HOWTO: 解决因禁用防火墙服务引发的 Outlook 附件预览故障
MPSSvc is a core service! MPSSvc is a core service! MPSSvc is a core service! [ 重要的事情说三遍!!!]
MPSSvc是什么服务?干什么用的?
为了获取 MPSSvc 服务的相关信息,使用命令行 “sc qc mpssvc” 进行查看,可得知 MPSSvc 就是 Windows Defender Firewall,即 Windows 防火墙服务,启动方式为自启动。从遥远的 XP 时代开始,这个服务就存在,而且随着 Windows 系统的发展,已经成为必要的核心级服务。
而一些 “聪明” 的 IT 人员为了避免客户端计算机的 Windows 防火墙功能影响正常使用和管理,使用了自认为最有效的方法来禁用它!即,通过域 GPO 直接禁用 Windows Firewall(MPSSvc)服务。下发策略后,确实像 XP、Win7这样的客户端运行照旧,貌似没什么不良的影响,也满足了 IT 管理员的 “目标”,因为那些防火墙问题的报修有效减少了。
但是在后续的发展阶段,随着 Win8、Win8.1 的发布,到现在 Win10 的发布,企业中运行 Win10 的客户端计算机也越来越多,而微软也一直在致力于改善 Windows 的安全功能以提高安全性。那么问题来了,一些用户开始抱怨自己的 Outlook 无法正常预览 Office 附件,且在双击打开这些附件后会报错。
在预览附件时的报错提示为“不能预览此文件,因为以下预览程序发生了错误:...”;如果双击打开这个 Office 附件,则会提示“内存或磁盘空间不足,Microsoft ... 无法再次打开或保存任何文档。”在故障发生的起初,进行排错时一直都没有想到是防火墙导致的故障。(PS:谁会想到 “聪明” 的 IT 会如此禁用 WFW)
在无奈之际,使用 Procmon 对执行 trace 进行了捕获,进行具体的分析。在密密麻麻的记录中,终于找到了线索。当用户执行预览时,会触发一个对防火墙动态链接库的查询操作,由于 GPO 禁用了防火墙服务的启动,所以未能找到相关的资源。
当时为了验证,立刻检查了防火墙服务,果然被禁用导致无法正常启动。恢复设置后,故障解除。(PS:就此问题与 IT 理论的结果就是之前怎么没问题,现在怎么就出问题,压根就不是禁用防护墙服务的问题嘛!)
所以呢,要其变更下发的 GPO 是没戏了,为此想了一个 Workaround,即通过计划任务在每次启动系统后使用 sc 命令将 mpssvc 改为自启动,并启动它。具体的命令如下:
在编写上段命令前,曾尝试调整 Office 的安全设置,将打开有异常的 Office 文档的程序保护试图功能关闭,如下图所示。但是在 Outlook 中预览还是无法解决。
就 Windows 防火墙 与 Office 的问题,微软也发布了知识库进行了说明和解释。当同时满足以下条件时,则会发生上述描述的故障问题。
- Windows防火墙服务没有运行
- Windows 10、Windows 8.1、Windows 8 或基于 Windows Server 2012 的计算机上使用 Outlook 2016 或 Outlook 2013
具体是因为 Outlook 中的预览功能使用受保护的试图功能(也成为沙盒)。在 Microsoft Office 2010 引入了此功能。在 Windows 10、 Windows 8.1、Windows 8 和 Windows Server 2012,受保护的试图功能改进了 AppContainer 功能的结合。这提供了更强的进程隔离,并且它还会阻止从沙盒的网络访问。
参考资料:KB2912722