Upravljanje nastavitev Java SE z uporabo skupinskih politik

Danes si bomo ogledali centralizirane varnostne nastavitve za okolje Java SE na računalnikih podjetij z uporabo skupinskih pravilnikov Windows. Te politike bi morale preprečiti, da bi se nezaupljivi Java-javni appleti in ActiveX predmeti nalagali in izvajali na računalnikih podjetja..

Osnovne zahteve za upravljanje varnostnih nastavitev Java

  • Pravilnik mora veljati samo za naprave, na katerih je nameščena Java 6 ali Java 7.
  • Uporabniki bi si morali ogledati trenutne nastavitve na nadzorni plošči Java.
  • Trenutne konfiguracijske datoteke Java morajo biti shranjene v in podvojene med krmilniki domen
  • Ustvariti morate vsaj 2 pravilnika: eden mora v celoti blokirati Java v brskalnikih, drugi - prepoveduje zagon nepodpisanih programčkov.
Namig. Nastavitve ravni varnosti za nepodpisane Java-javne aplete, aplikacije Java Web Start in vgrajene aplikacije JavaFX (ki se lahko zaženejo v brskalniku) so se pojavile v različici 10 za posodobitev 10 Java SE (JDK 7u10). Zahvaljujoč tej posodobitvi lahko uporabnik prek nadzorne plošče Java prepreči zagon katere koli Java aplikacije v brskalniku.Vsebina:

Vsebina:

  • WMI filter za izbiro računalnikov z nameščeno Javo
  • Ustvari konfiguracijske datoteke Java
  • Ustvarjanje pravilnikov skupine za upravljanje parametrov Java

WMI filter za izbiro računalnikov z nameščeno Javo

Da bomo politiko skupin za upravljanje Java uporabili samo na računalnikih z nameščenim okoljem Java, bomo ustvarili poseben filter WMI (več o filtriranju WMI v skupinskih pravilnikih).

Če želite to narediti, odprite konzolo za upravljanje skupinskih pravilnikov in v razdelku Filmi WMI ustvarite nov filter WMI z imenom Računalniki Java SE 7. Kot opis podajte nekaj takega, kot je "Za pravilnike, ki zahtevajo filtriranje računalnikov z nameščenim Java SE 7" in kot poizvedbo uporabite naslednji izraz WMI WQL:
Izberite * Iz win32_Directory kjer (ime = "c: \\ programske datoteke \\ Java \\ jre7" ali ime = "c: \\ programske datoteke (x86) \\ Java \\ jre7")

Ta filter prek WMI anketira sistem in če v mapah Programskih datotek (x86 in x64) obstaja mapa Java \ jre7, potem se bo uporabljal pravilnik za take računalnike.

Po analogiji morate ustvariti filter WMI za različico Java 6 (poiščite imenik jre6)

Ustvari konfiguracijske datoteke Java

Naš cilj je ustvariti dve varnostni politiki Java. Ena - popolnoma prepoveduje izvajanje Java v brskalnikih, druga - konfigurira številne varnostne nastavitve Jave .

Če želite shraniti konfiguracijske datoteke Java v imenik sysvol na krmilniku domene (na primer \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java), ustvarite dve mapi:

  • Java7Restrict - vsebuje konfiguracijske datoteke, ki konfigurirajo posebne varnostne nastavitve Java
  • Java7Block - imenik za konfiguriranje datotek Java zaklepanje v brskalnikih

Za konfiguracijo parametrov Jave SE potrebujemo datoteko razmestitev.config. V tej konfiguracijski datoteki z možnostjo implementacije.system.config podajte pot do datoteke razmestitev.properties, ki določa parametre Java za vse uporabnike sistema (ta datoteka naj se nahaja v direktoriju% windir% \ Sun \ Java \ Deployment \ implementacija.config in med namestitvijo ne bo ustvarjena privzeto). Pot lahko določite kot URL (HTTP ali HTTPS) ali pot UNC do datoteke implementiranja.properties. Če želite preprečiti, da bi uporabniki naložili posamezne nastavitve Java, morate določiti implementacijo.system.config.mandatory = true .

Namig. Konfiguracijska datoteka z osebnimi nastavitvami Jave za tega uporabnika se shrani v njegov profil vzdolž poti% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ v sistemu Windows 7 ali% AppData% \ Sun \ Java \ Deployment \ v XP in privzeto to prednostno nalogo datoteka višja od sistemske implementacije.properties.

Datoteka razmestitev.config za pravilnik Java7Restrict je to lahko:

implementacija.system.config = datoteka \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties implementacija.system.config.mandatory = true

Datoteka uvajanje.properties lahko izgleda tako (predpostavimo, da mora biti raven varnosti Java nastavljena na zelo visoko, blokirali bomo ostale varnostne nastavitve Jave)

implementacija.security.level = VELIKO_HIGH
razmestitev.security.level.locked
implementacija.security.askgrantdialog.notinca = false
razmestitev.security.askgrantdialog.notinca.locked
implementacija.security.notinca.warning = res
razmestitev.security.notinca.warning.lockedNamig. Več o strukturi konfiguracijske datoteke za namestitev.properties in njenih parametrih lahko najdete na Java.net v dokumentu Konfiguracijska datoteka in lastnosti namestitve ali v dokumentaciji na spletnem mestu Oracle (nastavitev varnostnega parametra Java s konfiguracijsko datoteko je opisana tukaj).

V imeniku \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java \ Java7Opozorite datoteke ustvarite datoteke s podano vsebino.

Ustvarili bomo konfiguracijske datoteke za pravilnik, ki blokira Java v vseh brskalnikih. Če želite to narediti, dodajte vrstice v datoteko implementacija.properties

implementacija.webjava.enabled = napačna
razmestitev.webjava.enabled.locked

Ustvarjanje pravilnikov skupine za upravljanje parametrov Java

Nadaljujmo neposredno k ustvarjanju skupinskih pravilnikov, ki distribuirajo varnostne nastavitve Jave v računalnike organizacije..

Ustvarite nov GPO (pravilnik) z imenom Java7Omeji.

Z uporabo GPP (Group Policy Preferences) moramo na uporabnikovih računalnikih ustvariti imenik, v katerem bodo shranjene konfiguracijske datoteke z nastavitvami Java. Za to v razdelku Konfiguracija računalnika GPO -> Nastavitve -> Nastavitve sistema Windows -> Mape ustvarite nov element s parametri:

  • Ukrep: Ustvari
  • Pot:% WinDir% \ Sun \ Java \ Umestitev

Nato morate kopirati konfiguracijsko datoteko implementacija.config v računalnik uporabnika. Za to v razdelku Konfiguracija računalnika GPO -> Nastavitve -> Nastavitve sistema Windows -> Datoteke ustvarite nov zapis s parametri:

  • Ukrep: Zamenjaj
  • Izvorna datoteka: \\ winitpro.ru \ sysvol \ winitpro.ru \ skripte \ Java \ Java7Restrict \ implementacija.config
  • Namenska datoteka:% windir% \ Sun \ Java \ Deployment \ implementacija.config.

V lastnostih pravilnika kot filtra WMI ostane izbrati filter, ki smo ga ustvarili prej Računalniki Java SE 7 in povezati (dodeliti) pravilnik z želenim vsebnikom (OU).

Po uporabi pravilnikov na uporabnikovih računalnikih odprite nadzorno ploščo Java in se prepričajte, da je raven varnosti Jave nastavljena na zelo visoko in da vse druge možnosti niso na voljo za urejanje s strani uporabnika..

Če uporabnik poskuša prenesti samopodpisan aplet ali aplikacijo, podpisano s potrdilom, ki ni na seznamu zaupanja vrednih, se prikaže okno z opozorilom.

Založnika ne more preveriti zaupanja vreden vir. Koda bo obravnavana kot nepodpisana.CertificateExeption: Vaša varnostna konfiguracija ne bo dovolila odobritve samopodpisanih potrdil.

Podobno ustvarite drugo politiko Java7Deny, ki v brskalnikih popolnoma blokira Javo. Ko uporabite pravilnik, ko poskusite zagnati programček Java v katerem koli brskalniku, se prikaže sporočilo:

Aplikacija blokirana z varnostnimi nastavitvami
Vaše varnostne nastavitve so blokirale samodejno podpisano aplikacijo.

Danes so prisotne številne resne varnostne težave z jabolčnimi apleti, veliko število ranljivosti in podvigov, ki jih uporablja Java. Zato morajo omrežni skrbniki in storitve IS skrbno paziti na varnostna vprašanja v okolju Java. V obsežnem omrežju je to najlažji način s skupinskimi politikami sistema Windows.

Namig. Če želite skriti podatke uporabnikov o potrebi po posodobitvi Jave, lahko uporabite ta nasvet. Ne smemo pa pozabiti na potrebo po nenehnem centraliziranem posodabljanju Jave na vseh računalnikih v organizaciji. To bo zmanjšalo tveganje za izkoriščanje ranljivosti v starejših različicah Java.