Come posso limitare l'esecuzione del plug-in Java solo su determinati siti in Internet Explorer?


10

Voglio proteggere meglio i nostri computer gestiti a livello centrale ed è molto difficile distribuire automaticamente il runtime java, ma come farlo è un'altra domanda.

Trovo catastrofica la sicurezza di Java, anche se è completamente patchata: sembra che se l'utente dice di sì alla domanda innocente "Ti fidi di questo certificato", Java può fare tutto ciò che vuole. Anche il webstart Java sembra essere un punto di accesso universale per gli autori di malware.

In generale, non mi interessa che i miei utenti giochino con i giochi per browser, ecc. Le applet Java sembrano comunque estinte.

Ma è rimasta una pagina (sistema di acquisti Ingramm Micro) che si basa su Java.

Qualcuno conosce un modo semplice per configurare IE o java tramite i criteri di gruppo in modo da consentire i plug-in Java solo su determinati siti preconfigurati?

Grazie!


Oracle predispone JRE come MSI, questo rende il depeloyment / gli aggiornamenti piuttosto semplici.
jscott,

Risposte:


12

Ottima domanda Ironia della sorte, questa stessa funzionalità è stata esposta nella vecchia Microsoft JVM (10 anni fa).

Controllo di Java in Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Di recente, c'è stato un certo interesse su come controllare l'uso di Java in Internet Explorer. Java è una forma unica di estensibilità perché può essere invocato in due modi:

  • Utilizzando un elemento APPLET
  • Utilizzo di un elemento OBJECT con un CLSID di una JVM

Questi due metodi di invocazione sono soggetti a diversi controlli di sicurezza, che descriverò nel post di oggi.

Controllo dei tag applet

Quando Internet Explorer rileva un tag APPLET, verifica il valore URLACTION_JAVA_PERMISSIONS per determinare se caricare APPLET. Se il valore è URL_POLICY_JAVA_PROHIBIT, il tag APPLET non può caricare la JVM. Nelle versioni precedenti di Internet Explorer, quando era disponibile una JVM Microsoft, questa URLAction era esposta nella finestra di dialogo Strumenti> Opzioni Internet> Sicurezza> Personalizzata ... ma da allora è stata rimossa.

È possibile utilizzare l'Editor criteri di gruppo per controllare l'URL Azione sotto il nodo \ Modelli amministrativi \ Componenti di Windows \ Internet Explorer \ Pannello di controllo Internet \ Pagina di sicurezza \ ZoneID:

inserisci qui la descrizione dell'immagine

In alternativa, è possibile apportare una piccola modifica al registro per aggiungere la voce Opzioni JVM al Pannello di controllo Internet:

inserisci qui la descrizione dell'immagine

Lo script del registro sfrutta il fatto che l'interfaccia utente del Pannello di controllo di Internet è estendibile tramite il registro; crea semplicemente un nuovo elemento che regola i valori dell'URL URLACTION_JAVA_PERMISSIONS.

Se si regolano le impostazioni della zona Internet da “Alta sicurezza” su Disabilita (URL_POLICY_JAVA_PROHIBIT), qualsiasi sito che tenta di utilizzare un tag APPLET troverà che l'applet non si carica e viene visualizzata una notifica:

inserisci qui la descrizione dell'immagine

Controllo dei tag degli oggetti

Sfortunatamente, quando un sito utilizza un tag OBJECT per caricare Java, viene eseguito un codepath completamente diverso. Nel caso di tag OBJECT, l'URL JAVA_PERMISSIONS non viene consultata, poiché per quanto riguarda Internet Explorer, potrebbe trattarsi di qualsiasi tipo di OBJECT. Vengono invece consultate le tradizionali funzionalità di controllo ActiveX (ad es. Filtro ActiveX, ActiveX per sito, gestione componenti aggiuntivi, ecc.). È possibile utilizzare la funzionalità Strumenti> Gestione componenti aggiuntivi di IE per esaminare o regolare lo stato dell'oggetto plug-in Java:

inserisci qui la descrizione dell'immagine

Nota: mi viene detto che l'oggetto Helper Browser Helper SSV plug-in Java non deve essere disabilitato, in quanto garantisce che i siti Web non possano tentare di caricare versioni precedenti (non sicure) della JVM eventualmente installata. Tuttavia, noterai che paghi una penalità di prestazione all'avvio della scheda per caricare questo BHO, questo è uno dei tanti motivi per cui non installo Java sul mio PC.

Se si seleziona il plug-in Java, è possibile fare clic sul pulsante Disabilita per impedire che Java venga caricato da un tag OBJECT. In alternativa, se si fa clic sul collegamento Ulteriori informazioni , è possibile cancellare * dall'elenco dei siti in cui è possibile eseguire il plug-in Java:

inserisci qui la descrizione dell'immagine

Se in seguito si visita un sito che tenta di richiamare Java come tag OBJECT, verrà visualizzata una barra di notifica che richiede l'autorizzazione per eseguire Java sul sito corrente.

Pertanto, se si desidera consentire l'esecuzione di Java solo nelle aree Intranet e Siti attendibili:

  1. Regola l'URL Azione per la Zona Internet su Disabilita
  2. Rimuovere * dall'elenco per sito del controllo ActiveX

Il passaggio n. 1 assicurerà che solo i siti della zona Intranet e della zona attendibile possano caricare tag Java per APPLET. Il passaggio n. 2 assicurerà che il plug-in Java non venga caricato come OBJECT su siti Internet Zone; verrà invece mostrata una notifica. Poiché Intranet e siti attendibili ignorano l'elenco ActiveX per sito, non verranno visualizzati ulteriori avvisi su tali siti.


Ottima risposta, Greg. Il passaggio 1 può essere eseguito tramite Criteri di gruppo, è anche il caso del passaggio 2?

Ho fatto un rapido controllo nel foglio di calcolo delle impostazioni degli oggetti Criteri di gruppo e non l'ho visto. Potresti essere in grado di fare un confronto prima e dopo il registro quando modifichi l'impostazione e creare un modello di amministrazione personalizzato per esso.
Greg Askew,

Prenderò nota di un paio di commenti probabilmente interessanti sulla gestione di Java tramite GPO (ma che non ho ancora seguito completamente): darkoperator.com/blog/2013/1/14/… e il suo predecessore darkoperator.com/blog /
2013/1/12
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.