Ich möchte unsere zentral verwalteten Computer besser schützen und es ist sehr schwierig, die Java-Laufzeit automatisch bereitzustellen, aber wie das geht, ist eine andere Frage.
Ich finde die Sicherheit von Java katastrophal, auch wenn es vollständig gepatcht ist: Es sieht so aus, als ob Java zu der unschuldigen Frage "Vertrauen Sie diesem Zertifikat" Ja sagt, Java kann tun, was es will. Java Webstart scheint auch ein universeller Einstiegspunkt für Malware-Autoren zu sein.
Im Allgemeinen ist es mir egal, ob meine Benutzer Browsergames usw. spielen. Java-Applets scheinen ohnehin ausgestorben zu sein.
Es ist jedoch noch eine Seite übrig (Ingramm Micro-Einkaufssystem), die auf Java basiert.
Kennt jemand eine einfache Möglichkeit, IE oder Java über Gruppenrichtlinien so zu konfigurieren, dass Java-Plugins nur auf bestimmten vorkonfigurierten Sites zugelassen werden?
Vielen Dank!
quelle
Antworten:
Ausgezeichnete Frage. Ironischerweise wurde genau diese Funktionalität in der älteren Microsoft JVM (vor 10 Jahren) verfügbar gemacht.
Steuern von Java in Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx
In letzter Zeit gab es ein gewisses Interesse daran, die Verwendung von Java in Internet Explorer zu steuern. Java ist eine einzigartige Form der Erweiterbarkeit, da es auf zwei Arten aufgerufen werden kann:
Diese beiden Aufrufmethoden unterliegen unterschiedlichen Sicherheitskontrollen, die ich im heutigen Beitrag beschreiben werde.
Steuern von Applet-Tags
Wenn Internet Explorer auf ein APPLET-Tag stößt, überprüft es den Wert URLACTION_JAVA_PERMISSIONS, um festzustellen, ob das APPLET geladen werden soll. Wenn der Wert URL_POLICY_JAVA_PROHIBIT lautet, wird verhindert, dass das APPLET-Tag die JVM lädt. In früheren Versionen von Internet Explorer, als eine Microsoft JVM verfügbar war, wurde diese URLAction im Dialogfeld Extras> Internetoptionen> Sicherheit> Benutzerdefiniert ... angezeigt, wurde jedoch inzwischen entfernt.
Mit dem Gruppenrichtlinien-Editor können Sie die URLAction unter dem Knoten \ Administrative Vorlagen \ Windows-Komponenten \ Internet Explorer \ Internet-Systemsteuerung \ Sicherheitsseite \ ZoneID steuern:
Alternativ können Sie eine kleine Registrierungsoptimierung vornehmen, um den Eintrag JVM-Optionen wieder zur Internet-Systemsteuerung hinzuzufügen :
Das Registrierungsskript nutzt die Tatsache, dass die Benutzeroberfläche der Internetsteuerung über die Registrierung erweiterbar ist. Es wird einfach ein neues Element erstellt, das die Werte der URLACTION_JAVA_PERMISSIONS URLAction anpasst.
Wenn Sie die Internetzoneneinstellungen von "Hochsicherheit" auf "Deaktivieren" (URL_POLICY_JAVA_PROHIBIT) anpassen, stellt jede Site, die versucht, ein APPLET-Tag zu verwenden, fest, dass das Applet nicht geladen wird, und es wird eine Benachrichtigung angezeigt:
Objekt-Tags steuern
Wenn eine Site ein OBJECT-Tag zum Laden von Java verwendet, wird leider ein völlig anderer Codepfad ausgeführt. Im Fall des OBJECT-Tags wird die URLAction JAVA_PERMISSIONS nicht konsultiert, da es sich bei Internet Explorer möglicherweise um eine beliebige Art von OBJECT handelt. Stattdessen werden die herkömmlichen ActiveX-Steuerungsfunktionen konsultiert (z. B. ActiveX-Filterung, ActiveX pro Standort, Add-Ons verwalten usw.). Mit der IE-Funktion Extras> Add-Ons verwalten können Sie den Status des Java-Plug-In-Objekts überprüfen oder anpassen:
Hinweis: Mir wurde mitgeteilt, dass das Java Plug-In-Objekt "SSV Helper Browser Helper" nicht deaktiviert werden sollte, da dadurch sichergestellt wird, dass Websites möglicherweise nicht versuchen, ältere (unsichere) Versionen der von Ihnen installierten JVM zu laden. Sie werden jedoch feststellen, dass Sie beim Start der Registerkarte eine Leistungsstrafe zahlen, um dieses BHO zu laden. Dies ist einer der vielen Gründe, warum ich Java nicht auf meinen PCs installiere.
Wenn Sie das Java-Plug-in auswählen, können Sie auf die Schaltfläche Deaktivieren klicken , um zu verhindern, dass Java von einem OBJECT-Tag geladen wird. Wenn Sie alternativ auf den Link Weitere Informationen klicken , können Sie das * aus der Liste der Sites löschen, auf denen das Java-Plug-In ausgeführt werden kann:
Wenn Sie anschließend eine Site besuchen, die versucht, Java als OBJECT-Tag aufzurufen, wird eine Benachrichtigungsleiste angezeigt, in der Sie aufgefordert werden, Java auf der aktuellen Site auszuführen.
Wenn Sie also zulassen möchten, dass Java nur in den Zonen Intranet und Trusted Sites ausgeführt wird:
Schritt 1 stellt sicher, dass nur Intranet Zone- und Trusted Zone-Sites Java für APPLET-Tags laden dürfen. In Schritt 2 wird sichergestellt, dass das Java-Plug-in nicht als OBJEKT auf Websites der Internetzone geladen wird. Stattdessen wird eine Benachrichtigung angezeigt. Da Intranet- und vertrauenswürdige Sites die ActiveX-Liste pro Standort ignorieren, werden auf diesen Sites keine zusätzlichen Warnungen angezeigt.
quelle