După actualizarea de securitate din octombrie a Windows 11, asociată în special cu patch-ul KB5066835, mulți utilizatori au observat că previzualizarea fișierelor PDF în File Explorer (Preview Pane) nu mai funcționează. Problema apare atât pentru fișiere locale, cât mai ales pentru documente stocate pe share-uri de rețea, iar comportamentul este legat de modul în care Windows tratează zonele de securitate și „mark of the web”.
- 1. Deblocarea manuală a fișierului: simplu, dar nepractic la scară mare
- 2. Adăugarea share-ului la Trusted Sites: cea mai eficientă soluție practică
- 3. Politica „Do not preserve zone information in file attachments”: utilă doar în anumite fluxuri
- 4. Situații specifice: workgroup vs. domeniu și DFS/file share
- 5. Soluții care nu rezolvă problema PDF preview
- 5.1. Adobe thumbnail preview
- 5.2. Dezactivarea „Enhanced Security” în Adobe
- 5.3. „Show preview handlers in preview pane”
- 5.4. Schimbarea aplicației implicite de PDF
- 6. Registry fix 180F: funcționează, dar cu un cost mare de securitate
- 7. Recomandări practice
În continuare este o trecere în revistă a principalelor soluții testate, ce funcționează și ce nu, inclusiv impactul asupra securității.
1. Deblocarea manuală a fișierului: simplu, dar nepractic la scară mare
Cea mai directă metodă este deblocarea manuală a fișierului:
- click dreapta pe fișier → Properties → bifa „Unblock” (dacă există) → Apply / OK.
Această soluție este acceptabilă pentru câteva fișiere locale, dar devine rapid impractică în scenariile de lucru reale:
- pentru foldere cu zeci sau sute de PDF-uri, operațiunea este greoaie;
- chiar dacă poți automatiza parțial prin script, pe share-uri de rețea actualizate constant metoda nu scalează;
- în testele descrise, deblocarea manuală a funcționat pe fișiere locale, dar pe share-uri de rețea unele PDF-uri tot nu puteau fi previzualizate, deși apărea opțiunea de „Unblock”.
Concluzie: soluție utilă punctual, dar ineficientă pentru rețele corporative și share-uri mari.
2. Adăugarea share-ului la Trusted Sites: cea mai eficientă soluție practică
Cea mai fiabilă soluție testată a fost modificarea setărilor din Internet Options și adăugarea share-ului de rețea în zona „Trusted sites”.
Pașii descriși:
- Deschide Internet Options. (tasteaza Run in bara de start > Run > tasteaza inetcpl.cpl > enter)
- Mergi la tab-ul Security.
- Inițial a fost încercată zona Local intranet → Sites → Advanced.
- s-a verificat ca opțiunea „Require server verification (https:) for all sites in this zone” să fie debifată;
- s-a adăugat calea de rețea, de exemplu
\\192.168.2.200\.
Dacă această metodă nu este funcțională continuă cu pașii de mai jos, dacă intenționezi să folosești un nume de domeniu.
- Share-ul poate fi adăugat la Trusted sites, nu la Local intranet.
- după adăugare, fără restart sau logoff, previzualizarea PDF va începe să funcționeze.
Explicația probabilă:
- pentru că sistemul este într-un workgroup și share-ul are un FQDN de tip
.com, Windows îl tratează ca „internet zone”, nu ca „local intranet”; - de aceea, adăugarea în Local intranet nu are efect, dar includerea în Trusted sites schimbă modul în care Explorer tratează securitatea fișierelor și permite previzualizarea.
Avantajul acestei soluții este că:
- limitezi privilegiile doar la un anumit domeniu / share;
- nu dezactivezi global mecanismele de securitate pentru toate fișierele descărcate din internet.
3. Politica „Do not preserve zone information in file attachments”: utilă doar în anumite fluxuri
În Group Policy, sub:
User Configuration -> Administrative Templates -> Windows Components -> Attachment Manager
există setarea “Do not preserve zone information in file attachments”.
În teoria Microsoft, această opțiune ar trebui să împiedice păstrarea informațiilor de zonă (mark of the web) pentru fișiere atașate descărcate din browser sau salvate din Outlook, reducând astfel numărul de fișiere marcate ca provenind din Internet.
Observații din testele descrise:
- activarea setării nu a rezolvat problema de previzualizare PDF;
- chiar după copierea unui PDF din share în folderul Downloads, fișierul păstra mark of the web și opțiunea „Unblock”;
- politica pare să se aplice strict la descărcarea fișierelor (browser, Outlook), nu la copierea ulterioară pe share-uri.
Totuși, în anumite scenarii:
- dacă utilizatorii descarcă atașamente și apoi le copiază pe un share, setarea poate face ca fișierele să nu mai fie marcate ca „din internet”, reducând avertizările.
Riscuri:
- dezactivarea zone information poate crește expunerea la atașamente malițioase, deoarece utilizatorii nu mai văd avertismentele legate de originea fișierului;
- protecția oferită de mark of the web este parțial pierdută, chiar dacă există alte politici (de exemplu blocarea scripturilor în PDF-uri).
Concluzie: o setare care poate simplifica fluxurile de lucru, dar cu un cost clar de securitate și care, în acest caz, nu a remediat problema de previzualizare după actualizare.
4. Situații specifice: workgroup vs. domeniu și DFS/file share
Comportamentul poate varia în funcție de:
- dacă stația este în workgroup sau domain joined;
- configurația DFS sau a serverului de fișiere;
- domeniul FQDN al share-ului față de cel al Active Directory.
În scenariul descris:
- un utilizator din workgroup a copiat un fișier considerat „trusted” pe un share de domeniu;
- după copiere, PDF preview nu a funcționat, iar fișierul nu avea opțiune de „Unblock” și nici zone info vizibile;
- totuși, Explorer continua să trateze locația ca „mai puțin de încredere”, afișând avertismente și blocând previzualizarea.
Rezultă că Windows folosește informații suplimentare (zona de securitate a locației, politica de rețea, domeniul) pentru a decide dacă permite sau nu preview-ul, chiar și atunci când fișierul nu este explicit marcat ca provenind din internet.
5. Soluții care nu rezolvă problema PDF preview
Au fost încercate și alte metode, care nu au avut efect asupra problemei principale:
5.1. Adobe thumbnail preview
- Activarea opțiunii Enable PDF thumbnail previews din Adobe Reader:
Preferences -> General -> Enable PDF thumbnail previews in Windows Explorer. - Această setare afectează doar thumbnail-urile (imaginea mică de previzualizare a fișierului în icon), nu și preview-ul din panoul de previzualizare Explorer.
- Poate fi o alternativă vizuală pentru unii utilizatori, dar nu rezolvă bug-ul legat de preview pane.
5.2. Dezactivarea „Enhanced Security” în Adobe
Preferences -> Security (Enhanced) -> uncheck "Enable Enhanced Security".- Această opțiune ține de modul în care Adobe deschide PDF-uri, nu de mecanismul de preview al Windows Explorer.
- În acest caz, nu a avut niciun impact asupra previzualizării în Explorer.
5.3. „Show preview handlers in preview pane”
- Setarea din File Explorer → Options → View → „Show preview handlers in preview pane”.
- În testele relatate, activarea/dezactivarea a dus doar la mesajul „No preview available” și nu a restabilit funcționalitatea normală pentru PDF-uri.
5.4. Schimbarea aplicației implicite de PDF
- Setarea altui viewer (Edge, XpdfReader etc.) ca aplicație implicită pentru PDF nu a rezolvat problema.
- Pentru că bug-ul este legat de modul în care Windows tratează zonele de securitate după actualizare, nu de aplicația care deschide fișierele.
6. Registry fix 180F: funcționează, dar cu un cost mare de securitate
O altă soluție identificată este modificarea unei chei de registry legate de Internet Zones:
- politica „Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer” (180F).
Setarea acesteia la 0 (permițând previzualizarea) poate reface funcționalitatea PDF preview, dar cu un risc semnificativ:
- această opțiune permite previzualizarea tuturor fișierelor, inclusiv a celor descărcate din zone de tip Internet;
- există scenarii documentate în care mecanismul de preview poate fi abuzat pentru furt de hash-uri NTLM sau execuție de cod malițios fără interacțiune explicită din partea utilizatorului.
Comparativ, soluția cu adăugarea share-ului la Trusted Sites este considerată mai sigură:
- nu dezactivezi global protecțiile la nivel de zonă;
- limitezi relaxarea de securitate la un singur context – share-ul de rețea de încredere.
7. Recomandări practice
Pe baza testelor descrise:
- pentru administratori:
- verificați dacă problemele au apărut după instalarea KB5066835 sau a altor actualizări de securitate din octombrie;
- adăugați share-urile de rețea necesare în zona Trusted Sites via Internet Options, în special în medii cu stații în workgroup;
- evitați pe cât posibil soluții de tip registry fix global (180F) și dezactivarea mark of the web pentru toate atașamentele;
- analizați fluxurile de lucru (descărcare atașamente → copiere pe share) înainte de a modifica politica „Do not preserve zone information in file attachments”.
- pentru utilizatori finali:
- utilizați deblocarea manuală doar pentru fișiere locale și cazuri punctuale;
- raportați către IT problemele de previzualizare, mai ales dacă apar mesaje de avertizare sau comportamente diferite pe share-uri.
Concluzia generală este că problema de previzualizare PDF după actualizarea din octombrie nu este legată de Adobe sau de viewer-ul folosit, ci de modul în care Windows tratează originea fișierelor și zonele de securitate. Soluția cu Trusted Sites oferă, în acest context, cel mai bun echilibru între funcționalitate și securitate.
