Come posso limitare il plugin java per eseguire solo su determinati siti di Internet Explorer?

Voglio assicurare meglio i nostri computer gestiti centralmente ed è molto difficile implementare automaticamente il runtime di java, ma come farlo è un'altra domanda.

Trovo la sicurezza di Java catastrofica, anche se è completamente patchata: sembra che se l'utente dice sì alla domanda innocente "Confidi questo certificato", java può fare quello che vuole. Java webstart sembra anche essere un punto di accesso universale per gli autori di malware.

In generale, non mi import che i miei utenti giocano a giochi di browser, ecc. Applet Java sembrano essere estinti comunque.

Ma c'è una sola pagina (Ingramm Micro shopping system) che si basa su Java.

Qualcuno sa un modo semplice per configurare IE o java tramite la politica di gruppo per consentire solo i plugin java su determinati siti preconfigurati?

Grazie!

One Solution collect form web for “Come posso limitare il plugin java per eseguire solo su determinati siti di Internet Explorer?”

Eccellente domanda. Ironia della sorte, questa stessa funzionalità è stata esposta nel vecchio Microsoft JVM (10 anni fa).

Controllare Java in Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Recentemente, c'è stato un certo interesse per controllare l'uso di Java in Internet Explorer. Java è una forma univoca di estensibilità perché può essere invocata in due modi:

  • Utilizzo di un elemento APPLET
  • Utilizzo di un elemento OBJECT con CLSID di un JVM

Questi due methods di invocazione sono soggetti a diversi controlli di sicurezza, che descriverò nel post di oggi.

Controllo dei tag applet

Quando Internet Explorer incontra un tag APPLET, controlla il valore URLACTION_JAVA_PERMISSIONS per determinare se l'APPLET deve essere caricato. Se il valore è URL_POLICY_JAVA_PROHIBIT, il tag APPLET viene impedito di caricare il JVM. Nelle versioni precedenti di Internet Explorer, quando era disponibile un Microsoft JVM, questo URLAction è stato esposto nella window di dialogo Strumenti> Opzioni Internet> Sicurezza> Personalizzato … ma è stato rimosso.

È ansible utilizzare l'Editor dei criteri di gruppo per controllare l'URLAction nel nodo \ Modelli amministrativi \ Componenti di Windows \ Internet Explorer \ Pannello di controllo Internet \ Pagina di sicurezza \ ZoneID:

immettere qui la descrizione dell'immagine

In alternativa, è ansible eseguire una piccola modifica del Registro di sistema per aggiungere la voce Opzioni JVM al Pannello di controllo Internet:

immettere qui la descrizione dell'immagine

Lo script del Registro di sistema approfitta del fatto che l'interface utente del pannello di controllo Internet è estensibile tramite il Registro di sistema; crea semplicemente una nuova voce che regola i valori dell'URL URLACTION_JAVA_PERMISSIONS URLAction.

Se si imposta le impostazioni della Zona Internet da "High Security" su Disable (URL_POLICY_JAVA_PROHIBIT), qualsiasi sito che tenta di utilizzare un tag APPLET troverà che l'applet non viene caricato e viene visualizzata una notifica:

immettere qui la descrizione dell'immagine

Controllare i tag degli oggetti

Purtroppo, quando un sito utilizza un tag OBJECT per caricare Java, viene eseguito un codepath completamente diverso. Nel caso dell'etichetta OBJECT, l'URLAction JAVA_PERMISSIONS non viene consultato, perché per quanto riguarda Internet Explorer, questo potrebbe essere qualsiasi tipo di object. Invece, vengono consultate le funzioni tradizionali di controllo ActiveX (ad es. Filtro ActiveX, Per-Site ActiveX, Gestione componenti aggiuntivi, ecc.). È ansible utilizzare la funzionalità IE> Gestisci componenti aggiuntivi per esaminare o modificare lo stato dell'object Java Plug-in:

immettere qui la descrizione dell'immagine

Nota: Mi è stato detto che l'object Helper di helper di plug-in Java SSV Helper non dovrebbe essere distriggersto, in quanto assicura che i siti web non potrebbero tentare di caricare le versioni precedenti (insicure) del JVM che è ansible installare. Tuttavia, noterai che pagherai una penalità sulle performance di avvio della scheda per caricare questo BHO, questa è una delle tante ragioni per cui non installo Java sui miei PC.

Se si seleziona il plug-in Java, è ansible fare clic sul button Distriggers per impedire che Java carichi un tag OBJECT. In alternativa, se si sceglie il collegamento Informazioni ulteriori , è ansible eliminare l'elenco * * * dall'elenco dei siti in cui è ansible eseguire il plug-in Java:

immettere qui la descrizione dell'immagine

Se successivamente visiterai un sito che tenta di invocare Java come un tag OBJECT, vedrai una barra di notifica che ti chiederà l'authorization per eseguire Java sul sito corrente.

Quindi, se si desidera consentire a Java di eseguire solo nelle aree Intranet e Trusted Sites:

  1. Regolare l'URLAction per la zona Internet su Disabilitazione
  2. Rimuovere la * dall'elenco Per-Site del controllo ActiveX

Il passo # 1 assicurerà che solo i siti di zona Intranet e Trusted Zone possono caricare Java per i tag APPLET. Il passo # 2 assicurerà che il plug-in Java non verrà caricato come un object in siti Internet Zone; invece verrà mostrata una notifica. Poiché i siti intranet ei siti attendibili ignorano l'elenco ActiveX Per-Site, non verranno visualizzati ulteriori avvertimenti su tali siti.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.