Adobe Flash в последнее время является объектом повышенного внимания, как со стороны злоумышленников, так и со стороны системных администраторов. Первые находят и эксплуатируют уязвимости, вторые вынуждены отражать их атаки. Обновления безопасности модулей Adobe Flash для браузеров выпускаются каждый месяц, а то и дважды. Сегодня я расскажу о применяемом мной способе обновления Adobe Flash в домене.
Обновление Adobe Flash в домене

Использовать будем EXE-инсталляторы несмотря на то, что разработчик выкладывает и MSI-файлы, которые можно запросто развернуть в домене. Обусловлено это отсутствием возможности настройки данных MSI, например, не предусмотрено отключение автообновления Flash, для которого требуются права администратора, а ведь у хорошего администратора в домене не бывает пользователей с такими полномочиями ;)

Надеюсь со скриптами «Автозагрузки» и «Входа в систему» в домене вы, хотя бы теоретически, знакомы. Будем выполнять установку скриптом «Автозагрузки», а для этого нам прежде всего нужно определиться, будет ли разворачивание Flash применяться ко всему домену (Default Domain Policy), либо к отдельному подразделению компьютеров. Оба варианта применимы, могу лишь предостеречь начинающих системных администраторов от типичной ошибки и уберечь от вопросов — «почему не применяются групповые политики?». Проверьте, чтобы у подразделения, к которому вы применяете политики раздела «Конфигурация компьютера» (установка программ, внесение записей в HKLM-ветку реестра, …) были делегированы права группе «Компьютеры домена»:
OU_rights
На этом вступительную часть заканчиваем и рассматриваем, собственно то, зачем все мы здесь сегодня собрались. Скачиваем с сайта разработчика три инсталлятора Adobe Flash актуальной версии (первый для Internet Explorer, второй для Firefox, Safari и прочих, третий для Chrome-семейства браузеров):

http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe

Пишем в текстовом редакторе или копипастим следующий CMD-файл:

set flash=16.0.0.305
set current=0
For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerActiveX" ^| Find /i "Version"') Do Set "current=%%b"
if %current% lss %flash% "%~dp0install_flash_player_ax.exe" -install
set current=0
For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPlugin" ^| Find /i "Version"') Do Set "current=%%b"
if %current% lss %flash% "%~dp0install_flash_player.exe" -install
set current=0
For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPepper" ^| Find /i "Version"') Do Set "current=%%b"
if %current% lss %flash% "%~dp0install_flash_player_ppapi.exe" -install
Set xOS=x64& If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x64
  set FPUS=%WinDir%\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
) Else (
  set FPUS=%WinDir%\System32\Macromed\Flash\FlashPlayerUpdateService.exe
)
If Exist %FPUS% (
  %FPUS% -setDisableAutoUpdate
  %FPUS% -deleteTask
  sc stop AdobeFlashPlayerUpdateSvc
  sc delete AdobeFlashPlayerUpdateSvc
  del /f /q %FPUS%
)

(скачать CMD-файл)

Меняем в первой строчке CMD-файла версию Flash на актуальную (на момент написания статьи это была версия 16.0.0.305) и помещаем получившиеся 4 файла в папку «Автозагрузки» групповой политики:

startup

На этом всё. Цель поставлена, задача выполнена. После перезагрузки доменные компьютеры обновят Flash плагины для всех браузеров без участия пользователей или администратора.

Несколько комментариев к скрипту установки:
В нём вы видите циклы For для каждого инсталлятора, сравнивающие установленную версию Flash с актуальной и производящие обновление, если в системе обнаружена старая версия. Следующим шагом отключается механизм автообновления Adobe Flash (удаляется назначенное задание и соответствующая служба).

Данный способ обновления Adobe Flash применяется уже продолжительное время в домене с Windows XP, Windows 7 компьютерами обоих разрядностей и показал себя вполне работоспособным. Всё что остаётся администратору, это следить за выходом новых версий Adobe Flash, скачивать их и править версию в командном файле.

У операционных систем Windows 8, Windows 10 есть особенность — Adobe Flash для Internet Explorer входит в состав её дистрибутива и обновляется с узла Windows Update, поэтому приведённый скрипт требует доработки, когда у меня в домене появится хотя бы одна машина с данной ОС, я внесу необходимые правки и поделюсь с читателями моего блога.

Постовой: Отлично провести время с друзьями в Ростове-на-Дону поможет уникальный шокирующий квест в реальности Сайлент Хилл.