Dnes sa pozrieme na centralizované nastavenia zabezpečenia pre prostredie Java SE na firemných počítačoch pomocou skupinových politík Windows. Tieto zásady by mali zabrániť nedôveryhodným apletom Java a objektom ActiveX v načítavaní a spúšťaní v podnikových počítačoch..
Základné požiadavky politiky riadenia zabezpečenia Java
- Táto zásada by sa mala vzťahovať iba na počítače, na ktorých je nainštalovaná Java 6 alebo Java 7.
- Používatelia by mali mať možnosť zobraziť aktuálne nastavenia na ovládacom paneli Java.
- Aktuálne konfiguračné súbory Java sa musia ukladať a replikovať medzi radičmi domény
- Musíte vytvoriť aspoň 2 pravidlá: jedna musí úplne blokovať Javu v prehľadávačoch, druhá - zakazuje spúšťanie nepodpísaných apletov.
obsah:
- Filter WMI na výber počítačov s nainštalovanou Java
- Vytvorte konfiguračné súbory Java
- Vytvorenie skupinových politík riadenia parametrov Java
Filter WMI na výber počítačov s nainštalovanou Java
Aby bolo možné politiku skupiny Java Management aplikovať iba na počítače s nainštalovaným prostredím Java, vytvoríme špeciálny filter WMI (viac o filtrovaní WMI v skupinových politikách)..
Ak to chcete urobiť, otvorte Konzolu správy politiky skupiny av časti Filtre WMI vytvorte nový filter WMI s názvom Počítače Java SE 7. Ako opis uveďte niečo ako „Pre politiky, ktoré vyžadujú filtrovanie počítačov s nainštalovanou Java SE 7“, a ako dopyt použite nasledujúci výraz WMI WQL:Vyberte * Z adresára win32_Directory kde (name = "c: \\ Program Files \\ Java \\ jre7" alebo name = "c: \\ Program Files (x86) \\ Java \\ jre7")
Tento filter prostredníctvom služby WMI prieskumy systému a ak existuje adresár v priečinkoch Program Files (x86 a x64) Java \ jre7, potom sa bude uplatňovať politika pre tieto počítače.
Analogicky je potrebné vytvoriť filter WMI pre verziu Java 6 (vyhľadajte adresár jre6).
Vytvorte konfiguračné súbory Java
Naším cieľom je vytvoriť dve bezpečnostné politiky Java. Jeden - úplne zakazuje vykonávanie Java v prehliadačoch, druhý - konfiguruje množstvo bezpečnostných nastavení Java .
Ak chcete uložiť konfiguračné súbory Java do adresára sysvol na radiči domény (napríklad \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java), vytvorte dva priečinky:
- Java7Restrict - obsahuje konfiguračné súbory, ktoré konfigurujú konkrétne bezpečnostné nastavenia Java
- Java7Block - adresár na konfiguráciu súborov Java Lock v prehliadačoch
Na konfiguráciu parametrov Jave SE potrebujeme súbor deployment.config. V tomto konfiguračnom súbore pomocou voľby nasadenia.system.config zadajte cestu k súboru deployment.properties, ktorý definuje parametre Java pre všetkých používateľov systému (tento súbor by sa mal nachádzať v adresári% windir% \ Sun \ Java \ Deployment \ nasadenie.config a počas inštalácie sa nebude predvolene vytvárať). Cesta môže byť zadaná ako URL (HTTP alebo HTTPS) alebo cesta UNC k súboru nasadenia.properties. Ak chcete zabrániť používateľom v načítaní jednotlivých nastavení jazyka Java, musíte uviesť nasadeniesystem.config.mandatory = true .
rada. Konfiguračný súbor s osobnými nastaveniami jazyka Java pre tohto používateľa je uložený v jeho profile pozdĺž cesty% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ v systéme Windows 7 alebo% AppData% \ Sun \ Java \ Deployment \ v XP a predvolene je táto priorita súbor vyšší ako systémové nasadenie.properties.súbor deployment.config v prípade politiky Java7Restrict to môže byť:
nasadenie.system.config = file \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties nasadenie.system.config.mandatory = true
súbor deployment.properties môže to vyzerať takto (predpokladáme, že úroveň zabezpečenia Java by mala byť nastavená na Veľmi vysoká, zablokujeme ostatné nastavenia zabezpečenia Java)
nasadenie.security.level = VERY_HIGHdeployment.security.level.locked
nasadenie.security.askgrantdialog.notinca = false
deployment.security.askgrantdialog.notinca.locked
nasadenie.security.notinca.warning = true
deployment.security.notinca.warning.lockedrada. Viac informácií o štruktúre konfiguračného súboru nasadenia.properties a jeho parametroch nájdete na serveri Java.net v dokumente Konfiguračný súbor a vlastnosti nasadenia alebo v dokumentácii na webovej stránke Oracle (nastavenie bezpečnostného parametra Java pomocou konfiguračného súboru je opísané tu).
V adresári \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict vytvorte súbory so zadaným obsahom..
Vytvoríme konfiguračné súbory pre politiku, ktorá blokuje Javu vo všetkých prehľadávačoch. Ak to chcete urobiť, pridajte riadky do súboru nasadenia.properties
nasadenie.webjava.enabled = falsedeployment.webjava.enabled.locked
Vytvorenie skupinových politík riadenia parametrov Java
Prejdime priamo k vytvoreniu skupinových politík, ktoré distribuujú nastavenia zabezpečenia Java do počítačov organizácie..
Vytvorte nový názov GPO (policy) s názvom Java7obmedziť.
Pomocou GPP (Predvoľby skupinovej politiky) musíme na počítačoch používateľov vytvoriť adresár, v ktorom sa budú ukladať konfiguračné súbory s nastaveniami Java. Z tohto dôvodu v časti Konfigurácia počítača GPO -> Predvoľby -> Nastavenia systému Windows -> Zložky vytvoriť nový prvok s parametrami:
- akčné: Vytvoriť
- cesta:% WinDir% \ Sun \ Java \ Deployment
Ďalej musíte skopírovať konfiguračný súbor nasadenia.konfig do počítača používateľa. Z tohto dôvodu v časti Konfigurácia počítača GPO -> Predvoľby -> Nastavenia systému Windows -> Súbory vytvoriť nový záznam s parametrami:
- akčné: Vymeňte
- Zdrojový súbor: \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict \ nasadenie.config
- Cieľový súbor:% windir% \ Sun \ Java \ Deployment \ nasadenie.config.
Vo vlastnostiach politiky zostáva ako filter WMI výber filtra, ktorý sme vytvorili skôr Počítače Java SE 7 a prepojiť (priradiť) politiku s požadovaným kontajnerom (OU).
Po uplatnení politík na počítačoch používateľov otvorte ovládací panel Java a uistite sa, že úroveň zabezpečenia Java je nastavená na veľmi vysokú a že všetky ostatné možnosti nie sú dostupné na úpravy používateľom..
Ak sa používateľ pokúsi stiahnuť applet s vlastným podpisom alebo applet podpísaný certifikátom, ktorý nie je v dôveryhodnom zozname, zobrazí sa varovné okno..
Vydavateľ nemôže overiť dôveryhodný zdroj. S kódom sa bude zaobchádzať ako s nepodpísaným.CertifikátExeption: Vaša konfigurácia zabezpečenia neumožňuje udelenie povolenia na certifikáty s vlastným podpisom.
Podobne vytvorte druhú politiku Java7Deny, ktorá úplne blokuje Javu v prehľadávačoch. Po uplatnení tejto zásady sa pri pokuse o spustenie apletu Java v ktoromkoľvek prehliadači zobrazí správa:
Aplikácia je zablokovaná nastavením zabezpečeniaVaše nastavenia zabezpečenia blokujú spustenie aplikácie s vlastným podpisom.
Existencia mnohých vážnych bezpečnostných problémov s Java appletmi, veľké množstvo zraniteľností a zneužitia Java pre Java je realitou dnes. Preto musia správcovia sietí a služby IS venovať osobitnú pozornosť problémom so zabezpečením v prostredí Java. V rámci veľkej siete je najjednoduchší spôsob, ako to dosiahnuť, pomocou skupinových zásad Windows.
rada. Ak chcete skryť informácie od používateľov o potrebe aktualizácie Java, môžete použiť tento tip. Nesmieme však zabudnúť na potrebu neustálej centralizovanej aktualizácie Java na všetkých počítačoch v organizácii. Tým sa zníži riziko zneužitia zraniteľností v starších verziách javy.
