Zarządzanie ustawieniami Java SE za pomocą zasad grupy

Dzisiaj przyjrzymy się scentralizowanym ustawieniom bezpieczeństwa środowiska Java SE na komputerach firmowych przy użyciu Zasad grupy systemu Windows. Te zasady powinny zapobiegać ładowaniu i uruchamianiu niezaufanych apletów Java i obiektów ActiveX na komputerach firmowych..

Podstawowe zarządzanie ustawieniami bezpieczeństwa Java Wymagania zasad grupy

  • Zasady powinny mieć zastosowanie tylko do komputerów, na których zainstalowana jest Java 6 lub Java 7.
  • Użytkownicy powinni mieć możliwość przeglądania bieżących ustawień w panelu sterowania Java.
  • Bieżące pliki konfiguracyjne Java muszą być przechowywane i replikowane między kontrolerami domeny
  • Musisz utworzyć co najmniej 2 zasady: jedna musi całkowicie zablokować Javę w przeglądarkach, druga - zabrania uruchamiania niepodpisanych apletów.
Wskazówka. Ustawienia poziomu bezpieczeństwa dla niepodpisanych apletów Java, aplikacji Java Web Start i wbudowanych aplikacji JavaFX (które mogą działać w przeglądarce) pojawiły się w Java SE Development Kit 7 Update 10 (JDK 7u10). Dzięki tej aktualizacji użytkownik za pośrednictwem Panelu sterowania Java może zapobiec uruchomieniu dowolnej aplikacji Java w przeglądarce.Treść

Treść

  • Filtr WMI do wybierania komputerów z zainstalowaną Javą
  • Utwórz pliki konfiguracyjne Java
  • Tworzenie zasad grupy zarządzania parametrami Java

Filtr WMI do wybierania komputerów z zainstalowaną Javą

Aby zasady grupy zarządzania Java były stosowane tylko do komputerów z zainstalowanym środowiskiem Java, utworzymy specjalny filtr WMI (więcej o filtrowaniu WMI w zasadach grupy).

Aby to zrobić, otwórz Konsolę zarządzania zasadami grupy i w sekcji Filtry WMI utwórz nowy filtr WMI o nazwie Komputery Java SE 7. Jako opis podaj coś w rodzaju „Dla zasad, które wymagają filtrowania komputerów z zainstalowaną Javą SE 7” i użyj następującego wyrażenia WMI WQL jako zapytania:
Wybierz * Z katalogu win32_Directory gdzie (name = "c: \\ Program Files \\ Java \\ jre7" lub name = "c: \\ Program Files (x86) \\ Java \\ jre7")

Ten filtr przez WMI odpytuje system i jeśli jest folder w katalogach Program Files (x86 i x64) Java \ jre7, wówczas zostaną zastosowane zasady dla takich komputerów.

Analogicznie musisz utworzyć filtr WMI dla Java w wersji 6 (poszukaj katalogu jre6)

Utwórz pliki konfiguracyjne Java

Naszym celem jest stworzenie dwóch zasad bezpieczeństwa Java. Jeden - całkowicie zabrania wykonywania Java w przeglądarkach, drugi - konfiguruje wiele ustawień bezpieczeństwa Java .

Aby przechowywać pliki konfiguracyjne Java w katalogu sysvol na kontrolerze domeny (na przykład \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java), utwórz dwa foldery:

  • Java7Restrict - zawiera pliki konfiguracyjne, które konfigurują określone ustawienia bezpieczeństwa Java
  • Java7Block - katalog do konfigurowania plików blokady Java w przeglądarkach

Aby skonfigurować parametry Jave SE potrzebujemy pliku loyment.config. W tym pliku konfiguracyjnym określ ścieżkę do pliku, korzystając z opcji depl.system.config rozmieszczanie.properties, który definiuje parametry Java dla wszystkich użytkowników systemu (ten plik powinien znajdować się w katalogu% windir% \ Sun \ Java \ Deployment \ obrazu.config i nie zostanie domyślnie utworzony podczas instalacji). Ścieżkę można określić jako adres URL (HTTP lub HTTPS) lub ścieżkę UNC do pliku obrazu wdrażania.properties. Aby uniemożliwić użytkownikom ładowanie indywidualnych ustawień Java, należy określić wartość wdrażania.system.config.mandatory = true .

Wskazówka. Plik konfiguracyjny z osobistymi ustawieniami Java dla tego użytkownika jest przechowywany w jego profilu wzdłuż ścieżki% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ w Windows 7 lub% AppData% \ Sun \ Java \ Deployment \ w XP i domyślnie ten priorytet plik wyższy niż systemowy system. właściwości.

Plik loyment.config w przypadku zasady Java7Restrict może to być:

loyment.system.config = plik \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.propertiesloyment.system.config.mandatory = true

Plik loyment.properties może to wyglądać tak (zakładamy, że poziom bezpieczeństwa Java powinien być ustawiony na Bardzo wysoki, zablokujemy pozostałe ustawienia bezpieczeństwa Java)

loyment.security.level = VERY_HIGH
loyment.security.level.locked
loyment.security.askgrantdialog.notinca = false
loyment.security.askgrantdialog.notinca.locked
loyment.security.notinca.warning = true
loyment.security.notinca.warning.lockedWskazówka. Więcej informacji na temat struktury pliku konfiguracyjnego obrazu wdrażania.properties i jego parametrów można znaleźć w witrynie Java.net w dokumencie Plik konfiguracji właściwości i właściwości lub w dokumentacji na stronie internetowej Oracle (tutaj opisano ustawienie parametru bezpieczeństwa Java za pomocą pliku konfiguracji).

W katalogu \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict utwórz pliki o określonej zawartości.

Stworzymy pliki konfiguracyjne dla zasad blokujących Javę we wszystkich przeglądarkach. Aby to zrobić, dodaj wiersze do pliku obrazu wdrażania.properties

loyment.webjava.enabled = false
loyment.webjava.enabled.locked

Tworzenie zasad grupy zarządzania parametrami Java

Przejdźmy bezpośrednio do tworzenia zasad grupy, które dystrybuują ustawienia bezpieczeństwa Java na komputery organizacji..

Utwórz nowy obiekt zasad grupy (zasadę) o nazwie Java7Ogranicz.

Korzystając z GPP (Preferencje zasad grupy), musimy utworzyć katalog na komputerach użytkowników, w którym będą przechowywane pliki konfiguracyjne z ustawieniami Java. W tym celu w sekcji Konfiguracja komputera GPO -> Preferencje -> Ustawienia systemu Windows -> Foldery utwórz nowy element z parametrami:

  • Akcja: Utwórz
  • Ścieżka:% WinDir% \ Sun \ Java \ Deployment

Następnie musisz skopiować plik konfiguracyjny obrazu wdrażania.config na komputer użytkownika. W tym celu w sekcji Konfiguracja komputera GPO -> Preferencje -> Ustawienia systemu Windows -> Pliki utwórz nowy rekord z parametrami:

  • Akcja: Wymień
  • Plik źródłowy: \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict \loyment.config
  • Plik docelowy:% windir% \ Sun \ Java \ Deployment \ obrazu.config.

Pozostaje we właściwościach zasady jako filtr WMI, aby wybrać filtr, który utworzyliśmy wcześniej Komputery Java SE 7 i połącz (przypisz) politykę do żądanego kontenera (OU).

Po zastosowaniu zasad na komputerach użytkowników otwórz Panel sterowania Java i upewnij się, że poziom bezpieczeństwa Java jest ustawiony na Bardzo wysoki i że wszystkie inne opcje nie są dostępne do edycji przez użytkownika..

Jeśli użytkownik spróbuje pobrać aplet z podpisem własnym lub aplet podpisany za pomocą certyfikatu, który nie znajduje się na liście zaufanych, pojawi się okno ostrzegawcze.

Nie można zweryfikować wydawcy za pomocą zaufanego źródła. Kod będzie traktowany jako niepodpisany.CertificateException: Twoja konfiguracja zabezpieczeń nie zezwala na udzielanie uprawnień do certyfikatów z podpisem własnym.

Podobnie utwórz drugą zasadę Java7Deny, która całkowicie blokuje Javę w przeglądarkach. Po zastosowaniu zasady podczas próby uruchomienia apletu Java w dowolnej przeglądarce pojawia się komunikat:

Aplikacja zablokowana przez ustawienia zabezpieczeń
Twoje ustawienia zabezpieczeń zablokowały uruchomienie samopodpisanej aplikacji.

Obecność wielu poważnych problemów związanych z bezpieczeństwem apletów Java, duża liczba luk w zabezpieczeniach 0day i exploitów dla Javy to dzisiejsza rzeczywistość. Dlatego administratorzy sieci i usługi IS muszą zwracać szczególną uwagę na kwestie bezpieczeństwa w środowisku Java. W dużej sieci najłatwiej to zrobić za pomocą Zasad grupy systemu Windows.

Wskazówka. Aby ukryć przed użytkownikami informacje o potrzebie aktualizacji Java, możesz skorzystać z tej wskazówki. Nie możemy jednak zapominać o potrzebie ciągłej scentralizowanej aktualizacji oprogramowania Java na wszystkich komputerach w organizacji. Zmniejszy to ryzyko wykorzystania luk w starszych wersjach Java.