Configuration de Acrobat Reader

Même si la mise à jour régulière de Adobe Reader est importante, sa configuration l’est aussi. Ceci fût démontré plusieurs fois par Didier Stevens et surtout, par les documents PDF malicieux attachés qu’on reçoit fréquemment par courriel. Malheureusement, Adobe veut que ses usagers utilisent les fonctions évoluées (par défaut) sans vraiment considérer l’impact que ça peut représenter pour eux. Il devient donc nécessaire pour les entreprises de penser au déploiement de configurations vers leurs postes de travail Windows en utilisant des GPO ou d’autres mécanismes. J’inclus ici des références intéressantes à ce sujet:

• http://help.adobe.com/en_US/Acrobat/9.0/Professional/WS8084ADD0-83CB-43fe-B3CC-0D9AF9224C8C.w.html
• http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html
• http://forums.adobe.com/thread/621375

Autres:

• http://www.adobe.com/content/dotcom/en/products/acrobat/technical-resources.html#deployment
• http://wwwimages.adobe.com/www.adobe.com/content/dam/Adobe/en/devnet/reader/pdfs/gpo_ad_8.pdf

Par exemple, la différence entre une mauvaise configuration de Adobe Reader X et une meilleure ressemblerait à ceci dans le registre Windows:
Changements:
“bEnhancedSecurityInBrowser”=dword:00000001
“bEnhancedSecurityStandalone”=dword:00000001
“bValidateOnOpen”=dword:00000001
“aLastPrefsPanel”=”TrustedResources”
“bEnableJS”=dword:00000000
Ajouts:
“bAllowOpenFile”=dword:00000000

Even though updating all Adobe applications is important, configuring them properly is also very important, as proven multiple times by Didier Stevens and malicious email attachments we sometimes receive. Unfortunately, Adobe seems to want its users to use as many features as possible by default, beyond simple PDF reading.
It may become necessary for Enterprises to think about deploying Adobe Reader configuration tweaks via GPO (or other means). I’ve included above some references that may help (with post-deployment tweaking):