Logo faq-o-matic.net
Logo faq-o-matic.net

Terminalserver: Den Protected Mode des Adobe Reader X abschalten

23 Nov 2010
von veröffentlicht am23. November 2010, 07:19 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit, Terminal Server, Windows Server 2008 R2   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 24. März 2011

Adobe hat vor einigen Tagen die neue Version 10 seines Adobe Reader veröffentlicht (Marketingname: Adobe Reader X). Eine der wichtigsten Neuerungen ist der “Protected Mode” (“Geschützter Modus”), der eine Art Sandbox um verdächtige Dokumente bildet. Ähnlich wie die geschützte Ansicht in Office 2010 verhindert dieser Modus den Übergriff von möglichen Schadfunktionen in PDF-Dokumenten auf das Computersystem des Benutzers. Eine sehr sinnvolle Funktion also.

Nur leider hat das ein paar Haken: Der Protected Mode funktioniert nämlich in einer ganzen Reihe von Situationen nicht. Dazu gehört dummerweise auch der Einsatz auf Terminal Servern mit Citrix – und anscheinend auch mit dem bordeigenen RemoteApp. Ruft man dort den Adobe Reader X auf, so meldet er beim Start:

Warnung

Update 24. März 2011: Bent Schrader hat herausgefunden, dass in Version 10.0.1 der beschriebene Workaround nicht mehr notwendig ist.

[Adobe Acrobat Reader X auf einem Terminalserver – Bent’s Blog]
http://bent-blog.de/windows/terminalserver/adobe-acrobat-reader-x-auf-einem-terminalserver/

Adobe dokumentiert diese Einschränkungen auch auf seiner Webseite. Dort sind allerdings die Remote Desktop Services (früher: Terminal Services) von Windows 2003 bis 2008 ausdrücklich als kompatibel angegeben. Zumindest im Zusammenhang mit RemoteApp tritt der Fehler allerdings auch auf, nicht nur mit Citrix.

[Protected Mode Troubleshooting | Adobe Reader]
http://kb2.adobe.com/cps/860/cpsid_86063.html

In seiner FAQ gibt Adobe lapidar an, man könne den Protected Mode auch über die Registry abschalten – welchen Key man dafür verwenden muss, darf der geneigte Admin dann selbst rausfinden. Auch sonst sind diese FAQ leider eher ein Eingeständnis, dass man den neuen Modus nicht so richtig toll implementiert hat.

[Protected Mode FAQ – Security and Information Assurance – Adobe Learning Resources]
http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ

Den Protected Mode zentral abschalten – GPP-Methode

Dabei ist es gar nicht so schwer, den Protected Mode zentral abzuschalten. Da es sich grundsätzlich aber um eine sinnvolle Funktion handelt, empfehle ich das folgende Vorgehen nur für Umgebungen, in denen der neue Modus ein Problem darstellt – eben beispielsweise RemoteApp-Umgebungen.

Der zu ändernde Key in der Registry ist folgender:

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\10.0\Privileged]
"bProtectedMode"=dword:00000000

Dieser Wert muss auf 0 (null) stehen, damit der Protected Mode abgeschaltet ist. Nun helfen die GPP (Group Policy Preferences) dabei, diese Einstellung auf alle RemoteApp-User auszurollen. Man suche sich also eine Gruppenrichtlinie (GPO) heraus, die für die betreffenden Benutzerkonten gilt (bzw. man erzeuge eine neue). Dort öffnet man die Benutzerkonfiguration/ Einstellungen/ Windows-Einstellungen/ Registrierung. Hier fügt man ein neues Element hinzu und trägt dort Folgendes ein:

GPP

Speichern, GPO schließen, fertig. Eventuelle getrennte Benutzersitzungen auf dem RemoteApp-Server muss man nun einmal zurücksetzen, damit die User sich tatsächlich neu anmelden. Danach sollte die GPP-Einstellung greifen und der Reader ohne Protected Mode starten.

Prüfen kann der Benutzer dies über die Einstellungen (im Menü “Bearbeiten”). Dort ist auch die Stelle, wo er die Einstellung manuell ändern kann.

PM aus

Den Protected Mode zentral abschalten – ADM-Methode

Norbert Fehlauer hat folgende ADM-Datei geschrieben. Damit lässt sich der Vorgang auch über “klassische” Gruppenrichtlinien ausführen.

Update 9.12.2010: Christoph Langer hat uns auf einen Fehler in der ursprünglichen ADM-Version hingewiesen. Die unten stehende Fassung ist korrigiert.

; ADM Template Author: Norbert Fehlauer

Class User
    CATEGORY !!CAT_AdobeReaderX

        POLICY !!Pol_ProtectedModedeaktivieren
            #IF VERSION >= 4
                SUPPORTED !!Supportedon_AdobaReaderX
            #ENDIF

            EXPLAIN !!Expl_AdobeProtectedMode
            KEYNAME "Software\Adobe\Acrobat Reader\10.0\Privileged"

            PART !!Part_ProtectedModedeaktivieren Checkbox
                VALUENAME "bProtectedMode"
                DEFCHECKED
                VALUEON NUMERIC 0

                VALUEOFF NUMERIC 1

            END PART

        END POLICY ;Pol_ProtectedModedeaktivieren

    END CATEGORY ;CAT_AdobeReaderX

[STRINGS]

CAT_AdobeReaderX="Adobe Acrobat X"
Expl_AdobeProtectedMode="Für weitere Informationen siehe: http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ"
Part_ProtectedModedeaktivieren="Protected Mode deaktivieren"
Pol_ProtectedModedeaktivieren="Protected Mode deaktivieren"
Supportedon_AdobaReaderX="mindestens Adobe Reader X"

Verwandte Beiträge:

  1. XP Mode: Ein Blick hinter die Kulissen
    Auf dem VPC-Blog im TechNet gibt es einen hübschen Artikel, der einige Hintergründe zu Funktion und Nutzung des XP Mode...
  2. Eigene Patches über WSUS ausrollen
    Die Windows Server Update Services (WSUS) verteilen in vielen Unternehmen die Patches für Microsoft-Produkte. Damit sind ihre Fähigkeiten aber noch...
  3. Terminalserver-Profileinstellungen in AD: Die ungenutzte Neuerung
    Mit Windows Server 2008 hat Microsoft einige neue Attribute in Active Directory eingeführt, die für Benutzerkonten die Umgebungseinstellungen für Terminalserver...
  4. Terminalserver-Sessions durch Zertifikate schützen
    In diesem Artikel geht es darum, wie man Verbindungen zu einem Terminalserver mit Bordmitteln absichern kann. Die benötigten Komponenten sind...
  5. Kostenfrei PDFs erzeugen unter Windows
    Mit der Freeware GhostScript lassen sich sehr einfach qualitativ ansprechende PDF-Dateien erstellen, die mit dem Adobe Reader gelesen werden können....
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=2842
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!