Adobe Flash в последнее время является объектом повышенного внимания, как со стороны злоумышленников, так и со стороны системных администраторов. Первые находят и эксплуатируют уязвимости, вторые вынуждены отражать их атаки. Обновления безопасности модулей Adobe Flash для браузеров выпускаются каждый месяц, а то и дважды. Сегодня я расскажу о применяемом мной способе обновления Adobe Flash в домене.
Использовать будем EXE-инсталляторы несмотря на то, что разработчик выкладывает и MSI-файлы, которые можно запросто развернуть в домене. Обусловлено это отсутствием возможности настройки данных MSI, например, не предусмотрено отключение автообновления Flash, для которого требуются права администратора, а ведь у хорошего администратора в домене не бывает пользователей с такими полномочиями ;)
Надеюсь со скриптами «Автозагрузки» и «Входа в систему» в домене вы, хотя бы теоретически, знакомы. Будем выполнять установку скриптом «Автозагрузки», а для этого нам прежде всего нужно определиться, будет ли разворачивание Flash применяться ко всему домену (Default Domain Policy), либо к отдельному подразделению компьютеров. Оба варианта применимы, могу лишь предостеречь начинающих системных администраторов от типичной ошибки и уберечь от вопросов — «почему не применяются групповые политики?». Проверьте, чтобы у подразделения, к которому вы применяете политики раздела «Конфигурация компьютера» (установка программ, внесение записей в HKLM-ветку реестра, …) были делегированы права группе «Компьютеры домена»:
На этом вступительную часть заканчиваем и рассматриваем, собственно то, зачем все мы здесь сегодня собрались. Скачиваем с сайта разработчика три инсталлятора Adobe Flash актуальной версии (первый для Internet Explorer, второй для Firefox, Safari и прочих, третий для Chrome-семейства браузеров):
1 2 3 |
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe |
Пишем в текстовом редакторе или копипастим следующий CMD-файл:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
set flash=16.0.0.305 set current=0 For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerActiveX" ^| Find /i "Version"') Do Set "current=%%b" if %current% lss %flash% "%~dp0install_flash_player_ax.exe" -install set current=0 For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPlugin" ^| Find /i "Version"') Do Set "current=%%b" if %current% lss %flash% "%~dp0install_flash_player.exe" -install set current=0 For /f "tokens=2*" %%a In ('Reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPepper" ^| Find /i "Version"') Do Set "current=%%b" if %current% lss %flash% "%~dp0install_flash_player_ppapi.exe" -install Set xOS=x64& If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86 If %xOS%==x64 set FPUS=%WinDir%\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe ) Else ( set FPUS=%WinDir%\System32\Macromed\Flash\FlashPlayerUpdateService.exe ) If Exist %FPUS% ( %FPUS% -setDisableAutoUpdate %FPUS% -deleteTask sc stop AdobeFlashPlayerUpdateSvc sc delete AdobeFlashPlayerUpdateSvc del /f /q %FPUS% ) |
Меняем в первой строчке CMD-файла версию Flash на актуальную (на момент написания статьи это была версия 16.0.0.305) и помещаем получившиеся 4 файла в папку «Автозагрузки» групповой политики:
На этом всё. Цель поставлена, задача выполнена. После перезагрузки доменные компьютеры обновят Flash плагины для всех браузеров без участия пользователей или администратора.
Несколько комментариев к скрипту установки:
В нём вы видите циклы For для каждого инсталлятора, сравнивающие установленную версию Flash с актуальной и производящие обновление, если в системе обнаружена старая версия. Следующим шагом отключается механизм автообновления Adobe Flash (удаляется назначенное задание и соответствующая служба).
Данный способ обновления Adobe Flash применяется уже продолжительное время в домене с Windows XP, Windows 7 компьютерами обоих разрядностей и показал себя вполне работоспособным. Всё что остаётся администратору, это следить за выходом новых версий Adobe Flash, скачивать их и править версию в командном файле.
У операционных систем Windows 8, Windows 10 есть особенность — Adobe Flash для Internet Explorer входит в состав её дистрибутива и обновляется с узла Windows Update, поэтому приведённый скрипт требует доработки, когда у меня в домене появится хотя бы одна машина с данной ОС, я внесу необходимые правки и поделюсь с читателями моего блога.
Постовой: Отлично провести время с друзьями в Ростове-на-Дону поможет уникальный шокирующий квест в реальности Сайлент Хилл.