Hallo,
ich bin mir nicht sicher, wo ich mit der Frage hinsoll. Hat ein bisschen was von Windows 7, IE9, Deployment und Gruppenrichtlinien. Ich versuche es mal hier.
Per SCCM soll eine Software installiert werden. Dabei wird ein Script (VBS) von einem Share (UNC-Pfad) aufgerufen. Dieses Script startet eine .hta-Datei. Die Software wird mit dem System-Account (NTAUTHORITY\System) installiert.
Beim Ausführen der Installation erscheint eine Sicherheitswarnung. Der Herausgeber der .HTA-Datei konnte nicht verifiziert werden. Ich kann die .hta dennoch starten, aber es ist eben eine unschöne Useraktion nötig. Die .hta ist nicht signiert und zumindest
mit signtool geht das auch nicht. Ein anderer Weg die Meldung weg zu bekommen ist den UND-Pfad zur Intranetzone im IE hinzufügen. Das funktioniert dann auch an sich, jedoch gilt das nur für meinen User (oder die User auf die die GPO wirkt), nicht aber für
den SYSTEM-Account, mit dem ich die Software installiere. Um diesem Problem zu entgegnen habe ich versucht den entsprechenden Registrykey im HKLM-Hive eingetragen, die Einstellung wird aber nicht übernommen. Unter HKCU funktioniert es. Wenn ich die Einstellung
per GPO auf den Computer setze, funktioniert es auch, das kann ich aber nicht weil User weiterhin eigene Adressen zur Intranetzone hinzufügen können sollen. [Derzeit werden dem User per GPP entsprechende Registryeinträge für vordefinierte Intranetseiten zugewiesen.]
Die letzte Möglichkeit, das Problem zu umgehen, die ich gefunden haben habe ist nicht den FQDN beim UNC-Pfad anzugeben. Wenn ich den Hostname oder Domain im UNC-Pfad verwende funktioniert es ebenfalls, doch das wiederum kann ich nicht im SCCM einstellen, der
nimmt da automatisch den FQDN.
Meine erste Frage ist nun, ob das verhalten normal ist. VB-Scripte kann ich ausführen, die HTA danach aber nicht?
Und meine zweite Frage: Habt ihr eine Idee wie ich das Problem doch noch lösen kann? Gibt es beispielsweise eine Möglichkeit grundsätlich .hta-Dateien als sicher anzusehen oder vergleichbares? Oder kann ich .hta-Dateien inklusive Timestamp signieren?
Umgebung: Windows 7, IE9, AD
Ich danke euch.
