Danas ćemo pogledati centralizirane sigurnosne postavke za okruženje Java SE na računalima tvrtke pomoću Windows grupnih pravila. Ta pravila trebaju spriječiti da se nepouzdani Java appleti i ActiveX objekti ne učitavaju i pokreću na računalima tvrtke..
Osnovni preduvjeti za upravljanje grupnim sigurnosnim postavkama Java
- Pravilo se treba odnositi samo na strojeve na kojima je instaliran Java 6 ili Java 7.
- Korisnici bi trebali moći vidjeti trenutne postavke na Java upravljačkoj ploči.
- Trenutačne datoteke konfiguracije Java moraju se pohraniti u i ponoviti između kontrolera domena
- Morate stvoriti najmanje 2 pravila: jedno mora u potpunosti blokirati Javu u preglednicima, drugo - zabranjuje pokretanje nepotpisanih apleta.
sadržaj:
- WMI filter za odabir računala s instaliranom Javom
- Izradite konfiguracijske datoteke Java
- Stvaranje pravila upravljanja Java parametrima
WMI filter za odabir računala s instaliranom Javom
Kako bi se Java Group Group Policy primijenila samo na računala s instaliranim Java okruženjem, stvorit ćemo poseban WMI filter (više o WMI filtriranju u grupnim pravilima).
Da biste to učinili, otvorite konzolu za upravljanje grupnim politikama i u odjeljku WMI Filteri stvorite novi WMI filter s nazivom Računala Java SE 7. Kao opis navedite nešto poput "Za pravila koja zahtijevaju filtriranje računala sa instaliranim Java SE 7", a kao upit koristite sljedeći WMI WQL izraz:Odaberite * Iz win32_Directory gdje (ime = "c: \\ programske datoteke \\ Java \\ jre7" ili ime = "c: \\ programske datoteke (x86) \\ Java \\ jre7")
Ovaj filter putem WMI-a ispituje sustav i ako postoji mapa u direktorijima Programske datoteke (x86 i x64) Java \ jre7, tada će se primijeniti pravilo za takva računala.
Analogno tome, morate stvoriti WMI filter za verziju Java 6 (potražite direktorij jre6)
Izradite konfiguracijske datoteke Java
Naš je cilj stvoriti dvije sigurnosne politike Java. Jedno - u potpunosti zabranjuje izvršavanje Java u preglednicima, drugo - konfigurira brojne Java sigurnosne postavke .
Za spremanje Java konfiguracijskih datoteka u sysvol direktorij na kontroler domene (na primjer, \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java), stvorite dvije mape:
- Java7Restrict - sadrži konfiguracijske datoteke koje konfiguriraju određene Java sigurnosne postavke
- Java7Block - direktorij za konfiguriranje Java zaključavanja datoteka u preglednicima
Za konfiguriranje parametara Jave SE potrebna nam je datoteka deployment.config. U ovoj konfiguracijskoj datoteci pomoću opcije implementation.system.config odredite put do datoteke deployment.properties, koji definira Java parametre za sve korisnike sustava (ova bi se datoteka trebala nalaziti u direktoriju% windir% \ Sun \ Java \ Deployment \ implementacija.config i neće se tvornički postavljati tijekom instalacije). Put se može specificirati kao URL (HTTP ili HTTPS) ili kao UNC put do datoteke za implementaciju.properties. Da biste spriječili korisnike da učitavaju pojedinačne Java postavke, morate navesti implementiranje.system.config.mandatory = true .
vijeće. Konfiguracijska datoteka s Java osobnim postavkama za ovog korisnika pohranjuje se u njegovom profilu duž putanje% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ u sustavu Windows 7 ili% AppData% \ Sun \ Java \ Deployment \ u XP-u i prema zadanom ovom prioritetu datoteka viša od implementacije sustava.properties.datoteka deployment.config za Java7Reststric pravila to može biti:
implementacija.system.config = datoteka \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties implementacija.system.config.mandatory = istina
datoteka deployment.properties To može izgledati ovako (pretpostavljamo da bi razina sigurnosti Java trebala biti postavljena na Vrlo visoka, blokirat ćemo druge Java sigurnosne postavke)
implementacija.security.level = VRLO_HIGHdeployment.security.level.locked
implementiranje.security.askgrantdialog.notinca = netočno
deployment.security.askgrantdialog.notinca.locked
implementiranje.security.notinca.warning = istina
deployment.security.notinca.warning.lockedvijeće. Možete saznati više o strukturi konfiguracijske datoteke implementiranja.properties i njezinim parametrima na Java.net-u u dokumentu Datoteka i svojstva konfiguracije postavljanja ili u dokumentaciji na web mjestu Oracle (postavljanje Java sigurnosnog parametra pomoću konfiguracijske datoteke opisano je ovdje).
U direktoriju \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java \ Java7Ograničenje stvorite datoteke s navedenim sadržajem.
Napravit ćemo konfiguracijske datoteke za pravilo koje blokira Javu u svim preglednicima. Da biste to učinili, dodajte retke u datoteku implementiranja.properties
implementation.webjava.enabled = falsedeployment.webjava.enabled.locked
Stvaranje pravila upravljanja Java parametrima
Krenimo izravno na kreiranje grupnih pravila koja distribuiraju sigurnosne postavke Java na računala organizacije..
Izradite novi GPO (policy) pod nazivom Java7ograničiti.
Koristeći GPP (postavke grupe pravila), trebamo stvoriti direktorij na računalima korisnika u koji će se pohraniti konfiguracijske datoteke s Java postavkama. Za to, u odjeljku Konfiguracija GPO računala -> Postavke -> Postavke sustava Windows -> Mape stvorite novi element s parametrima:
- akcija: Stvori
- put:% WinDir% \ Sun \ Java \ Deployment
Zatim trebate kopirati konfiguracijsku datoteku implementation.config na korisničko računalo. Za to, u odjeljku Konfiguracija GPO računala -> Postavke -> Postavke sustava Windows -> Datoteke stvorite novi zapis s parametrima:
- akcija: Zamijeni
- Izvorna datoteka: \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java \ Java7Restrict \ implementacija.config
- Datoteka odredišta:% windir% \ Sun \ Java \ Deployment \ implementacija.config.
Na svojstvima pravila kao WMI filtra ostaje odabir filtra koji smo prethodno stvorili Računala Java SE 7 i povezati (dodijeliti) pravila s željenim spremnikom (OU).
Nakon primjene pravila na računalima korisnika, otvorite Java Control Panel i provjerite je li razina sigurnosti Jave postavljena na Very High i da sve ostale opcije nisu dostupne za uređivanje od strane korisnika..
Ako korisnik pokuša preuzeti samopotpisan aplet ili aplet potpisan sa certifikatom koji nije na popisu pouzdanog, pojavit će se prozor upozorenja.
Izdavača ne može potvrditi pouzdan izvor. Kôd će se tretirati kao nepotpisan.CertificateExeption: Vaša sigurnosna konfiguracija neće dopustiti davanje dozvola za samopotpisane certifikate.
Slično tome, kreirajte drugu politiku Java7Deny koja u potpunosti blokira Javu u preglednicima. Nakon primjene pravila, kada pokušate pokrenuti Java applet u bilo kojem pregledniku, pojavljuje se poruka:
Aplikacija blokirana sigurnosnim postavkamaVaše sigurnosne postavke blokirale su pokretanje aplikacije s vlastitim potpisom.
Prisutnost mnogih ozbiljnih sigurnosnih problema sa Java aplikacijama, velik broj ranjivosti i 0 dana ranjivosti za Javu su današnje stvarnosti. Stoga mrežni administratori i usluge IS-a trebaju obratiti veliku pozornost na sigurnosna pitanja u Java okruženju. U velikoj mreži najlakši način za to je pomoću grupnih pravila sustava Windows.
vijeće. Da biste sakrili informacije od korisnika o potrebi ažuriranja Java, možete koristiti ovaj savjet. No, ne smijemo zaboraviti na potrebu kontinuiranog centraliziranog ažuriranja Jave na svim računalima u organizaciji. To će umanjiti rizik iskorištavanja ranjivosti u starijim verzijama Java.