Como posso restringir o plug-in java para ser executado apenas em determinados sites no Internet Explorer?

10

Desejo proteger melhor nossos computadores gerenciados centralmente e é muito difícil implantar automaticamente o tempo de execução do java, mas como fazer isso é outra questão.

Considero a segurança do Java catastrófica, mesmo que esteja totalmente corrigida: parece que se o usuário responder afirmativamente à pergunta inocente "Você confia neste certificado", o java pode fazer o que quiser. O webstart Java também parece ser um ponto de entrada universal para autores de malware.

Em geral, eu não me importo com meus usuários jogando jogos de navegador etc. Os applets Java parecem estar extintos de qualquer maneira.

Mas resta uma página (sistema de compras da Ingramm Micro) que depende do Java.

Alguém conhece uma maneira fácil de configurar o IE ou java por meio da política de grupo para permitir apenas plug-ins java em determinados sites pré-configurados?

Obrigado!

cristão
fonte
O Oracle fornece o JRE como um MSI, isso simplifica o despacho / atualizações.
jscott

Respostas:

12

Excelente pergunta. Ironicamente, essa mesma funcionalidade foi exposta na Microsoft JVM mais antiga (10 anos atrás).

Controle de Java no Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Recentemente, houve algum interesse em como controlar o uso de Java no Internet Explorer. Java é uma forma exclusiva de extensibilidade porque pode ser invocada de duas maneiras:

  • Usando um elemento APPLET
  • Usando um elemento OBJECT com um CLSID de uma JVM

Esses dois métodos de chamada estão sujeitos a diferentes controles de segurança, que descreverei na postagem de hoje.

Controlando Tags de Applet

Quando o Internet Explorer encontra uma marca APPLET, ele verifica o valor URLACTION_JAVA_PERMISSIONS para determinar se o APPLET deve ser carregado. Se o valor for URL_POLICY_JAVA_PROHIBIT, a tag APPLET será impedida de carregar a JVM. Nas versões anteriores do Internet Explorer, quando uma JVM da Microsoft estava disponível, esse URLAction era exposto na caixa de diálogo Ferramentas> Opções da Internet> Segurança> Personalizada ..., mas foi removida.

Você pode usar o Editor de Diretiva de Grupo para controlar a URLAction no nó \ Modelos Administrativos \ Componentes do Windows \ Internet Explorer \ Painel de Controle da Internet \ Página de Segurança \ ZoneID:

insira a descrição da imagem aqui

Como alternativa, você pode fazer um pequeno ajuste no registro para adicionar a entrada Opções da JVM ao Painel de Controle da Internet:

insira a descrição da imagem aqui

O script do registro tira proveito do fato de que a interface do usuário do Painel de Controle da Internet é extensível via registro; ele simplesmente cria um novo item que ajusta os valores da URLACTION_JAVA_PERMISSIONS URLAction.

Se você ajustar as configurações da Zona da Internet de "Alta segurança" para Desativar (URL_POLICY_JAVA_PROHIBIT), qualquer site que tente usar uma tag APPLET descobrirá que o applet não carrega e uma notificação é exibida:

insira a descrição da imagem aqui

Controlando Tags de Objeto

Infelizmente, quando um site usa uma marca OBJECT para carregar Java, um caminho de código totalmente diferente é executado. No caso da marca OBJECT, a JAVA_PERMISSIONS URLAction não é consultada, porque, no que diz respeito ao Internet Explorer, esse pode ser qualquer tipo de OBJECT. Em vez disso, os recursos tradicionais de controle do ActiveX são consultados (por exemplo, Filtragem ActiveX, ActiveX por site, Gerenciar complementos, etc.). Você pode usar o recurso Ferramentas> Gerenciar complementos do IE para examinar ou ajustar o estado do objeto Java Plug-in:

insira a descrição da imagem aqui

Nota: Foi-me dito que o objeto Auxiliar do Navegador SSV Helper do Plug-in Java não deve ser desativado, pois garante que os sites não tentem carregar versões mais antigas (inseguras) da JVM que você instalou. No entanto, você perceberá que paga uma multa de desempenho na inicialização da guia para carregar este BHO - esse é um dos muitos motivos pelos quais não instalo o Java nos meus PCs.

Se você selecionar o Plug-in Java, poderá clicar no botão Desativar para impedir que o Java seja carregado por uma marca OBJECT. Como alternativa, se você clicar no link Mais informações , poderá limpar o * da lista de sites nos quais o Plug-in Java pode ser executado:

insira a descrição da imagem aqui

Se você visitar um site posteriormente que tentar chamar Java como uma marca OBJECT, verá uma barra de notificação solicitando permissão para executar o Java no site atual.

Portanto, se você deseja permitir que o Java seja executado apenas nas zonas Intranet e Sites Confiáveis:

  1. Ajuste o URLAction para a zona da Internet para desativar
  2. Remova o * da lista por site do controle ActiveX

A etapa 1 garantirá que apenas sites da Zona da Intranet e da Zona Confiável possam carregar o Java para Tags APPLET. A etapa 2 garantirá que o Java Plug-in não seja carregado como OBJETO nos sites da Zona da Internet; uma notificação será exibida. Como a Intranet e os sites confiáveis ​​ignoram a lista ActiveX por site, você não verá nenhum aviso adicional nesses sites.

Greg Askew
fonte
Excelente resposta, Greg. A etapa 1 pode ser executada por meio da Diretiva de Grupo. Esse também é o caso da etapa 2?
Fiz uma verificação rápida na planilha de configuração do GPO e não a vi. Você poderá fazer uma comparação antes e depois do registro ao modificar a configuração e criar um modelo de admissão personalizado para ele.
22812 Greg Askew
Vou observar alguns artigos possivelmente interessantes para gerenciar o Java via GPO (mas ainda não o completei ainda): darkoperator.com/blog/2013/1/14/… e seu antecessor darkoperator.com/blog /
2013/12/12