Saya ingin mengamankan komputer yang dikelola secara terpusat dengan lebih baik dan sangat sulit untuk menggunakan runtime java secara otomatis, tetapi bagaimana melakukannya adalah pertanyaan lain.
Saya menemukan keamanan bencana Jawa, bahkan jika itu sepenuhnya ditambal: Sepertinya pengguna mengatakan ya untuk pertanyaan tidak bersalah "Apakah Anda mempercayai sertifikat ini", java dapat melakukan apa pun yang diinginkannya. Java webstart juga tampaknya menjadi titik masuk universal bagi pembuat malware.
Secara umum, saya tidak peduli dengan pengguna saya yang bermain game browser, dll. Applet Java sepertinya sudah punah.
Tetapi ada satu halaman tersisa (sistem belanja Ingramm Micro) yang bergantung pada Jawa.
Apakah ada yang tahu cara mudah untuk mengkonfigurasi IE atau java melalui kebijakan grup untuk hanya mengizinkan plugin java di situs yang sudah dikonfigurasikan sebelumnya?
Terima kasih!
sumber
Jawaban:
Pertanyaan yang sangat bagus Ironisnya, fungsi ini terekspos di Microsoft JVM yang lebih lama (10 tahun yang lalu).
Mengontrol Java di Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx
Baru-baru ini, ada beberapa minat dalam bagaimana mengontrol penggunaan Java dalam Internet Explorer. Java adalah bentuk unik dari ekstensibilitas karena dapat digunakan dalam dua cara:
Dua metode doa ini tunduk pada kontrol keamanan yang berbeda, yang akan saya jelaskan di posting hari ini.
Mengontrol Tag Applet
Ketika Internet Explorer menemukan tag APPLET, ia memeriksa nilai URLACTION_JAVA_PERMISSIONS untuk menentukan apakah APPLET harus dimuat. Jika nilainya URL_POLICY_JAVA_PROHIBIT, maka tag APPLET dicegah memuat JVM. Dalam versi Internet Explorer yang lebih lama, ketika Microsoft JVM tersedia, URLAction ini diekspos pada dialog Tools> Internet Options> Security> Custom…, tetapi sejak itu telah dihapus.
Anda dapat menggunakan Editor Kebijakan Grup untuk mengontrol URLAction di bawah node \ Administrative Templates \ Windows Components \ Internet Explorer \ Internet Control Panel \ Security Page \ ZoneID:
Atau, Anda dapat membuat tweak registri kecil untuk menambahkan entri Opsi JVM kembali ke Panel Kontrol Internet:
Skrip registri mengambil keuntungan dari fakta bahwa Internet Control Panel UI dapat diperluas melalui registri; itu hanya membuat item baru yang menyesuaikan nilai URLACTION_JAVA_PERMISSIONS URLAction.
Jika Anda menyesuaikan pengaturan Zona Internet dari “Keamanan Tinggi” ke Nonaktif (URL_POLICY_JAVA_PROHIBIT) situs mana pun yang mencoba menggunakan tag APPLET akan menemukan bahwa applet tidak memuat dan pemberitahuan ditampilkan:
Mengontrol Tag Objek
Sayangnya, ketika situs menggunakan tag OBJECT untuk memuat Java, codepath yang sama sekali berbeda dijalankan. Dalam kasus tag OBJECT, JAVA_PERMISSIONS URLAction tidak dikonsultasikan, karena sejauh menyangkut Internet Explorer, ini mungkin jenis OBJECT. Sebagai gantinya, fitur pengendali ActiveX tradisional dikonsultasikan (misalnya Penyaringan ActiveX, Per-Site ActiveX, Kelola Add-on, dll). Anda dapat menggunakan Alat IE> Kelola fitur Add-ons untuk memeriksa atau menyesuaikan keadaan objek Plug-in Java:
Catatan: Saya diberitahu bahwa Java Plug-In SSV Helper Browser Helper objek tidak boleh dinonaktifkan, karena memastikan bahwa situs web tidak dapat mencoba memuat versi JVM yang lebih lama (tidak aman) yang mungkin telah Anda instal. Namun, Anda akan melihat bahwa Anda membayar penalti kinerja pada startup tab untuk memuat BHO ini — ini adalah salah satu dari banyak alasan saya tidak menginstal Java pada PC saya.
Jika Anda memilih Java Plug-in, Anda dapat mengklik tombol Nonaktifkan untuk mencegah Java dimuat oleh tag OBJECT. Atau, jika Anda mengklik tautan More Information , Anda dapat menghapus * dari daftar situs yang menjalankan Java Plug-in:
Jika kemudian Anda mengunjungi situs yang mencoba memanggil Java sebagai tag OBJECT, Anda akan melihat bilah notifikasi yang meminta Anda untuk menjalankan Java di situs saat ini.
Jadi, jika Anda ingin mengizinkan Java hanya berjalan di zona Intranet dan Situs Tepercaya:
Langkah # 1 akan memastikan bahwa hanya situs Zona Intranet dan Zona Tepercaya yang dapat memuat Java untuk Tag APPLET. Langkah # 2 akan memastikan bahwa Java Plug-in tidak akan dimuat sebagai OBJECT di situs Zona Internet; notifikasi akan ditampilkan sebagai gantinya. Karena Situs Intranet dan Tepercaya mengabaikan daftar ActiveX Per-Situs, Anda tidak akan melihat peringatan tambahan di situs tersebut.
sumber