Dnes se podíváme na centralizovaná nastavení zabezpečení prostředí Java SE ve firemních počítačích pomocí zásad skupiny Windows. Tyto zásady by měly zabránit nedůvěryhodným apletům Java a objektům ActiveX v načítání a spuštění v podnikových počítačích..
Základní požadavky na správu nastavení zabezpečení Java
- Zásada by se měla vztahovat pouze na počítače, na kterých je nainstalovaná Java 6 nebo Java 7.
- Uživatelé by měli mít možnost zobrazit aktuální nastavení na ovládacím panelu Java.
- Aktuální konfigurační soubory Java musí být uloženy a replikovány mezi řadiči domény
- Musíte vytvořit alespoň 2 zásady: jedna musí zcela blokovat Javu v prohlížečích, druhá - zakazuje spouštění nepodepsaných appletů.
Obsah:
- Filtr WMI pro výběr počítačů s nainstalovanou Java
- Vytvořte konfigurační soubory Java
- Vytvoření zásad skupiny pro správu parametrů Java
Filtr WMI pro výběr počítačů s nainstalovanou Java
Aby bylo možné politiku skupiny Java Management použít pouze na počítače s nainstalovaným prostředím Java, vytvoříme speciální filtr WMI (více o filtrování WMI ve skupinových zásadách).
Chcete-li to provést, otevřete konzolu Správa zásad skupiny a v části Filtry WMI vytvořte nový filtr WMI s názvem Počítače Java SE 7. Jako popis zadejte něco jako „Pro zásady vyžadující filtrování počítačů s nainstalovanou Java SE 7“ a jako dotaz použijte následující výraz WMI WQL:Vyberte * Z adresáře win32_ kde (name = "c: \\ Program Files \\ Java \\ jre7" nebo name = "c: \\ Program Files (x86) \\ Java \\ jre7")
Tento filtr prostřednictvím služby WMI oslovuje systém a v adresářích Program Files (x86 a x64) existuje složka Java \ jre7, pak bude použita politika pro tyto počítače.
Analogicky je třeba vytvořit filtr WMI pro verzi Java 6 (hledejte adresář jre6).
Vytvořte konfigurační soubory Java
Naším cílem je vytvořit dvě bezpečnostní politiky Java. Jeden - zcela zakazuje provádění Java v prohlížečích, druhý - konfiguruje řadu nastavení zabezpečení Java .
Chcete-li uložit konfigurační soubory Java do adresáře sysvol v řadiči domény (například \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java), vytvořte dvě složky:
- Java7Restrict - obsahuje konfigurační soubory, které konfigurují konkrétní nastavení zabezpečení Java
- Java7Block - adresář pro konfiguraci souborů zámku Java v prohlížečích
Ke konfiguraci parametrů Jave SE potřebujeme soubor rozmístění.konfig. V tomto konfiguračním souboru pomocí volby implementace.system.config zadejte cestu k souboru rozmístění.properties, který definuje parametry Java pro všechny uživatele systému (tento soubor by měl být umístěn v adresáři% windir% \ Sun \ Java \ Deployment \ rozmístění.config a během instalace nebude ve výchozím nastavení vytvořen). Cesta může být zadána jako URL (HTTP nebo HTTPS) nebo cesta UNC k souboru rozmístění implementace. Chcete-li uživatelům zabránit v načítání jednotlivých nastavení jazyka Java, musíte zadat rozmístění.system.config.mandatory = true .
Tip. Konfigurační soubor s osobními nastaveními Java pro tohoto uživatele je uložen v jeho profilu podél cesty% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ ve Windows 7 nebo% AppData% \ Sun \ Java \ Deployment \ v XP a ve výchozím nastavení je tato priorita soubor vyšší než systémové nasazení.properties.Soubor rozmístění.konfig u zásad Java7Restrict to může být:
rozmístění.system.config = file \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties rozmístění.system.config.mandatory = true
Soubor nasazení.properties může to vypadat takto (předpokládáme, že úroveň zabezpečení Java by měla být nastavena na Velmi vysoká, zablokujeme zbývající nastavení zabezpečení Java)
rozmístění.security.level = VERY_HIGHnasazení.security.level.locked
rozmístění.security.askgrantdialog.notinca = false
nasazení.security.askgrantdialog.notinca.locked
rozmístění.security.notinca.warning = true
nasazení.security.notinca.warning.lockedTip. Více o struktuře konfiguračního souboru implementace.properties a jeho parametrech se můžete dozvědět na Java.net v dokumentu Deployment Configuration File and Properties nebo v dokumentaci na webu Oracle (nastavení bezpečnostního parametru Java pomocí konfiguračního souboru je popsáno zde).
V adresáři \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict vytvořte soubory se zadaným obsahem.
Vytvoříme konfigurační soubory pro zásadu, která blokuje Javu ve všech prohlížečích. Chcete-li to provést, přidejte řádky do souboru implementace.properties
rozmístění.webjava.enabled = falserozmístění.webjava.enabled.locked
Vytvoření zásad skupiny pro správu parametrů Java
Pojďme přímo k vytvoření skupinových zásad, které distribuují nastavení zabezpečení Java do počítačů organizace..
Vytvořit nový objekt zásad skupiny s názvem Java7Omezit.
Pomocí GPP (Group Policy Preferences) musíme vytvořit adresář na uživatelských počítačích, ve kterém budou uloženy konfigurační soubory s nastavením Java. Za tímto účelem v sekci Konfigurace počítače GPO -> Předvolby -> Nastavení systému Windows -> Složky vytvořit nový prvek s parametry:
- Akce: Vytvořit
- Cesta:% WinDir% \ Sun \ Java \ Deployment
Dále je třeba zkopírovat konfigurační soubor implementace.config do počítače uživatele. Za tímto účelem v sekci Konfigurace počítače GPO -> Předvolby -> Nastavení systému Windows -> Soubory vytvořit nový záznam s parametry:
- Akce: Vyměňte
- Zdrojový soubor: \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict \ rozmístění.config
- Cílový soubor:% windir% \ Sun \ Java \ Deployment \ rozmístění.config.
Ve vlastnostech zásady zůstává jako filtr WMI a vyberte filtr, který jsme vytvořili dříve Počítače Java SE 7 a propojit (přiřadit) zásadu s požadovaným kontejnerem (OU).
Po uplatnění zásad na počítačích uživatelů otevřete Ovládací panel Java a ujistěte se, že úroveň zabezpečení Java je nastavena na Velmi vysoká a že všechny ostatní možnosti nejsou uživatelem dostupné pro úpravy..
Pokud se uživatel pokusí stáhnout applet s vlastním podpisem nebo applet podepsaný certifikátem, který není v důvěryhodném seznamu, zobrazí se varovné okno..
Vydavatel nemůže být ověřen důvěryhodným zdrojem. Kód bude považován za nepodepsaný.CertificateExeption: Vaše konfigurace zabezpečení neumožní udělení oprávnění k certifikátům podepsaným samotným.
Podobně vytvořte druhou politiku Java7Deny, která zcela blokuje Javu v prohlížečích. Po uplatnění zásady se při pokusu o spuštění apletu Java v libovolném prohlížeči zobrazí zpráva:
Aplikace blokována nastavením zabezpečeníNastavení zabezpečení zablokovaly spuštění aplikace s vlastním podpisem.
Existence mnoha závažných bezpečnostních problémů s Java applety, velké množství 0denních zranitelností a zneužití pro Java jsou realitou dneška. Proto musí správci sítě a služby IS věnovat pozornost otázkám zabezpečení v prostředí Java. V rámci velké sítě je nejjednodušší způsob, jak to provést pomocí zásad skupiny Windows.
Tip. Chcete-li před uživateli skrýt informace o nutnosti aktualizace Java, můžete použít tento tip. Nesmíme však zapomenout na potřebu nepřetržité centralizované aktualizace Java na všech počítačích v organizaci. Tím se sníží riziko zneužití zranitelností ve starších verzích javy.
