GPO – regedit tilføjelse af trustedsites af clickonce program

En kunde spurgte om ikke jeg kunne fixe et lille problem de havde med et program kaldet Molio Prisdata. Programmet er et clickonce program der kaldes fra Molio.dk. Der var en del brugere der havde problemer med at det slet ikke ville afvikles. Superbrugeren havde fået at vide at han bare skulle rette i regedit til at sige enabled på alt fra internettet. Det virkede også, dog kun indtil brugeren genstartede. Han ville derudover rigtig gerne have en lidt mindre usikker måde. Forslaget var at lave siden den blev kaldt fra til en trusted site, og så enable trustedSites.

Jeg tænkte at det ikke kunne tage mange sekunder at lave det. Jeg stødte dog på et problem, for det virkede ikke efter jeg havde lavet ændringerne. Problemet var at Molio.dk kører med https, programmet har certifikat, så langt så godt. Jeg havde tilføjet https version med *.molio.dk. Efter at have undersøgt det nærmere opdagede jeg at programmet brugte http udgaven. Så en ændring fra https til http, så kørte det.

Kopieres nedenstående ind i en tekst fil der gemmes med endelsen .reg, så kan den køres direkte for at få et det testet det af.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\molio.dk]
“http”=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\Security\TrustManager\PromptingLevel]
“TrustedSites”=”Enabled”

Uden trustedSites
Efter trustedSites

Vær opmærksom på at når der enables TrustedSites, så vil alle hjemmesider der er i listen have lov at installere ClickOnce programmer. Det kræver dog en handling fra brugerne eller IT for at der bliver tilføjet sider i trustedsites. Jeg vil på det kraftigste fraråde at enable det direkte på “internet” under PromptingLevel, da det så vil være alle sider på internettet der er godkendt til det.

Skal ændringen laves via GPO, så kunne det tidligere håndteres direkte via en politik, men med IE 10 er Internet Explorerer Maintenance (IEM) blevet fjernet. Der kan dog også sættes op så der kan låses ned for at brugerne selv kan tilføje sites.

Under GPO’en “User Configuration -> Preferences -> Windows Settings and Registry” højreklik og tilføj en ny reg entry

Navngivningen er efter domains site navnet. Dvs. website.com herefter kommer så undersiderne, f.eks. www eller * så der kommer til at stå website.com\*\ så vil det være alle http(s)://*.website.com adresser.

Lav endnu en reg entry til promptingLevel, denne er nem, da du kan klikke dig frem til den. Så ændrer du den blot fra Disabled til Enabled.