nik-ventures
Goto Top

Adobe Acrobat Reader Updates sperren

Hallo zusammen,

wie schon im Titel zu lesen ist, es geht darum die Updates für Adobe zu sperren.

Die "Lösung", das per GPO zu sperren / deaktivieren, haben wir bereits umgesetzt und der Registry-Wert ist auch gesetzt, allerdings lässt sich immer noch der Befehl im Program verwenden (Help => Check for Updates".
Es geht hierbei um die freie Version nur zum anschauen von PDFs als auch die Pro-Versionen.
Hintergrund ist der, das wir eine Software haben, die die Patches verteilt und wir die Auto-Updates der Programme entsprechend abschalten wollen.

Wie habt ihr das gelöst?
Weiß jemand, auf was genau der Updater bei Adobe zugreift (IP, FTP-Server...)? Dann könnte man das auf der Firewall abschalten ..


Danke euch face-smile

Content-ID: 3451993847

Url: https://administrator.de/forum/adobe-acrobat-reader-updates-sperren-3451993847.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

NilsErik
NilsErik 26.07.2022 um 14:45:55 Uhr
Goto Top
Hi,

zumindest beim Reader kann man die MSI mit dem Customization Wizard entsprechend anpassen.

Nils
nachgefragt
nachgefragt 26.07.2022 um 14:48:54 Uhr
Goto Top
Zitat von @nik-ventures:
Wie habt ihr das gelöst?
Adobe Reader RC rausgeschmissen, PDFs werden mit dem Browser geöffnet.
Doskias
Doskias 26.07.2022 um 14:53:54 Uhr
Goto Top
Moin,

an sich ist dein Ansatz richtig, aber deine Umsetzung falsch face-wink

Zitat von @nik-ventures:
Weiß jemand, auf was genau der Updater bei Adobe zugreift (IP, FTP-Server...)? Dann könnte man das auf der Firewall abschalten ..
Meiner Meinung nach sollte eine Firewall erstmal alles blockieren, was du nicht separat frei gibst. Und genau liegt in meinen Augen dein Fehler. Lange Rede:

Warum sollte ein User sämtlich von dir nicht gesperrten Seiten besuchen können? Grade neue Seiten sind noch nicht geblockt oder auch Seiten die jahrelang sauber waren verbreiten auf einmal einen Virus. Also: Setze deine Firewall auf Whitelist und schon hast du keine ungewünschten Updates, es sei denn du gibst Adobe händisch frei.

Natürlich kannst du auch alle Websiten von Adobe händisch blockieren. Dazu einfach mal auf einem Rechner das Update starten und schauen wo er sich überall hin verbindet.

Adobe selbst hat dazu auch eine Liste veröffentlicht:
https://helpx.adobe.com/de/enterprise/kb/network-endpoints.html

Allerdings auch hier: Das sind die Dienste die du nach Adobe zulassen musst. Also du müsstest das alles sperren. Suche unter https://www.adobe.com/devnet-docs/acrobatetk/tools/AdminGuide/endpoints. ... nach Updater und "hoffentlich" ist das alles was du brauchst. face-wink Hoffentlich, weil die Liste vom 04.07.2022 ist und man nie weiß wie es sich verändert. Es kann dir auch passieren, dass Adobe einen neuen Server ins leben ruft und die Updates in einer künftigen Version dann nicht mehr blockiert werden. Daher nochmal: Einzige dauerhafte Lösung: White-List-Firewall.

Gruß
Doskias
nik-ventures
nik-ventures 26.07.2022 um 15:37:18 Uhr
Goto Top
Zitat von @NilsErik:

Hi,

zumindest beim Reader kann man die MSI mit dem Customization Wizard entsprechend anpassen.

Nils

Genau das wollten wir vermeiden, hatten die meisten User-PCs bereits neu aufgesetzt und wollten die Adobe-Installationen nicht erst wieder anpassen ...
nik-ventures
nik-ventures 26.07.2022 um 15:37:54 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @nik-ventures:
Wie habt ihr das gelöst?
Adobe Reader RC rausgeschmissen, PDFs werden mit dem Browser geöffnet.

Manche User bestehen auf Adobe, wir müssen uns dann damit abfinden :/
nik-ventures
nik-ventures 26.07.2022 um 15:39:57 Uhr
Goto Top
Zitat von @Doskias:

Moin,

an sich ist dein Ansatz richtig, aber deine Umsetzung falsch face-wink

Zitat von @nik-ventures:
Weiß jemand, auf was genau der Updater bei Adobe zugreift (IP, FTP-Server...)? Dann könnte man das auf der Firewall abschalten ..
Meiner Meinung nach sollte eine Firewall erstmal alles blockieren, was du nicht separat frei gibst. Und genau liegt in meinen Augen dein Fehler. Lange Rede:

Warum sollte ein User sämtlich von dir nicht gesperrten Seiten besuchen können? Grade neue Seiten sind noch nicht geblockt oder auch Seiten die jahrelang sauber waren verbreiten auf einmal einen Virus. Also: Setze deine Firewall auf Whitelist und schon hast du keine ungewünschten Updates, es sei denn du gibst Adobe händisch frei.

Natürlich kannst du auch alle Websiten von Adobe händisch blockieren. Dazu einfach mal auf einem Rechner das Update starten und schauen wo er sich überall hin verbindet.

Adobe selbst hat dazu auch eine Liste veröffentlicht:
https://helpx.adobe.com/de/enterprise/kb/network-endpoints.html

Allerdings auch hier: Das sind die Dienste die du nach Adobe zulassen musst. Also du müsstest das alles sperren. Suche unter https://www.adobe.com/devnet-docs/acrobatetk/tools/AdminGuide/endpoints. ... nach Updater und "hoffentlich" ist das alles was du brauchst. face-wink Hoffentlich, weil die Liste vom 04.07.2022 ist und man nie weiß wie es sich verändert. Es kann dir auch passieren, dass Adobe einen neuen Server ins leben ruft und die Updates in einer künftigen Version dann nicht mehr blockiert werden. Daher nochmal: Einzige dauerhafte Lösung: White-List-Firewall.

Gruß
Doskias

Hi und danke für deine Antwort face-smile
Das große Problem ist, wir haben zig Firewall Regeln die teilw. gar nicht mehr gelten oder gebraucht werden und wollen das aufräumen im Zuge des Einbaus neuer Firewalls, allerdings erst Anfang des nächsten Jahres. Und da wir kürzlich eine gecrashte Adobe-Applikation hatten, durch ein Update, hatte ich hier nachgefragt (ansonsten bin ich voll und ganz dafür nur das nötigste frei zu geben!).
Ich arbeite mich mal durch die Links durch face-smile
DerWoWusste
DerWoWusste 26.07.2022 aktualisiert um 16:38:45 Uhr
Goto Top
https://www.adobe.com/devnet-docs/acrobatetk/tools/DesktopDeployment/gpo ...
Da steht seit Jahr und Tag alles bereit, um alle möglichen Settings zu verteilen, zum Beispiel die administrativen templates für den Reader, continuous Track ("DC"): https://ardownload2.adobe.com/pub/adobe/reader/win/AcrobatDC/misc/Reader ...
nachgefragt
nachgefragt 26.07.2022 aktualisiert um 17:09:07 Uhr
Goto Top
Zitat von @nik-ventures:
Manche User bestehen auf Adobe, wir müssen uns dann damit abfinden :/
Verstehe,
wenn noch der Benutzer der IT digtiert welche Standardsoftware zu nutzen ist, kenne ich: mein Beileid ;)
dertowa
dertowa 26.07.2022 aktualisiert um 17:46:46 Uhr
Goto Top
Zitat von @DerWoWusste:

https://www.adobe.com/devnet-docs/acrobatetk/tools/DesktopDeployment/gpo ...
Da steht seit Jahr und Tag alles bereit, um alle möglichen Settings zu verteilen, zum Beispiel die administrativen templates für den Reader, continuous Track ("DC"): https://ardownload2.adobe.com/pub/adobe/reader/win/AcrobatDC/misc/Reader ...

Korrekt und funktioniert auch heute noch im Slipstream-Prinzip wunderbar.
Leider gibt es bislang keine 64 Bit Version zur Verteilung von Adobe. face-sad

Aufpassen muss man zudem beim PreviewHandler, den reißt sich der Edge bei jedem Sicherheitsupdate unter den Nagel und der kann dann keine Dateinamen mit "#" verarbeiten. :-P
DerWoWusste
DerWoWusste 26.07.2022 aktualisiert um 18:09:13 Uhr
Goto Top
Leider gibt es bislang keine 64 Bit Version zur Verteilung von Adobe
Doch, https://ardownload2.adobe.com/pub/adobe/acrobat/win/AcrobatDC/2200120169 ... enthält die MSI-Pakete.
dertowa
dertowa 26.07.2022 aktualisiert um 19:59:10 Uhr
Goto Top
Zitat von @DerWoWusste:

Leider gibt es bislang keine 64 Bit Version zur Verteilung von Adobe
Doch, https://ardownload2.adobe.com/pub/adobe/acrobat/win/AcrobatDC/2200120169 ... enthält die MSI-Pakete.

Nein, es gibt keine Base - MSI Datei für 64 Bit. face-smile
msi
Damit ist die alte Slipstream - Methode untauglich.
https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index. ...
Da gibt es x86 und x64 MSP Dateien, aber nur für die x86 gibt es die passende Base.

Die neue Verteilung habe ich mir noch nicht angesehen. face-sad
DerWoWusste
DerWoWusste 26.07.2022 um 21:09:29 Uhr
Goto Top
Das ist das Setup des Readers. Wenn du meinst, dass es keine Base gibt, frage ich mich, wie damit denn der Reader installiert werden kann.
dertowa
dertowa 26.07.2022, aktualisiert am 28.07.2022 um 22:31:09 Uhr
Goto Top
Zitat von @DerWoWusste:

Das ist das Setup des Readers. Wenn du meinst, dass es keine Base gibt, frage ich mich, wie damit denn der Reader installiert werden kann.

Right, denn siehe Base-Eintrag auf der genannten Seite: DC Continuous Track (base release)

Aus der Base-EXE lässt sich das extrahieren, mit der AcroPro.msi lässt sich dagegen nicht viel anfangen? face-sad
base
DerWoWusste
DerWoWusste 26.07.2022 um 23:25:21 Uhr
Goto Top
Herrje.
Dem Missverständnis sind schon andere aufgesessen. Die AcroPro.msi installiert den Reader, das ist die falsch benannte Base des Readers. Da kannst Du die MSPs reinhauen.
Ok, genug abgekommen vom eigentlichen Thread.