HOWTO: 解决因禁用防火墙服务引发的 Outlook 附件预览故障

        MPSSvc is a core service! MPSSvc is a core service! MPSSvc is a core service! [ 重要的事情说三遍！！！]

        MPSSvc是什么服务？干什么用的？

        为了获取 MPSSvc 服务的相关信息，使用命令行 “sc qc mpssvc” 进行查看，可得知 MPSSvc 就是 Windows Defender Firewall，即 Windows 防火墙服务，启动方式为自启动。从遥远的 XP 时代开始，这个服务就存在，而且随着 Windows 系统的发展，已经成为必要的核心级服务。

        而一些 “聪明” 的 IT 人员为了避免客户端计算机的 Windows 防火墙功能影响正常使用和管理，使用了自认为最有效的方法来禁用它！即，通过域 GPO 直接禁用 Windows Firewall（MPSSvc）服务。下发策略后，确实像 XP、Win7这样的客户端运行照旧，貌似没什么不良的影响，也满足了 IT 管理员的 “目标”，因为那些防火墙问题的报修有效减少了。

        但是在后续的发展阶段，随着 Win8、Win8.1 的发布，到现在 Win10 的发布，企业中运行 Win10 的客户端计算机也越来越多，而微软也一直在致力于改善 Windows 的安全功能以提高安全性。那么问题来了，一些用户开始抱怨自己的 Outlook 无法正常预览 Office 附件，且在双击打开这些附件后会报错。

        在预览附件时的报错提示为“不能预览此文件，因为以下预览程序发生了错误：...”；如果双击打开这个 Office 附件，则会提示“内存或磁盘空间不足，Microsoft ... 无法再次打开或保存任何文档。”在故障发生的起初，进行排错时一直都没有想到是防火墙导致的故障。（PS：谁会想到 “聪明” 的 IT 会如此禁用 WFW）

        在无奈之际，使用 Procmon 对执行 trace 进行了捕获，进行具体的分析。在密密麻麻的记录中，终于找到了线索。当用户执行预览时，会触发一个对防火墙动态链接库的查询操作，由于 GPO 禁用了防火墙服务的启动，所以未能找到相关的资源。

        当时为了验证，立刻检查了防火墙服务，果然被禁用导致无法正常启动。恢复设置后，故障解除。（PS：就此问题与 IT 理论的结果就是之前怎么没问题，现在怎么就出问题，压根就不是禁用防护墙服务的问题嘛！）

        所以呢，要其变更下发的 GPO 是没戏了，为此想了一个 Workaround，即通过计划任务在每次启动系统后使用 sc 命令将 mpssvc 改为自启动，并启动它。具体的命令如下：

        在编写上段命令前，曾尝试调整 Office 的安全设置，将打开有异常的 Office 文档的程序保护试图功能关闭，如下图所示。但是在 Outlook 中预览还是无法解决。

        就 Windows 防火墙 与 Office 的问题，微软也发布了知识库进行了说明和解释。当同时满足以下条件时，则会发生上述描述的故障问题。

• Windows防火墙服务没有运行
• Windows 10、Windows 8.1、Windows 8 或基于 Windows Server 2012 的计算机上使用 Outlook 2016 或 Outlook 2013

        具体是因为 Outlook 中的预览功能使用受保护的试图功能（也成为沙盒）。在 Microsoft Office 2010 引入了此功能。在 Windows 10、 Windows 8.1、Windows 8 和 Windows Server 2012，受保护的试图功能改进了 AppContainer 功能的结合。这提供了更强的进程隔离，并且它还会阻止从沙盒的网络访问。

参考资料：KB2912722