Adobe lässt sich über Sicherheitseinstellungen dazu bewegen, Dokumente in einer Sandbox zu öffnen, in der das Ausführen von Schadcode erschwert wird. Dann sind Funktionen wie Drucken erst nach Bestätigung möglich.

Diese Sicherheitseinstellungen wollte ich gerne für den bei uns verwendeten Adobe Reader DC (2015 Continous) zentral über GPO regeln.

Die gewünschte Einstellung, die es zu konfigurieren gilt, nennt sich “Protected View”. Das von Adobe bereitsgestellte ADMX zur Konfiguration zeigte sich zu meiner Frustration vollkommen wertlos, da es nicht korrekt für alle Versionen arbeitete.

Also hilft nur robuste Handarbeit über Registry. Und wenn man weiß, wie es geht, ist es eigentlich sehr leicht.

Etwas Starthilfe erleichtert die Dokumentation von Adobe . Der korrekte Schlüssel, den es zu konfigurieren gilt, lautet “iProtectedView” und ist als DWORD32-Schlüssel in folgendem Registry-Hive abzulegen:

1
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]

Die hierbei zu konfigurierenden Optionen sind:

  • Off: Disable Protected View.
1
dword:00000000
  • Files from potentially unsafe locations: Open files from the internet or other unknown (and therefore untrusted) sources in Protected View.
1
dword:00000001
  • All files: Open all files in Protected View.
1
dword:00000002

Ich möchte den Protected View gerne für alle Dateien anschalten. Mein Registry-Wert muss also lauten:

1
2
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]
"iProtectedView"=**dword:00000002**

Das ganze wird über eine Computer-GPO an die Clienten publiziert. In der Group Policy Management wird dazu der neue Wert angelegt:

iprotectedview

Nach einem gpupdate ist dann das Resultat auf dem Clienten sichtbar:

iprotectedview

Zur Sicherheit noch eine Kontrolle in den Einstellungen:

iprotectedview

Nun ist die Konfiguration der geschützten Ansicht aktiviert und ausgegrautund kann damit vom Anwender nicht mehr geändert werden.

Hinweis: Entgegen der Dokumentation von Adobe funktioniert diese Konfiguration in meinem Test sowohl im klassischen Reader DC als auch im continous Reader DC, welcher eigentlich keine GPO-Konfiguration erlauben soll.