Днес ще разгледаме централизираните настройки за защита за средата на Java SE на фирмени компютри, използващи групови политики на Windows. Тези правила трябва да предотвратяват ненадеждните Java аплети и ActiveX обекти да се зареждат и работят на компютърните компютри..
Основни изисквания за управление на настройките за защита на Java
- Политиката трябва да се прилага само за машини, на които е инсталирана Java 6 или Java 7.
- Потребителите трябва да могат да виждат текущите настройки в контролния панел на Java.
- Текущите конфигурационни файлове на Java трябва да се съхраняват и реплицират между контролерите на домейни
- Трябва да създадете поне 2 правила: едната трябва напълно да блокира Java в браузърите, втората - забранява стартирането на неподписани аплети.
Съдържание:
- WMI филтър за избор на компютри с инсталирана Java
- Създайте конфигурационни файлове на Java
- Създаване на групови политики за управление на параметри на Java
WMI филтър за избор на компютри с инсталирана Java
За да се прилага груповата политика на Java Management Group само към компютри с инсталирана среда на Java, ще създадем специален WMI филтър (повече за филтрирането на WMI в груповите политики).
За целта отворете конзолата за управление на групови политики и в секцията WMI Филтри създайте нов WMI филтър с името Java SE 7 Компютри. Като описание посочете нещо като "За политики, които изискват филтриране на компютри с инсталирана Java SE 7" и използвайте следния WMI WQL израз като заявка:Изберете * От win32_Directory където (name = "c: \\ Program Files \\ Java \\ jre7" или name = "c: \\ Program Files (x86) \\ Java \\ jre7")
Този филтър чрез WMI проучва системата и ако има директория в директории Program Files (x86 и x64) Java \ jre7, тогава ще се прилага политиката за такива компютри.
По аналогия трябва да създадете WMI филтър за Java версия 6 (потърсете директорията jre6)
Създайте конфигурационни файлове на Java
Нашата цел е да създадем две политики за сигурност на Java. Единият - напълно забранява изпълнението на Java в браузъри, вторият - конфигурира редица настройки за сигурност на Java .
За да съхранявате конфигурационните файлове на Java в директорията sysvol на контролера на домейна (например \\ winitpro.ru \ sysvol \ winitpro.ru \ скриптове \ Java), създайте две папки:
- Java7Restrict - съдържа конфигурационни файлове, които конфигурират специфични настройки за защита на Java
- Java7Block - директория за конфигуриране на Java заключващи файлове в браузъри
За конфигуриране на параметрите на Jave SE се нуждаем от файл deployment.config. В този конфигурационен файл, използвайки опцията на разполагане.system.config, посочете пътя към файла deployment.properties, който определя параметрите на Java за всички потребители на системата (този файл трябва да бъде разположен в директорията% windir% \ Sun \ Java \ Deployment \ implementation.config и няма да бъде създаден по подразбиране по време на инсталация). Пътят може да бъде определен като URL (HTTP или HTTPS) или UNC път към файла на разполагане.properties. За да попречите на потребителите да зареждат отделни настройки на Java, трябва да посочите implementation.system.config.mandatory = true .
съвет. Конфигурационният файл с личните настройки на Java за този потребител се съхранява в неговия профил по пътя% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ в Windows 7 или% AppData% \ Sun \ Java \ Deployment \ в XP и по подразбиране този приоритет файл, по-висок от системното внедряване.properties.досие deployment.config за политика на Java7Restrict това може да бъде:
внедряване.system.config = файл \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties implementation.system.config.mandatory = true
досие deployment.properties може да изглежда така (предполагаме, че нивото на защита на Java трябва да бъде зададено на много високо, ще блокираме останалите настройки на защитата на Java)
implementation.security.level = VERY_HIGHdeployment.security.level.locked
внедряване.security.askgrantdialog.notinca = невярно
deployment.security.askgrantdialog.notinca.locked
implementation.security.notinca.warning = true
deployment.security.notinca.warning.lockedсъвет. Можете да научите повече за структурата на конфигурационния файл на разполагане.properties и неговите параметри на Java.net в документа за конфигурация на файла и свойства на конфигурацията или в документацията на уебсайта на Oracle (настройването на параметъра за защита на Java с помощта на конфигурационния файл е описано тук).
В директорията \\ winitpro.ru \ sysvol \ winitpro.ru \ скриптове \ Java \ Java7Ограничете създайте файловете с посоченото съдържание.
Ще създадем конфигурационни файлове за политиката, която блокира Java във всички браузъри. За да направите това, добавете редове към файла implemen..perperties
implementation.webjava.enabled = falsedeployment.webjava.enabled.locked
Създаване на групови политики за управление на параметри на Java
Нека да продължим директно към създаването на групови политики, които разпространяват настройките за защита на Java на компютрите на организацията..
Създайте нов GPO (политика) с име Java7Ограничаване.
Използвайки GPP (предпочитания за групови правила), трябва да създадем директория на компютрите на потребителите, в която да се съхраняват конфигурационни файлове с настройки на Java. За това в раздела Конфигурация на GPO компютър -> Предпочитания -> Настройки на Windows -> Папки създайте нов елемент с параметри:
- действие: Създайте
- път:% WinDir% \ Sun \ Java \ Разгръщане
След това трябва да копирате конфигурационния файл на разполагане.config на компютъра на потребителя. За това в раздела Конфигурация на GPO компютър -> Предпочитания -> Настройки на Windows -> Файлове създайте нов запис с параметри:
- действие: Сменете
- Изходен файл: \\ winitpro.ru \ sysvol \ winitpro.ru \ скриптове \ Java \ Java7Restrict \ implementacija.config
- Дестинационен файл:% windir% \ Sun \ Java \ Разгръщане \ разгръщане.config.
Остава в свойствата на политиката като WMI филтър да избираме филтъра, който сме създали по-рано Java SE 7 Компютри и свържете (присвойте) политиката към желания контейнер (OU).
След като приложите правила на компютрите на потребителите, отворете контролния панел на Java и се уверете, че нивото на защита на Java е зададено на много високо и че всички други опции не са достъпни за редактиране от потребителя..
Ако потребителят се опита да изтегли самоподписан аплет или аплет, подписан със сертификат, който не е в доверения списък, ще се появи прозорец с предупреждение.
Издателят не може да бъде потвърден от надежден източник. Кодът ще се третира като неподписан.CertificateExeption: Вашата конфигурация за защита няма да позволи даване на разрешение за самоподписани сертификати.
По същия начин създайте втора политика на Java7Deny, която напълно блокира Java в браузърите. След като приложите правилото, когато се опитате да стартирате аплета Java във всеки браузър, се появява съобщение:
Приложението е блокирано от настройките за сигурностВашите настройки за защита блокираха да се стартира самостоятелно подписано приложение.
Наличието на много сериозни проблеми със сигурността на Java аплети, голям брой уязвимости и днешни експлоатации за Java са реалности днес. Следователно мрежовите администратори и ИС услугите трябва да обръщат голямо внимание на въпросите на сигурността в Java средата. В голяма мрежа най-лесният начин да направите това е с групови политики на Windows.
съвет. За да скриете информация от потребителите за необходимостта от актуализиране на Java, можете да използвате този съвет. Но не трябва да забравяме за необходимостта от непрекъснато централизирано актуализиране на Java на всички компютри в организацията. Това ще намали рисковете от използване на уязвимости в по-старите версии на java.