Розгортання adobe reader в - домені - щоденник - максим Боголєпов
Практично у всіх мало-мальськи популярних програмних продуктах з гнітючою частотою знаходять все нові уразливості. Я, як і будь-який інший адміністратор, стурбований підтримкою безпеки у ввіреній мережі і зокрема - на комп'ютерах користувачів. Якщо проблему відновлення операційних систем і програмних продуктів від Microsoft легко вирішити за допомогою розгортання WSUS. то з іншими софтверними компаніями все набагато гірше ...
Буквально на днях вирішив проблему розгортання і своєчасного оновлення популярної програми Abode Acrobat Reader в доменній мережі за допомогою політик. Ділюся цим способом із зацікавленими.
Процес нескладний, якщо строго слідувати вказаним нижче алгоритму.
3. Відкриваємо cmd.exe від імені адміністратора і виконуємо наступні команди (все описане виконувалося на Windows 7 × 64 Професійна):
З їх допомогою ми перейшли в папку інсталяційний файл, скачаним на першому кроці, і розпакували його в папку C: \ 3. яка створиться автоматично:
4. Далі переходимо в отриманий каталог C: \ 3 і виконуємо команду:
яка розгорне файли в зазначену нами папку C: \ 4. де пізніше ми будемо інтегрувати їх з кумулятивним оновленням:
5. Скопіюємо файл Setup.ini з папки C: \ 3 в папку C: \ 4, перейдемо в папку C: \ 4 і застосуємо кумулятивне оновлення, отримане на кроці 2:
6. Тепер проведемо настройку отриманого дистрибутива в папці C: \ 4, яку ми виконаємо за допомогою програми Adobe Customization Wizard. поширюваної безкоштовно з офіційного сайту adobe.com. Врахуйте, що різними версіями Adobe Reader для кастомізації інсталяційного пакета необхідна своя версія Adobe Customization Wizard, тобто нам, для нашого Adobe Reader XI. підійде тільки версія Adobe Customization Wizard XI. Для цього скачайте інсталяційний файл за посиланням: CustWiz11003_en_US.exe (розмір - 6.2 МБ, тоді як формат - EXE).
7. Після установки Adobe Customization Wizard XI, відкрийте інсталяційний пакет AcroRead.msi з папки C: \ 4 і зробіть деякі необхідні зміни.
8. У першу чергу, на вкладці Personalization Options відзначте опцію EULA Options. щоб після установки пакета користувачі не були змушені натискати на кнопку прийняття ліцензійної угоди (з мого досвіду, навіть така проста операція вводить декого в глибокий ступор ...)
9. На вкладці Installation Options відзначте, щоб встановлюваний пакет зробив Adobe Reader як програму, що обробляє файли PDF за замовчуванням, щоб установка сталася непомітно для користувача (опція Silently (no interface)) і скасуємо перезавантаження після установки (опція Supress reboot):
10. На вкладці Registry в вікні Destination Computer розгортаємо гілку реєстру HKEY _LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run:
і в правому вікні видаляємо ключ Adobe ARM. клікнувши по ньому правою кнопкою миші, в поле Action вибравши Remove Value і натиснувши OK:
11. У цій же вкладці форсуємо включення захищеного режиму роботи Adobe Reader, додавши ключ bProtectedMode типу REG _DWORD і привласнивши йому значення 1. Для цього в тому ж вікні Destination Computer розгортаємо гілку реєстру HKEY _LOCAL_MACHINE -> Software -> Policies -> Adobe -> Acrobat Reader -> 11.0 -> FeatureLockDown:
І додаємо необхідний ключ bProtectedMode типу REG _DWORD зі значенням 1:
Клацнувши вгорі на вкладку Summary ви побачите вироблені вами зміни:
12. На вкладці Shortcuts задамо налаштування, що перешкоджає появі на робочих столах користувачів ярлика Adobe Reader XI (тут все на ваш розсуд):
13. На вкладці Security в поле розширених налаштувань безпеки Enhanced Security Settings вибираємо і встановлюємо в Enable Lock значення полів Standalone і Browser і заборонимо користувачам додавати довірені папки, файли і хости поставивши галочки навпроти Prevent end users from trusting files and folders і Prevent end user from adding trusted hosts:
14. Повністю виключаємо можливість взаємодії користувачів через інтернет з сайтом acrobat.com. Для цього на вкладці Online Services and Features виставте наступні настройки:
15. На вкладці File Attachments задіємо запобігання запуску будь-яких виконуваних файлів:
17. На вкладці Direct Editor в таблиці ServiceInstall видаліть рядок ServiceInstall1. завдяки чому ми попередимо установку служби Adobe Acrobat Update Service. Для цього клацніть по рядку в параметром правою кнопкою миші і виберіть Drop Row (s):
18. Далі - в таблиці Property змініть значення параметра DISABLE _BROWSER_INTEGRATION на YES. цим ви скасуєте інтеграцію Adobe Reader в браузери (на ваш розсуд):
19. Після виконаної роботи, в меню Adobe Customization Wizard XI Transform виберіть Generate Transform ... для збереження наших змін в спеціальний файл, з яким назвіть AcroRead.mst і збережіть в ту ж папку, з якої ви відкрили інсталяційний пакет AcroRead.msi для редагування ( в нашому випадку - це C: \ 4):
20. При закритті Adobe Customization Wizard XI не забудьте зберегти змінений AcroRead.msi, натиснувши на Так в попереджуючому вікні:
21. Тепер я раджу вам перевірити отриманий інсталяційний пакет, зробивши його установку у себе на комп'ютері у вікні cmd.exe за допомогою команди:
Якщо на вашому комп'ютері вже був встановлений Acrobat Reader XI, видаліть його перед цією процедурою, інакше ви отримаєте помилку про несумісність версій.
Якщо ніяких помилок ви не обнаружете, можете приступати до наступного етапу - розгортання отриманого інсталяційного пакета на комп'ютерах користувачів в домені.
23. У вікні, що розкрилося, виберіть створений пакет AcroRead.msi, який ви зробили доступним по мережі. Після чого вкажіть метод розгортання, як особливий і натисніть ОК:
24. У відкрилися властивостях створеного пакета Adobe Reader XI (11.0.12) перейдіть на вкладку Модифікації та натисніть Додати .... для вибору файлу AcroRead.mst з тієї ж мережевої папки:
Якщо виникла необхідність застосувати політику негайно, на клієнтському комп'ютері виконайте команду gpupdate / force. після якої буде потрібно перезавантажити комп'ютер.
Створена таким чином політика встановить на всіх комп'ютерах домену (для яких вона призначена) наш кастомний створений інсталяційний пакет Adobe Acrobat Reader XI. Якщо в подальшому ви якимось чином змініть даний пакет, не забудьте розгорнути його заново:
Дуже зручна можливість отримати на великій кількості комп'ютерів одноманітно налаштований програмний продукт з ідентично налаштованої безпекою:
Невелика ложка дьогтю в цьому все-таки присутня. На "слабкому" залозі користувачеві після включення комп'ютера доведеться довго чекати вікна вітання, поки не встановиться дане програмне забезпечення.
Якщо кому цікаво, то на сайті acrobat.com ви також можете знайти msi пакети і для Adobe Flash Player, як для Internet Explorer (install_flash_player_18_active_x), так і для інших браузерів, що підтримують плагіни (install_flash_player_18_plugin) (на момент написання статті версії 18.0.0.209 ), які ви згодом розповсюдьте через AD. Перейдіть по посиланню і скачайте необхідний продукт.
_______________
При створенні статті використовувався даний матеріал.