web-dev-qa-db-ja.com

Windowsドメイン内のInternet ExplorerでAcrobat Reader XIアドオンが定期的に無効になる

Windows 7 x64およびAcrobat Reader XIを搭載した新しいワークステーションでのみ発生する次の問題があります。

数日ごとに、次のキーがレジストリに自動的に追加されます。

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

このキーには、Acrobat Reader XIがInternet Explorerアドオンで無効になるという効果があります。したがって、ユーザーがPDF in IE(またはIEを使用するSAPまたは他のWindowsソフトウェア)を開いた場合、IE =しかし、別の新しいウィンドウで。


すべてのクライアントワークステーションは、Microsoft System Center 2012 R2およびMicrosoft System Center Endpoint保護をウイルス対策ソリューションとして使用します。

グループポリシーやウイルス対策など、その理由を教えていただけますか?

7
Vojtěch Dohnal

問題を再現する

あなたがインストールしたと仮定

  • Microsoft Windows 7以降/ Server 2008 R2以降
  • Microsoft Internet Explorer 11以降([〜#〜] ie [〜#〜]
  • Adobe PDF Reader 11+(Reader
  • Microsoft System Center Endpoint Protection/Microsoft Malware Protection(MalwareProtection

ここでは次のことが発生するようです。

MalwareProtectionという名前のコンポーネントを登録しますMicrosoft Antimalware IOfficeAntiVirus実装MpOAv)for Extension Validation with [〜#〜] ie [〜#〜]

IExtensionValidationインターフェース

Internet Explorer 11の場合、マルウェア対策ベンダーが実装できるインターフェイスを指定します。このインターフェイスのサポートを登録するベンダーは、IE11によって呼び出され、ActiveXコントロールをインスタンス化しても安全であることを検証できます。

MpOAvは、_{2781761E-28E1-4109-99FE-B9D127C57AFE}_のCLSIDとして登録されます。

_[HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
_

レジストリでMpOAvの詳細なプロパティを検査できます。関連するDLLは通常C:\Program Files (x86)\Microsoft Security Client\MpOAv.dllにあります

_[HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
_

[〜#〜] ie [〜#〜]がActiveXコントロールを実行するたびに、登録されたMpOAvがその前に呼び出され、時々誤動作するか、単にリーダー ActiveXと見なされますコントロールは安全ではありません。その動作が実際に何に依存するのか私にはわかりません。

これにより、すべての結果として[〜#〜] ie [〜#〜](iexplore.exe)がレジストリに2つのキーを書き込みます:MpOAv _{2781761E-28E1-4109-99FE-B9D127C57AFE}_およびReaderのCLSID _{CA8A9780-280D-11CF-A24D-444553540000}_。

_[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]
_

この時点以降、[〜#〜] ie [〜#〜]は、誰かが手動でCLSIDをそこから削除するまで、リーダー ActiveXコントロールを実行しません。これは観察された問題です。

回避策

  • 最初に[〜#〜] ie [〜#〜]が拡張検証コンポーネントを呼び出さないようにします:拡張検証キー_[HKLM\…\Internet Explorer\Extension Validation]_からMpOAvのCLSIDを削除します。これには管理者権限が必要であり、グループポリシーを介して配布できます。注意:MalwareProtectionの将来の更新により、レジストリエントリが再作成される可能性があります。

  • Microsoft System Center Endpoint Protection/Microsoft Malware Protectionをアンインストールします。別の製品を使用してください。

長期的なソリューション

  • MicrosoftやAdobeにバグを報告しますか?彼らがお互いのせいになるのではないかと心配です。 ;)
  • 統合されたPDFサポート付きのMicrosoft Spartanを待つ方が良いでしょう。
3
oleschri

グループポリシーがそのレジストリ値を追加できますgpresultツールを使用すると、グループポリシーを介して適用されている設定を確認できます。

ユーザーはデフォルトでレジストリのその部分を変更する権限を持っているため、ユーザーとして実行されているすべてのプログラムがそれを実行できます。 「数日ごと」に変化しているため、それを実行しているのはグループポリシーではないようです(ポリシーの更新はそれよりも頻繁に発生するため)。

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settingsレジストリキーの監査を有効にし、セキュリティイベントログを監視して変更をキャッチすることを検討します。 (ただし、ブログにリンクする必要はありません このエントリの手順はいいです グループポリシーを使用して監査ポリシーを変更する必要がないため、Microsoftのほとんどの公式の例ではそうです。)

また、変更に関与しているプロセスを明確に把握するために、 プロセス追跡監査 を有効にすることもできます。

4
Evan Anderson

Oleschriの回答は非常に包括的ですが、もう少し詳しく説明したいと思います。

私の観察では、MpOAvがこの問題に影響を及ぼしたり、関連したりしていることはありません。 Extension Validationキーを削除しても、私が経験する動作は変更されません。残りの投稿では、さらに掘り下げます...

Internet Explorer 11を使用して多数のGoogle Webページ(Googleイメージなど)にアクセスすると、Javascriptでエラーが生成されます。

_{var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}
_

return new window.ActiveXObject(a)セグメントを試行した直後。

これにより、IEは_\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}_レジストリを変更し、Adobe PDF Reader Add-Onを無効にします。これは Sysinternals ツールProcmonとレジストリの場所へのパスのフィルタリング。

IE 11以降、window.ActiveXObjectプロパティはDOMから非表示になります。 https://msdn.Microsoft.com/library/dn423948(v = vs.85))。 aspx

グーグルからの悪い/古いコード?もちろん、Microsoftが例外を適切に処理できないという意味ではありません。

3
Jair

オレシュリの説明は非常に正確です。

1つのMSサポートの説明は数日前のことです:

「内部分析とパートナーとの協力の後、アドビがIEでレジストリキーをどのように使用しているかの問題として根本的な原因を特定したため、アドビはブロックされているか、インストールされていないかのように動作するようになりました。問題が報告されており、アドビの次の四半期アップデートで対処する必要がありますPDF製品。SCEPは、IEプラグインスキャン機能をアクティブにすることで問題を公開します、ただし問題は発生しません。これは、他のIEプラグインで同様の問題が発生しない理由も説明します。 "

完全に適切な解決策はありません。短期的な解決策には、グループポリシーのクライアント側の設定を実行してAdobe CLSIDキーを見つけた場合は頻繁に削除する、またはIEショートカットを変更して起動前にCLSIDを削除するなど)が含まれます。IE11でのマルウェアスキャンの無効化クライアントごとまたはグループポリシー設定ごとに、インターネットセキュリティゾーンの設定を介して、「ActiveXコントロールでマルウェア対策ソフトウェアを実行する」は、私が同意する賢明な選択とはほど遠いです。

まったくお勧めしません

設定のGPの場所は次のとおりです。「管理用テンプレート\ Windowsコンポーネント\ Internet Explorer \インターネットコントロールパネル\セキュリティページ\インターネットゾーン\ "ActiveXコントロールに対してマルウェア対策プログラムを実行しないでください"

Adobeが解決した問題

幸い、アドビはこの問題を解決するv 11.0.14を2016年1月12日にリリースしました。また、同じリリースのAdobe Reader DCにもこの問題はありません。

http://www.Adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/11/11.0.14.html

ここに小さなVBスクリプトを作成して展開できます。これにより、Adobe Reader CSLIDが削除され、IEが起動してGoogleに移動します。

Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}"
WshShell.RegDelete Key & "\" 


CreateObject("WScript.Shell").Run "https://www.google.com"

Wscript.quit

よろしく

2
The__Book

情報についてはoleschriとJairの両方に感謝します。それは非常に役に立ちました。

追加したいのは、この問題はUACがオフになっているユーザーにのみ影響するということです。 (Google画像に移動して)問題を強制的に発生させながらProcmonを見ると、IEが以下のキーを探しており、「NAME NOT FOUND」という結果で失敗します。 :

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

ユーザーのUACがオンになっている場合、これがすべてです。 ProcmonはIEキーをさらに数回検索し、その後何もしないことを示しています。ただし、UACがオフになっている場合は、IE( oleschriが彼の投稿で説明したように。IEは必要なキーを見つけられないため、それらを作成しています。UACが停止していると思いますIEキーを作成しないようにしてください。そのため、キーを持っているユーザーだけが問題を抱えています。

1
Pyxstars