Wir haben ein folgendes Problem, das nur auf neuen Workstations mit Windows 7 x64 und Acrobat Reader XI auftritt.

Alle paar Tage wird der Registrierung automatisch der folgende Schlüssel hinzugefügt:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Dieser Schlüssel hat zur Folge, dass Acrobat Reader XI in Internet Explorer-Add-Ons deaktiviert wird. Wenn der Benutzer PDF im IE (oder in SAP oder einer anderen Windows-Software mit IE) öffnet, wird es nicht im IE geöffnet, sondern in einem neuen separaten Fenster.

Alle Client-Workstations verwenden Microsoft System Center 2012 R2 und Microsoft System Center Endpoint-Schutz als Antivirenlösung.

Können Sie bitte vorschlagen, was der Grund dafür sein kann, wie Gruppenrichtlinien, Antivirenprogramme usw.?

Das Problem reproduzieren

Vorausgesetzt, Sie haben installiert

• Microsoft Windows 7+ / Server 2008 R2 +
• Microsoft Internet Explorer 11+ ( IE )
• Adobe PDF Reader 11+ ( Reader )
• Microsoft System Center-Endpunktschutz / Microsoft Malware Protection ( MalwareProtection )

Folgendes scheint hier zu passieren:

MalwareProtection registriert eine Komponente mit dem Namen Microsoft Antimalware IOfficeAntiVirus-Implementierung ( MpOAv ) für die Erweiterungsvalidierung im IE .

IExtensionValidation-Schnittstelle

Gibt für Internet Explorer 11 eine Schnittstelle an, die die Anti-Malware-Anbieter implementieren können. Anbieter, die die Unterstützung für diese Schnittstelle registrieren, können von IE11 aufgerufen werden, um zu überprüfen, ob die Instanziierung eines ActiveX-Steuerelements sicher ist.

MpOAv registriert sich als CLSID von {2781761E-28E1-4109-99FE-B9D127C57AFE}.

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Validation\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Sie können die detaillierten Eigenschaften von MpOAv in der Registrierung überprüfen . Die zugehörige DLL befindet sich normalerweise unterC:\Program Files (x86)\Microsoft Security Client\MpOAv.dll

[HKCR\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCR\Wow6432Node\CLSID\{2781761E-28E1-4109-99FE-B9D127C57AFE}]

Jedes Mal, wenn der IE ein ActiveX-Steuerelement ausführen möchte, wird das registrierte MpOAv zuvor aufgerufen und verhält sich manchmal schlecht oder denkt einfach, dass das Reader ActiveX-Steuerelement nicht sicher ist. Ich habe keine Ahnung, wovon sein Verhalten wirklich abhängt.

Dies alles führt dazu, dass der IE (iexplore.exe) 2 Schlüssel in die Registrierung schreibt: Die CLSIDs von MpOAv {2781761E-28E1-4109-99FE-B9D127C57AFE} und Reader {CA8A9780-280D-11CF-A24D-444553540000} .

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2781761E-28E1-4109-99FE-B9D127C57AFE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}]

Ab diesem Zeitpunkt führt der IE das Reader ActiveX-Steuerelement erst aus, wenn jemand seine CLSID manuell von dort entfernt. Dies ist das beobachtete Problem.

Problemumgehungen

• Stop - IE von der Verlängerung Validierungskomponente in erster Linie Aufruf: Entfernen CLSID von MpOAv von den Erweiterungs - Validierung Schlüsseln [HKLM\…\Internet Explorer\Extension Validation]. Dies erfordert Administratorrechte und kann über Gruppenrichtlinien verteilt werden. Seien Sie vorsichtig: Zukünftige Updates von MalwareProtection können den Registrierungseintrag neu erstellen.

• Deinstallieren Sie Microsoft System Center Endpoint Protection / Microsoft Malware Protection. Verwenden Sie ein anderes Produkt.

Langfristige Lösung

• Einen Fehler bei Microsoft und / oder Adobe melden? Ich fürchte, sie werden sich gegenseitig die Schuld geben. ;)
• Warten Sie vielleicht besser auf Microsoft Spartan mit integrierter PDF-Unterstützung.

Gruppenrichtlinie könnte diesen Registrierungswert hinzufügen. Das gpresultTool kann Ihnen einen Einblick in die Einstellungen geben, die über Gruppenrichtlinien angewendet werden.

Jedes Programm, das als Benutzer ausgeführt wird, kann dies tun, da Benutzer standardmäßig die Berechtigung haben, diesen Teil der Registrierung zu ändern. Da es sich "Alle paar Tage" ändert, vermute ich, dass es nicht die Gruppenrichtlinie ist, die dies tut (da die Richtlinienaktualisierung häufiger erfolgt).

Ich würde in Betracht ziehen, die Überwachung des HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\SettingsRegistrierungsschlüssels zu aktivieren und das Sicherheitsereignisprotokoll zu überwachen, um die Änderung abzufangen. (Ich beeile mich nicht, auf Blogs zu verlinken, aber das Verfahren in diesem Eintrag ist nett, da keine Änderungen an der Überwachungsrichtlinie über Gruppenrichtlinien vorgenommen werden müssen, wie dies in den meisten offiziellen Beispielen von Microsoft der Fall ist.)

Möglicherweise möchten Sie auch die Prozessverfolgungsüberwachung aktivieren , um ein klares Bild davon zu erhalten, welche Prozesse an der Änderung beteiligt sind.

Während die Antwort von oleschri ziemlich umfassend ist, möchte ich einige zusätzliche Details hinzufügen.

In meinen Beobachtungen sehe ich keine MpOAvAuswirkungen oder einen Zusammenhang mit diesem Problem. Das Entfernen des Schlüssels zur Validierung der Erweiterung ändert auch nichts an meinem Verhalten - der Rest des Beitrags hat mich dazu gebracht, weiter zu graben ...

Wenn Sie Internet Explorer 11 verwenden und viele Google-Webseiten (z. B. Google Bilder) besuchen, wird im Javascript ein Fehler generiert:

{var c=function(a){try{return new window.ActiveXObject(a),!0}catch(c){return!1}}

kurz nach dem Versuch, das neue window.ActiveXObject(a)Segment zurückzugeben.

Dies führt dazu, dass der IE die \Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}Registrierungsänderungen vornimmt und das Adobe PDF Reader-Add-On deaktiviert. Dies wird mit dem Sysinternals- Tool Procmon beobachtet und der Pfad zu unserem Registrierungsspeicherort gefiltert.

Ab IE 11 ist die Eigenschaft window.ActiveXObject im DOM ausgeblendet. https://msdn.microsoft.com/library/dn423948(v=vs.85).aspx

Schlechter / veralteter Code von Google? Dies bedeutet sicherlich nicht, dass Microsoft die Ausnahme nicht besser behandeln kann.

Oleschris Erklärung ist sehr genau.

Eine Erklärung für den MS-Support war dies vor einigen Tagen:

"Nach interner Analyse und Zusammenarbeit mit Partnern glauben wir, dass wir die Hauptursache als Problem bei der Verwendung unseres Registrierungsschlüssels durch Adobe im Internet Explorer identifiziert haben, was dazu führt, dass sich Adobe so verhält, als ob er blockiert oder nicht installiert ist, obwohl dies der Fall ist." Das Problem wurde gemeldet und sollte im nächsten vierteljährlichen Update des Adobe PDF-Produkts behoben werden. SCEP stellt das Problem durch Aktivieren der Scanfunktion für das IE-Plug-in offen, verursacht es jedoch nicht. Dies erklärt auch, warum keine ähnlichen Probleme auftreten mit anderen IE-Plug-Ins. "

Es gibt keine völlig angemessene Lösung. Zu den kurzfristigen Lösungen gehört das Ausführen einer clientseitigen Gruppenrichtlinieneinstellung, um den Adobe CLSID-Schlüssel von Zeit zu Zeit zu löschen, falls er gefunden wird, oder das Ändern einer IE-Verknüpfung, um die CLSID vor dem Start zu löschen. Das Deaktivieren des Malware-Scannens in IE11, entweder nach Client- oder Gruppenrichtlinieneinstellung, über die Einstellungen für die Internet-Sicherheitszone "Ausführen von Antimalwaresoftware auf ActiveX-Steuerelementen" ist meiner Meinung nach keine gute Wahl.

Völlig nicht zu empfehlen

Der GP-Speicherort für die Einstellung lautet: "Administrative Vorlagen \ Windows-Komponenten \ Internet Explorer \ Internet-Systemsteuerung \ Sicherheitsseite \ Internetzone \" Führen Sie keine Antimalware-Programme für ActiveX-Steuerelemente aus. "

Adobe Behobenes Problem

Glücklicherweise hat Adobe am 12. Januar 2016 Version 11.0.14 veröffentlicht, mit der dieses Problem behoben wird. Auch Adobe Reader DC mit dem gleichen Veröffentlichungsdatum hat dieses Problem nicht.

http://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotes/11/11.0.14.html

Hier ist ein kleines VB-Skript, aus dem Sie eine Verknüpfung erstellen und bereitstellen können. Dadurch wird die Adobe Reader-CSLID gelöscht, der IE gestartet und Google aufgerufen.

Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
Key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}"
WshShell.RegDelete Key & "\" 


CreateObject("WScript.Shell").Run "https://www.google.com"

Wscript.quit

Grüße

Vielen Dank an oleschri und Jair für die Information; es war sehr hilfreich.

Eine Sache, die ich hinzufügen möchte, ist, dass dieses Problem nur meine Benutzer betrifft, bei denen die Benutzerkontensteuerung deaktiviert ist. Wenn Sie Procmon beobachten, während Sie das Auftreten des Problems erzwingen (indem Sie zu Google Images gehen ...), werden Sie feststellen, dass der IE nach dem folgenden Schlüssel sucht und mit dem Ergebnis "NAME NOT FOUND" fehlschlägt:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA8A9780-280D-11CF-A24D-444553540000}

Wenn die Benutzerkontensteuerung des Benutzers aktiviert ist, ist dies alles, was passiert. Procmon zeigt, wie der IE noch einige Male nach dem Schlüssel sucht und dann nichts mehr. Wenn die Benutzerkontensteuerung deaktiviert ist, sollten Sie jedoch "RegCreateKey" -Operationen vom IE sehen (wie oleschri in seinem Beitrag erklärt hat). Es sieht so aus, als ob der IE die gewünschten Schlüssel nicht findet, also erstellt er sie. Ich denke, dass die Benutzerkontensteuerung den IE daran hindert, die Schlüssel zu erstellen, weshalb nur meine Benutzer, die sie deaktiviert haben, das Problem haben.

Ich habe diese Option in den Internet-Sicherheitszonen gefunden, um die "Erweiterungsvalidierung" zu deaktivieren. Führen Sie keine Antimalware-Programme für ActiveX-Steuerelemente aus

Setzen Sie diese Option für den Moment auf "Deaktivieren", hoffentlich wird dies von MS und Adobe gemeinsam durchgeführt :)