti-malware vendors can implement. Vendors that register support for this interface may be called by IE11 to validate that an ActiveX control is safe to instantiate.

MpOAv é registrado como um CLSID de {2781761E-28E1-4109-99FE-B9D127C57AFE} .

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Você pode inspecionar as propriedades detalhadas de MpOAv no registro. A DLL associada geralmente reside em C:\Program Files (x86)\Microsoft Security Client\MpOAv.dll

[HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Agora, toda vez que o IE deseja executar um controle ActiveX, o MpOAv registrado está sendo chamado antes disso e às vezes se comporta mal ou simplesmente acha que o Reader O controle ActiveX não é seguro. Eu não tenho ideia do que seu comportamento realmente depende.

Isso tudo resulta em IE (iexplore.exe) escrevendo 2 chaves no registro: Os CLSIDs do MpOAv {2781761E-28E1-4109-99FE-B9D127C57AFE} e do Reader {CA8A9780-280D-11CF-A24D-444553540000} .

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]

A partir deste ponto, o IE não executará o controle ActiveX Reader até que alguém remova manualmente seu CLSID de lá. Este é o problema observado.

Soluções alternativas

  • Pare IE de chamar o componente Validação de extensão em primeiro lugar: Remova o CLSID de MpOAv das chaves de Validação de Extensão [HKLM\…\Internet Explorer\Extension Validation] . Isso requer direitos administrativos e pode ser distribuído por meio da Política de Grupo. Cuidado: as atualizações futuras do MalwareProtection podem recriar a entrada do registro.

  • Desinstale o Microsoft System Center Proteção de endpoints / Proteção contra malware da Microsoft. Use um produto diferente.

Solução a longo prazo

  • Arquivar um bug na Microsoft e / ou na Adobe? Eu temo que eles culparão um ao outro. ;)
  • Talvez seja melhor esperar pelo Microsoft Spartan com suporte PDF integrado.
por 09.02.2015 / 16:36
4

A Política de Grupo poderia estar adicionando esse valor de registro. A ferramenta gpresult pode fornecer informações sobre as configurações que estão sendo aplicadas por meio da Política de Grupo.

Qualquer programa em execução como o usuário poderia estar fazendo isso, porque os usuários têm direitos para modificar essa parte do registro por padrão. Sendo que está mudando "A cada poucos dias", eu suspeito que não seja a Política de Grupo que está fazendo isso (já que a atualização de política acontece com mais frequência do que isso).

Eu consideraria ativar a auditoria na chave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings e assistir o log de eventos de segurança para capturar a modificação. (Não me apresso a linkar para blogs, no entanto o procedimento nesta entrada é legal porque não envolve fazer alterações na política de auditoria através da Diretiva de Grupo, o que a maioria dos exemplos oficiais da Microsoft faz.

Você provavelmente também desejará ativar a auditoria de acompanhamento de processos para obter uma visão clara de quais processos estão envolvidos na modificação.

    
por 12.11.2014 / 17:24
3

Embora a resposta de oleschri seja bastante abrangente, quero acrescentar alguns detalhes adicionais.

Nas minhas observações, não vejo MpOAv impactando ou sendo relacionado a esse problema. Remover a chave de Validação de Extensão também não altera nenhum comportamento que eu experimentei - o resto do post me levou a cavar ainda mais ...

Ao usar o Internet Explorer 11 e visitar muitas páginas da Web do Google (Google Images, por exemplo), um erro é gerado no Javascript:

{var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}

logo após tentar o retorno do novo segmento window.ActiveXObject(a) .

Isso faz com que o IE altere o \Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000} e desative o complemento do Adobe PDF Reader. Isso é observado usando a ferramenta Sysinternals Procmon e filtrando o caminho para nosso local de registro.

A partir do IE 11, a propriedade window.ActiveXObject está oculta do DOM. link

Código incorreto / desatualizado do Google? Certamente, não significa que a Microsoft não consiga lidar melhor com a exceção.

    
por 27.08.2015 / 22:22
2

A explicação de Oleschri é altamente precisa.

Uma explicação do suporte do MS foi feita há alguns dias:

"Após análise interna e trabalho com parceiros, acreditamos que identificamos a causa raiz como um problema de como a Adobe está usando nossa chave de registro no IE, fazendo com que a Adobe se comporte como se estivesse bloqueada ou não instalada, embora O problema foi relatado e deve ser abordado na próxima atualização trimestral do produto Adobe PDF.O SCEP expõe o problema ativando o plug do IE na funcionalidade de verificação, mas não causa o problema.Isso também explica por que não vendo problemas semelhantes com outros plugins do IE. "

Não há solução que seja completamente adequada. As soluções de curto prazo incluem a inclusão de uma preferência do lado do cliente da política de grupo para excluir a chave do Adobe CLSID de vez em quando, se encontrada, ou modificar um atalho do IE para excluir o CLSID antes de iniciar. Desabilitar a verificação de malware no IE11, seja por cliente ou por configuração de política de Grupo, por meio das configurações da Zona de Segurança da Internet, "Executar software antimalware em controles ActiveX" está longe de ser uma escolha inteligente.

Completamente não recomendado

A localização da GP para configuração é: "Modelos Administrativos \ Componentes do Windows \ Internet Explorer \ Painel de Controle da Internet \ Página Segurança \ Zona da Internet \" Não execute programas antimalware em controles ActiveX "

Problema resolvido pela Adobe

Felizmente, a Adobe lançou o v 11.0.14 em 12 de janeiro de 2016, o que resolve esse problema. Além disso, o Adobe Reader DC, da mesma versão, também não tem esse problema.

link

Aqui está um pequeno script VB em que você pode criar um atalho e implementá-lo. Isso excluirá o Adobe Reader CSLID e, em seguida, iniciará o IE e acessará o Google.

Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}"
WshShell.RegDelete Key & "\" 


CreateObject("WScript.Shell").Run "https://www.google.com"

Wscript.quit

Atenciosamente

    
por 22.01.2016 / 22:21
1

Obrigado a oleschri e Jair pela informação; Tem sido extremamente útil.

Uma coisa que gostaria de acrescentar é que esse problema afeta apenas os usuários que têm o UAC desativado. Se você observar o Procmon ao forçar o problema a ocorrer (indo ao google images ...), você notará que o IE está procurando a chave abaixo e falhando com o resultado "NAME NOT FOUND":

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Se o UAC do usuário estiver ligado, isso é tudo o que acontece. O Procmon mostra o IE procurando a chave mais algumas vezes e depois nada. No entanto, se o UAC estiver desativado, você deverá ver as operações "RegCreateKey" do IE (como o oleschri explicou em seu post). Parece que o IE não está encontrando as chaves que deseja, por isso está criando-as. Eu acho que o UAC está impedindo o IE de criar as chaves, e é por isso que apenas os usuários que o desligaram estão enfrentando o problema.

    
por 09.11.2015 / 23:45
-2

Eu encontrei esta opção nas zonas de segurança da internet para desativar a 'validação de extensão'. Não execute programas antimalware em controles ActiveX

defina essa opção para "desativar" no momento, esperamos que o MS en Adobe tenha isso juntos:)

    
por 27.11.2015 / 14:56