У нас есть следующая проблема, которая возникает только на новых рабочих станциях с Windows 7 x64 и Acrobat Reader XI.
Каждые несколько дней в реестр автоматически добавляется следующий ключ:
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}
Этот ключ приводит к тому, что Acrobat Reader XI отключается в надстройках Internet Explorer. Поэтому, когда пользователь открывает PDF-файл в IE (или SAP или другом программном обеспечении Windows, использующем IE), он открывается не в IE, а в новом отдельном окне.
Все клиентские рабочие станции используют Microsoft System Center 2012 R2 и Microsoft System Center Endpoint Protection в качестве антивирусного решения.
Подскажите, пожалуйста, в чем может быть причина, например, групповая политика, антивирус и т.д.?
Групповая политика мог будет добавлять это значение реестра. В gpresult Инструмент может дать вам представление о параметрах, применяемых через групповую политику.
Любая программа, запущенная от имени пользователя, может это делать, потому что пользователи по умолчанию имеют права изменять эту часть реестра. Поскольку он меняется «каждые несколько дней», я подозреваю, что это не групповая политика (поскольку обновление политики происходит чаще, чем это).
Я бы рассмотрел возможность включения аудита на HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings раздел реестра и просмотр журнала событий безопасности, чтобы обнаружить изменения. (Я не спешу давать ссылки на блоги, однако процедура в этой записи хороша потому что это не связано с внесением изменений в политику аудита через групповую политику, как это делается в большинстве официальных примеров Microsoft.)
Вы, вероятно, также захотите включить аудит отслеживания процессов чтобы получить четкое представление о том, какие процессы задействованы в модификации.
Хотя ответ Олешри довольно исчерпывающий, я хочу добавить некоторые дополнительные детали.
В своих наблюдениях я не вижу MpOAv влияет или имеет отношение к этой проблеме. Удаление ключа проверки расширений также не меняет моего поведения - остальная часть сообщения заставила меня копать дальше ...
При использовании Internet Explorer 11 и посещении многих веб-страниц Google (например, изображений Google) в Javascript возникает ошибка:
{var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}
сразу после попытки возврата нового window.ActiveXObject(a) сегмент.
Это заставляет IE делать \Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000} изменения реестра и отключение надстройки Adobe PDF Reader. Это наблюдается с помощью Sysinternals инструмент Procmon и фильтрация пути к нашему реестру.
Начиная с IE 11, свойство window.ActiveXObject скрыто от DOM. https://msdn.microsoft.com/library/dn423948(v=vs.85).aspx
Плохой / устаревший код от Google? Конечно, это не означает, что Microsoft не может лучше справиться с исключением.
Предполагая, что вы установили
здесь, кажется, происходит следующее:
Защита от вредоносного ПО регистрирует компонент с именем Реализация Microsoft Antimalware IOfficeAntiVirus (MpOAv) для Проверка расширения с участием IE.
Интерфейс IExtensionValidation
Для Internet Explorer 11 указывает интерфейс, который могут реализовать поставщики средств защиты от вредоносных программ. Поставщики, которые регистрируют поддержку этого интерфейса, могут быть вызваны IE11 для проверки того, что элемент управления ActiveX безопасен для создания экземпляра.
MpOAv регистрируется как CLSID {2781761E-28E1-4109-99FE-B9D127C57AFE}.
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
Вы можете подробно изучить свойства MpOAv в реестре. Связанная DLL обычно находится в C:\Program Files (x86)\Microsoft Security Client\MpOAv.dll
[HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
Теперь каждый раз IE хочет запустить элемент ActiveX, зарегистрированный MpOAv вызывается до этого и иногда ведет себя плохо или просто думает, что Читатель Управление ActiveX небезопасно. Понятия не имею, от чего на самом деле зависит его поведение.
Все это приводит к IE (iexplore.exe) записывает в реестр 2 ключа: идентификаторы CLSID MpOAv {2781761E-28E1-4109-99FE-B9D127C57AFE} и Читатель {CA8A9780-280D-11CF-A24D-444553540000}.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]
С этого момента IE не будет запускать Читатель Элемент управления ActiveX, пока кто-нибудь вручную не удалит оттуда его CLSID. Это наблюдаемая проблема.
Стоп IE от вызова компонента проверки расширения: Удалить CLSID из MpOAv из ключей проверки расширения [HKLM\…\Internet Explorer\Extension Validation]. Это требует прав администратора и может распространяться через групповую политику. Будьте осторожны: будущие обновления Защита от вредоносных программ может воссоздать запись в реестре.
Удалите Microsoft System Center Endpoint Protection / Microsoft Malware Protection. Используйте другой продукт.
Объяснение Олешри очень точное.
Одно из объяснений службы поддержки MS было следующее несколько дней назад:
«После внутреннего анализа и работы с партнерами мы считаем, что мы определили основную причину как проблему с тем, как Adobe использует наш раздел реестра в IE, в результате чего Adobe ведет себя так, как будто он заблокирован или не установлен, даже если он установлен. Сообщалось о проблеме, и ее следует решить в следующем ежеквартальном обновлении продукта Adobe PDF. SCEP обнаруживает проблему, активируя функцию сканирования подключаемого модуля IE, но не вызывает ее. Это также объясняет, почему мы не наблюдаем подобных проблем с другими плагинами IE ".
Не существует полностью адекватного решения. Краткосрочные решения включают в себя запуск предпочтения на стороне клиента групповой политики для частого удаления ключа Adobe CLSID, если он обнаружен, или изменение ярлыка IE для удаления CLSID перед запуском. Отключение сканирования на вредоносное ПО в IE11 для каждого клиента или параметра групповой политики с помощью параметров зоны безопасности Интернета, «Запускать программное обеспечение для защиты от вредоносных программ в элементах управления ActiveX» - далеко не мудрый выбор, я думаю, большинство согласится.
Совершенно не рекомендуется
Расположение GP для настройки: «Административные шаблоны \ Компоненты Windows \ Internet Explorer \ Панель управления Интернетом \ Страница безопасности \ Зона Интернета \« Не запускать программы защиты от вредоносных программ для элементов управления ActiveX ».
Adobe решила проблему
К счастью, 12 января 2016 года Adobe выпустила версию 11.0.14, в которой эта проблема решена. Кроме того, Adobe Reader DC того же выпуска, на дату выпуска, также не имеет этой проблемы.
http://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/11/11.0.14.html
Вот небольшой сценарий VB, из которого вы можете сделать ярлык и развернуть его. Это удалит CSLID Adobe Reader, затем запустит IE и перейдет в Google.
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}"
WshShell.RegDelete Key & "\"
CreateObject("WScript.Shell").Run "https://www.google.com"
Wscript.quit
С уважением
Спасибо Олешри и Яиру за информацию; это было чрезвычайно полезно.
Я хотел бы добавить, что эта проблема затрагивает только моих пользователей, у которых отключен UAC. Если вы смотрите Procmon, вызывая возникновение проблемы (переходя к изображениям Google ...), вы заметите, что IE ищет указанный ниже ключ и выдает ошибку с результатом «NAME NOT FOUND»:
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}
Если UAC пользователя включен, это все, что происходит. Procmon показывает IE, который ищет ключ еще несколько раз, а затем ничего. Однако, если UAC отключен, вы должны увидеть операции «RegCreateKey» из IE (как объяснил Олешри в своем сообщении). Похоже, IE не находит нужные ключи, поэтому создает их. Я думаю, что UAC мешает IE создавать ключи, поэтому только мои пользователи, у которых он отключен, испытывают проблему.
Я нашел эту опцию в зонах интернет-безопасности, чтобы отключить «проверку расширения». Не запускайте программы защиты от вредоносных программ для элементов управления ActiveX
установите эту опцию на «отключить» на данный момент, надеюсь, MS и Adobe объединят это вместе :)