ClickOnce 架構 與 更佳 的 安全設定方法

Tom 找我去客戶端 談一場 ClickOnce... 其實 我真的很喜歡這個架構~

只是 客戶 不是省油的燈.. 問題已經直搗 核心的 管理問題... 為什麼呢 ?

 

ClickOnce 是 .NET 2.0 很棒的一個 佈署架構. 透過這個架構，你可以很方便的將 視窗等應用程式 掛載 在網路端

讓過去 需要 先下載在安裝的過程 直接串接為一個 動作... 顧名思義 "ClickOnce"

更酷的是, 你還可以透過 ClickOnce 核心架構， 自動就做到 版本自動升級的功能...

應用程式 線上遊戲 等等... 我實在覺得是 殺手級的 技術...

 

您可以試試看 安裝 我開發的 單純 Windows AP...

在您確定選擇 安裝以後 只要您登入機器是本機的 Administrator.. 我就會在您的 c drive 下寫個 txt 檔案.

ClickOnce 在出廠時 default 也是採用了 過去 如同信任 ActiveX 的方式一般, 信任 真正的 End User 能夠自我判斷 是否要真的安裝下去.

 

 

但問題在，如果這樣棒的 技術 出現在 企業內的員工, IT 人員可能就不高興了.

因為 如果 每個 員工 都可以簡單 按一下 就可以 安裝 Internet 與 Intranet 上的 AP. 那麼 那些 莫名其妙的 病毒 旋轉木馬等 可能因為 End User 疏忽

就很容易的 by pass 掉所有 .NET 平台中的 Code Access 等 嚴謹的 安全管控...

 

這是個很兩難的問題... "大量推廣" vs. "嚴謹管控" 

幸好 對於 IT 來說, 他是有辦法控制每個企業員工的 面對 ClickOnce 應用程式時 處理的態度的...

只要在每台機器上的 HKLM 加上

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Security\TrustManager\PromptingLevel]
"MyComputer"="Enabled"
"LocalIntranet"="Enabled"
"Internet"="AuthenticodeRequired"
"TrustedSites"="Enabled"
"UntrustedSites"="Disabled"

那麼 當您想安裝 某個 網路上的 "沒有被信任的 Publisher 憑證" 所做出來的 ClickOnce AP.

BinGo.....