Bagaimana saya bisa membatasi plugin java untuk berjalan hanya di situs tertentu di Internet Explorer?

10

Saya ingin mengamankan komputer yang dikelola secara terpusat dengan lebih baik dan sangat sulit untuk menggunakan runtime java secara otomatis, tetapi bagaimana melakukannya adalah pertanyaan lain.

Saya menemukan keamanan bencana Jawa, bahkan jika itu sepenuhnya ditambal: Sepertinya pengguna mengatakan ya untuk pertanyaan tidak bersalah "Apakah Anda mempercayai sertifikat ini", java dapat melakukan apa pun yang diinginkannya. Java webstart juga tampaknya menjadi titik masuk universal bagi pembuat malware.

Secara umum, saya tidak peduli dengan pengguna saya yang bermain game browser, dll. Applet Java sepertinya sudah punah.

Tetapi ada satu halaman tersisa (sistem belanja Ingramm Micro) yang bergantung pada Jawa.

Apakah ada yang tahu cara mudah untuk mengkonfigurasi IE atau java melalui kebijakan grup untuk hanya mengizinkan plugin java di situs yang sudah dikonfigurasikan sebelumnya?

Terima kasih!

Kristen
sumber
Oracle memberikan JRE sebagai MSI, ini membuat depeloyment / pembaruan cukup sederhana.
jscott

Jawaban:

12

Pertanyaan yang sangat bagus Ironisnya, fungsi ini terekspos di Microsoft JVM yang lebih lama (10 tahun yang lalu).

Mengontrol Java di Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Baru-baru ini, ada beberapa minat dalam bagaimana mengontrol penggunaan Java dalam Internet Explorer. Java adalah bentuk unik dari ekstensibilitas karena dapat digunakan dalam dua cara:

  • Menggunakan elemen APPLET
  • Menggunakan elemen OBJECT dengan CLSID dari JVM

Dua metode doa ini tunduk pada kontrol keamanan yang berbeda, yang akan saya jelaskan di posting hari ini.

Mengontrol Tag Applet

Ketika Internet Explorer menemukan tag APPLET, ia memeriksa nilai URLACTION_JAVA_PERMISSIONS untuk menentukan apakah APPLET harus dimuat. Jika nilainya URL_POLICY_JAVA_PROHIBIT, maka tag APPLET dicegah memuat JVM. Dalam versi Internet Explorer yang lebih lama, ketika Microsoft JVM tersedia, URLAction ini diekspos pada dialog Tools> Internet Options> Security> Custom…, tetapi sejak itu telah dihapus.

Anda dapat menggunakan Editor Kebijakan Grup untuk mengontrol URLAction di bawah node \ Administrative Templates \ Windows Components \ Internet Explorer \ Internet Control Panel \ Security Page \ ZoneID:

masukkan deskripsi gambar di sini

Atau, Anda dapat membuat tweak registri kecil untuk menambahkan entri Opsi JVM kembali ke Panel Kontrol Internet:

masukkan deskripsi gambar di sini

Skrip registri mengambil keuntungan dari fakta bahwa Internet Control Panel UI dapat diperluas melalui registri; itu hanya membuat item baru yang menyesuaikan nilai URLACTION_JAVA_PERMISSIONS URLAction.

Jika Anda menyesuaikan pengaturan Zona Internet dari “Keamanan Tinggi” ke Nonaktif (URL_POLICY_JAVA_PROHIBIT) situs mana pun yang mencoba menggunakan tag APPLET akan menemukan bahwa applet tidak memuat dan pemberitahuan ditampilkan:

masukkan deskripsi gambar di sini

Mengontrol Tag Objek

Sayangnya, ketika situs menggunakan tag OBJECT untuk memuat Java, codepath yang sama sekali berbeda dijalankan. Dalam kasus tag OBJECT, JAVA_PERMISSIONS URLAction tidak dikonsultasikan, karena sejauh menyangkut Internet Explorer, ini mungkin jenis OBJECT. Sebagai gantinya, fitur pengendali ActiveX tradisional dikonsultasikan (misalnya Penyaringan ActiveX, Per-Site ActiveX, Kelola Add-on, dll). Anda dapat menggunakan Alat IE> Kelola fitur Add-ons untuk memeriksa atau menyesuaikan keadaan objek Plug-in Java:

masukkan deskripsi gambar di sini

Catatan: Saya diberitahu bahwa Java Plug-In SSV Helper Browser Helper objek tidak boleh dinonaktifkan, karena memastikan bahwa situs web tidak dapat mencoba memuat versi JVM yang lebih lama (tidak aman) yang mungkin telah Anda instal. Namun, Anda akan melihat bahwa Anda membayar penalti kinerja pada startup tab untuk memuat BHO ini — ini adalah salah satu dari banyak alasan saya tidak menginstal Java pada PC saya.

Jika Anda memilih Java Plug-in, Anda dapat mengklik tombol Nonaktifkan untuk mencegah Java dimuat oleh tag OBJECT. Atau, jika Anda mengklik tautan More Information , Anda dapat menghapus * dari daftar situs yang menjalankan Java Plug-in:

masukkan deskripsi gambar di sini

Jika kemudian Anda mengunjungi situs yang mencoba memanggil Java sebagai tag OBJECT, Anda akan melihat bilah notifikasi yang meminta Anda untuk menjalankan Java di situs saat ini.

Jadi, jika Anda ingin mengizinkan Java hanya berjalan di zona Intranet dan Situs Tepercaya:

  1. Sesuaikan URLAction untuk Zona Internet ke Nonaktifkan
  2. Hapus * dari daftar Per-Site dari ActiveX Control

Langkah # 1 akan memastikan bahwa hanya situs Zona Intranet dan Zona Tepercaya yang dapat memuat Java untuk Tag APPLET. Langkah # 2 akan memastikan bahwa Java Plug-in tidak akan dimuat sebagai OBJECT di situs Zona Internet; notifikasi akan ditampilkan sebagai gantinya. Karena Situs Intranet dan Tepercaya mengabaikan daftar ActiveX Per-Situs, Anda tidak akan melihat peringatan tambahan di situs tersebut.

Greg Askew
sumber
Jawaban Luar Biasa, Greg. Langkah 1 dapat dilakukan melalui Kebijakan Grup, apakah ini juga kasus untuk langkah 2?
Saya melakukan pemeriksaan cepat di spreadsheet pengaturan gpo dan tidak melihatnya. Anda mungkin dapat melakukan perbandingan sebelum dan sesudah registri ketika memodifikasi pengaturan, dan membuat templat adm kustom untuknya.
Greg Askew
Saya akan mencatat beberapa writeups yang mungkin menarik untuk mengelola Java melalui GPO (tapi yang belum sepenuhnya saya ikuti): darkoperator.com/blog/2013/1/14/… dan pendahulunya darkoperator.com/blog /
2013/1/12