Ma megvizsgáljuk a Java SE környezet központi biztonsági beállításait a vállalati számítógépeknél a Windows csoportházirendek segítségével. Ezeknek a házirendeknek meg kell akadályozniuk, hogy a nem megbízható Java kisalkalmazások és ActiveX objektumok betöltődjenek és futtassák a vállalati számítógépeket..
Alapvető Java biztonsági beállítások kezelési csoportházirend-követelmények
- A házirendnek csak azokra a gépekre kell vonatkoznia, amelyekre a Java 6 vagy a Java 7 telepítve van.
- A felhasználóknak képeseknek kell lenniük a Java vezérlőpulton az aktuális beállítások megtekintésére.
- A jelenlegi Java konfigurációs fájlokat a tartományvezérlők között kell tárolni és replikálni
- Legalább 2 házirendet kell létrehoznia: az egyiknek teljes mértékben blokkolnia kell a Java böngészőben, a második - tiltja az alá nem írt kisalkalmazások indítását.
Tartalom:
- WMI-szűrő a Java telepített számítógépek kiválasztásához
- Hozzon létre Java konfigurációs fájlokat
- Java paraméterkezelési csoport házirendek létrehozása
WMI-szűrő a Java telepített számítógépek kiválasztásához
Annak érdekében, hogy a Java menedzsment csoportházirend csak a Java környezettel telepített számítógépekre vonatkozzon, létrehozunk egy speciális WMI szűrőt (a WMI szűréséről bővebben a csoport politikákban).
Ehhez nyissa meg a Csoportházirend-kezelő konzolt, és a WMI-szűrők szakaszban hozzon létre egy új WMI-szűrőt a névvel Java SE 7 számítógépek. Leírásként adja meg a következőt: „Azokra a házirendekre, amelyek megkövetelik a Java SE 7 telepített számítógépek szűrését”, és használja a következő WMI WQL kifejezést lekérdezésként:Válassza a * lehetőséget a Win32_Directory közül, ahol (name = "c: \\ Program Files \\ Java \\ jre7" vagy name = "c: \\ Program Files (x86) \\ Java \\ jre7")
Ez a WMI-n keresztüli szűrés lekérdezi a rendszert, és ha van egy mappa a Program Files (x86 és x64) könyvtárakban Java \ jre7, akkor az ilyen számítógépekre vonatkozó irányelvet alkalmazzák.
Analógia útján létre kell hoznia egy WMI szűrőt a Java 6-os verziójához (keresse meg a jre6 könyvtárat)
Hozzon létre Java konfigurációs fájlokat
Célunk két Java biztonsági házirend létrehozása. Az egyik - teljesen tiltja a Java végrehajtását a böngészőkben, a második - számos Java biztonsági beállítást konfigurál .
A Java konfigurációs fájlok tárolására a tartományvezérlő sysvol könyvtárában (például \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java) hozzon létre két mappát:
- Java7Restrict - olyan konfigurációs fájlokat tartalmaz, amelyek konkrét Java biztonsági beállításokat konfigurálnak
- Java7Block - könyvtár a Java zár fájlok konfigurálásához böngészőkben
A Jave SE paraméterek konfigurálásához fájlra van szükségünk deployment.config. Ebben a konfigurációs fájlban a deployment.system.config opció használatával adja meg a fájl elérési útját deployment.properties, amely meghatározza a Java paramétereit a rendszer összes felhasználójának (ennek a fájlnak a% windir% \ Sun \ Java \ Deployment \ deployment.config könyvtárban kell lennie, és alapértelmezés szerint nem jön létre a telepítés során). Az elérési út megadható URL-ként (HTTP vagy HTTPS) vagy az UNC elérési útjaként a deployment.properties fájlhoz. Annak megakadályozása érdekében, hogy a felhasználók betöltsék az egyes Java beállításokat, meg kell adnia a deployment.system.config.mandanio = true értéket .
tanács. A felhasználó személyes Java beállításaival ellátott konfigurációs fájlt a profiljában a% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ útvonal mentén, Windows 7-ben vagy% AppData% \ Sun \ Java \ Deployment \ -ben XP-ben tárolják, alapértelmezés szerint ez a prioritás fájl magasabb, mint a system deployment.properties.fájl deployment.config a Java7Restrict házirendnél ez lehet:
deployment.system.config = fájl \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties deployment.system.config.mandancia = true
fájl deployment.properties ez így néz ki (Feltételezzük, hogy a Java biztonsági szintet nagyon magasra kell állítani, blokkoljuk a Java többi biztonsági beállítását)
deployment.security.level = VERY_HIGHdeployment.security.level.locked
deployment.security.askgrantdialog.notinca = false
deployment.security.askgrantdialog.notinca.locked
deployment.security.notinca.warning = igaz
deployment.security.notinca.warning.lockedtanács. További információt a deployment.properties konfigurációs fájl felépítéséről és annak paramétereiről a Java.net webhelyen a Telepítési konfigurációs fájl és tulajdonságok dokumentumban vagy az Oracle webhelyén található dokumentációban találhat (a Java biztonsági paraméter beállítását a konfigurációs fájl segítségével itt ismertetjük)..
A \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict mappában hozza létre a megadott tartalommal rendelkező fájlokat.
Konfigurációs fájlokat hozunk létre annak a házirendnek, amely minden böngészőben blokkolja a Java-t. Ehhez adjon hozzá sorokat a deployment.properties fájlhoz
deployment.webjava.enabled = falsedeployment.webjava.enabled.locked
Java paraméterkezelési csoport házirendek létrehozása
Folytassuk közvetlenül a csoportházirendek létrehozásával, amelyek Java biztonsági beállításokat terjesztnek a szervezet számítógépére..
Hozzon létre egy új GPO (házirend) nevű Java7korlátozása.
A GPP (Csoportházirend-preferenciák) használatával létre kell hoznunk egy könyvtárat a felhasználók számítógépén, ahol a Java-beállításokkal rendelkező konfigurációs fájlok tárolódnak. Erre a szakaszban GPO számítógép konfigurálása -> Beállítások -> Windows beállítások -> Mappák hozzon létre egy új elemet paraméterekkel:
- akció: Létrehozás
- útvonal:% WinDir% \ Sun \ Java \ központi telepítés
Ezután be kell másolnia a deployment.config konfigurációs fájlt a felhasználó számítógépére. Erre a szakaszban GPO számítógép konfigurálása -> Beállítások -> Windows beállítások -> Fájlok hozzon létre egy új rekordot paraméterekkel:
- akció: Cserélje ki
- Forrás fájl: \\ winitpro.ru \ sysvol \ winitpro.ru \ scriptek \ Java \ Java7Restrict \ deployment.config
- Célfájl:% windir% \ Sun \ Java \ Deployment \ deployment.config.
A házirend tulajdonságai között marad WMI-szűrőként a korábban létrehozott szűrő kiválasztása Java SE 7 számítógépek és csatolja (rendelje hozzá) a házirendet a kívánt tárolóhoz (OU).
Miután házirendeket alkalmazott a felhasználók számítógépére, nyissa meg a Java Vezérlőpultot, és ellenőrizze, hogy a Java biztonsági szintje nagyon magasra van-e állítva, és hogy a felhasználó nem szerkesztheti az összes többi beállítást..
Ha a felhasználó megpróbálja letölteni egy önaláírt kisalkalmazást, vagy egy olyan tanúsítvánnyal aláírt kisalkalmazást, amely nem szerepel a megbízható listában, figyelmeztető ablak jelenik meg..
A kiadót nem lehet megbízható forrás alapján ellenőrizni. A kódot aláíratlanul kezelik.CertificateExeption: A biztonsági konfiguráció nem engedélyezi az önaláírt tanúsítványok engedélyének megadását.
Ehhez hasonlóan hozzon létre egy második Java7Deny házirendet, amely teljesen blokkolja a Java böngészőkben való használatát. A házirend alkalmazása után, amikor megpróbálja futtatni a Java kisalkalmazást bármely böngészőben, megjelenik egy üzenet:
A biztonsági beállítások által blokkolt alkalmazásA biztonsági beállítások blokkolták az önaláírt alkalmazás futását.
Számos súlyos biztonsági probléma jelenléte a Java kisalkalmazásokban, a 0-napos biztonsági rések és a Java kihasználtságainak nagy száma a mai valóság. Ezért a hálózati rendszergazdáknak és az IS-szolgáltatásoknak fokozott figyelmet kell fordítaniuk a Java környezet biztonsági kérdéseire. Nagy hálózaton belül ezt a legegyszerűbben a Windows csoportházirenddel lehet elvégezni.
tanács. A tipp segítségével elrejtheti a felhasználóktól a Java frissítés szükségességével kapcsolatos információkat. Nem szabad elfelejtenünk a Java folyamatos központosított frissítésének szükségességét a szervezet összes számítógépén. Ez csökkenti a java régebbi verzióinak sebezhetőségének kihasználásának kockázatát.
