Mengelola Pengaturan Java SE Menggunakan Kebijakan Grup

Hari ini kita akan melihat pengaturan keamanan terpusat untuk lingkungan Java SE pada komputer perusahaan menggunakan Kebijakan Grup Windows. Kebijakan ini harus mencegah applet Java dan objek ActiveX yang tidak tepercaya memuat dan berjalan di komputer perusahaan..

Persyaratan Dasar Manajemen Keamanan Jawa Kebijakan Grup Manajemen

  • Kebijakan hanya berlaku untuk mesin yang menginstal Java 6 atau Java 7.
  • Pengguna harus dapat melihat pengaturan saat ini di panel kontrol Java.
  • File konfigurasi Java saat ini harus disimpan dan direplikasi di antara pengontrol domain
  • Anda harus membuat setidaknya 2 kebijakan: satu harus sepenuhnya memblokir Java di browser, yang kedua - melarang peluncuran applet yang tidak ditandatangani.
Kiat. Pengaturan keamanan untuk applet Java yang tidak ditandatangani, aplikasi Java Web Start, dan aplikasi JavaFX yang tertanam (yang dapat berjalan di browser) muncul di Java SE Development Kit 7 Pembaruan 10 (JDK 7u10). Berkat pembaruan ini, pengguna melalui Panel Kontrol Java dapat mencegah peluncuran aplikasi Java apa pun di browser.Konten:

Konten:

  • Filter WMI untuk memilih komputer dengan Java yang diinstal
  • Buat file konfigurasi Java
  • Membuat Kebijakan Grup Manajemen Parameter Java

Filter WMI untuk memilih komputer dengan Java yang diinstal

Agar Kebijakan Grup Manajemen Java diterapkan hanya untuk komputer dengan lingkungan Java yang diinstal, kami akan membuat filter WMI khusus (lebih lanjut tentang pemfilteran WMI dalam kebijakan grup).

Untuk melakukan ini, buka Konsol Manajemen Kebijakan Grup dan di bagian Filter WMI buat filter WMI baru dengan nama Java SE 7 Komputer. Sebagai deskripsi, tentukan sesuatu seperti "Untuk kebijakan yang mengharuskan komputer yang memfilter dengan Java SE 7 diinstal", dan gunakan ekspresi WMI WQL berikut sebagai kueri:
Pilih * Dari win32_Directory di mana (name = "c: \\ Program Files \\ Java \\ jre7" atau name = "c: \\ Program Files (x86) \\ Java \\ jre7")

Ini menyaring melalui WMI polling sistem dan jika ada folder di direktori Program Files (x86 dan x64) Java \ jre7, maka kebijakan untuk komputer tersebut akan diterapkan.

Secara analogi, Anda perlu membuat filter WMI untuk Java versi 6 (lihat direktori jre6)

Buat file konfigurasi Java

Tujuan kami adalah membuat dua kebijakan keamanan Java. Satu - sepenuhnya melarang eksekusi Java di browser, yang kedua - mengkonfigurasi sejumlah pengaturan keamanan Java .

Untuk menyimpan file konfigurasi Java di direktori sysvol pada pengontrol domain (misalnya, \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java), buat dua folder:

  • Batasan Java7 - berisi file konfigurasi yang mengonfigurasi pengaturan keamanan Java tertentu
  • Java7Block - direktori untuk mengkonfigurasi file kunci Java di browser

Untuk mengkonfigurasi parameter Jave SE kita perlu file deployment.config. Dalam file konfigurasi ini, menggunakan opsi deployment.system.config, tentukan path ke file deployment.properties, yang mendefinisikan parameter Java untuk semua pengguna sistem (file ini harus terletak di direktori% windir% \ Sun \ Java \ Deployment \ deployment.config dan tidak akan dibuat secara default selama instalasi). Jalur dapat ditentukan sebagai URL (HTTP atau HTTPS) atau jalur UNC ke file deployment.properties. Untuk mencegah pengguna memuat pengaturan Java individual, Anda harus menentukan deployment.system.config.mandatory = true .

Kiat. File konfigurasi dengan pengaturan personal Java untuk pengguna ini disimpan di profilnya di sepanjang path% USERPROFILE% \ AppData \ LocalLow \ Sun \ Java \ Deployment \ di Windows 7 atau% AppData% \ Sun \ Java \ Deployment \ di XP dan secara default prioritas ini file lebih tinggi dari system deployment.properties.

File deployment.config untuk kebijakan Java7Restrict, ini mungkin:

deployment.system.config = file \: //winitpro.ru/SYSVOL/winitpro.ru/scripts/Java/Java7Restrict/deployment.properties deployment.system.config.mandatory = true

File properti deployment mungkin terlihat seperti ini (kami berasumsi bahwa tingkat keamanan Java harus diatur ke Sangat Tinggi, kami akan memblokir sisa pengaturan keamanan Java)

deployment.security.level = VERY_HIGH
deployment.security.level.locked
deployment.security.askgrantdialog.notinca = false
deployment.security.askgrantdialog.notinca.locked
deployment.security.notinca.warning = true
deployment.security.notinca.warning.lockedKiat. Anda dapat mempelajari lebih lanjut tentang struktur file konfigurasi deployment.properties dan parameternya di Java.net di dokumen Konfigurasi File dan Properti penyebaran atau dalam dokumentasi di situs web Oracle (pengaturan parameter keamanan Java menggunakan file konfigurasi dijelaskan di sini).

Dalam \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict direktori, buat file dengan konten yang ditentukan.

Kami akan membuat file konfigurasi untuk kebijakan yang memblokir Java di semua browser. Untuk melakukan ini, tambahkan baris ke file deployment.properties

deployment.webjava.enabled = false
deployment.webjava.enabled.locked

Membuat Kebijakan Grup Manajemen Parameter Java

Mari kita lanjutkan langsung ke pembuatan kebijakan grup yang memperluas pengaturan keamanan Java ke komputer organisasi..

Buat GPO (kebijakan) baru bernama Java7Batasi.

Menggunakan GPP (Group Policy Preferences), kita perlu membuat direktori pada komputer pengguna di mana file konfigurasi dengan pengaturan Java akan disimpan. Untuk ini, di bagian Konfigurasi Komputer GPO -> Preferensi -> Pengaturan Windows -> Folder buat elemen baru dengan parameter:

  • Aksi: Buat
  • Path:% WinDir% \ Sun \ Java \ Deployment

Selanjutnya, Anda perlu menyalin file konfigurasi deployment.config ke komputer pengguna. Untuk ini, di bagian Konfigurasi Komputer GPO -> Preferensi -> Pengaturan Windows -> File buat catatan baru dengan parameter:

  • Aksi: Ganti
  • File sumber: \\ winitpro.ru \ sysvol \ winitpro.ru \ scripts \ Java \ Java7Restrict \ deployment.config
  • File tujuan:% windir% \ Sun \ Java \ Deployment \ deployment.config.

Tetap dalam properti kebijakan sebagai filter WMI untuk memilih filter yang kami buat sebelumnya Java SE 7 Komputer dan menautkan (menetapkan) kebijakan ke wadah yang diinginkan (OU).

Setelah menerapkan kebijakan pada komputer pengguna, buka Java Control Panel dan pastikan bahwa tingkat keamanan Java diatur ke Sangat Tinggi dan bahwa semua opsi lain tidak tersedia untuk diedit oleh pengguna..

Jika pengguna mencoba mengunduh applet yang ditandatangani sendiri, atau applet yang ditandatangani dengan sertifikat yang tidak ada dalam daftar tepercaya, jendela peringatan akan muncul.

Penerbit tidak dapat diverifikasi oleh sumber tepercaya. Kode akan diperlakukan sebagai tidak ditandatangani.CertificateExeption: Konfigurasi keamanan Anda tidak akan mengizinkan pemberian izin untuk sertifikat yang ditandatangani sendiri.

Demikian pula, buat kebijakan Java7Deny kedua yang sepenuhnya memblokir Java di browser. Setelah menerapkan kebijakan, ketika Anda mencoba menjalankan applet Java di browser apa pun, sebuah pesan muncul:

Aplikasi Diblokir oleh Pengaturan Keamanan
Pengaturan keamanan Anda telah memblokir aplikasi yang ditandatangani sendiri agar tidak berjalan.

Kehadiran banyak masalah keamanan serius dengan applet Java, sejumlah besar kerentanan 0day dan eksploitasi untuk Jawa adalah kenyataan saat ini. Oleh karena itu, administrator jaringan dan layanan IS perlu memperhatikan dengan cermat masalah keamanan di lingkungan Java. Dalam jaringan besar, cara termudah untuk melakukan ini adalah dengan Kebijakan Grup Windows.

Kiat. Untuk menyembunyikan informasi dari pengguna tentang perlunya memperbarui Java, Anda dapat menggunakan tip ini. Tetapi kita tidak boleh lupa tentang perlunya pembaruan Java yang terpusat secara terus-menerus pada semua komputer dalam organisasi. Ini akan mengurangi risiko mengeksploitasi kerentanan di versi java yang lebih lama.