Данас ћемо погледати централизоване безбедносне поставке за окружење Јава СЕ на рачунарима предузећа помоћу Виндовс групних смерница. Ове политике треба да спрече да се непоуздани Јава аплети и АцтивеКс објекти не учитавају и покрећу на рачунарима компаније..
Основни захтеви групе за управљање групним безбедносним подешавањима
- Ово правило треба да се односи само на машине на којима је инсталиран Јава 6 или Јава 7.
- Корисници би требали бити у могућности да прегледају тренутна подешавања на контролној табли Јава.
- Тренутне Јава конфигурацијске датотеке морају се складиштити на и копирати између контролера домена
- Морате да креирате најмање 2 смернице: једна мора потпуно блокирати Јава у прегледачима, друга - забрањује покретање непотписаних аплета.
Садржај:
- ВМИ филтер за избор рачунара са инсталираном Јавом
- Креирајте Јава конфигурационе датотеке
- Стварање правила групе за управљање параметрима Јава
ВМИ филтер за избор рачунара са инсталираном Јавом
Да би се Јава Гроуп Гроуп Полици примијенила само на рачунаре са инсталираним Јава окружењем, креираћемо посебан ВМИ филтер (више о ВМИ филтрирању у групним политикама).
Да бисте то учинили, отворите конзолу за управљање групним политикама и у одељку ВМИ филтри креирајте нови ВМИ филтер са називом Јава СЕ 7 Цомпутерс. Као опис наведите нешто попут „За политике које захтевају филтрирање рачунара са инсталираним Јава СЕ 7“ и користите следећи ВМИ ВКЛ израз као упит:Изаберите * Из вин32_Дирецтори где (наме = "ц: \\ програмске датотеке \\ Јава \\ јре7" или наме = "ц: \\ програмске датотеке (к86) \\ Јава \\ јре7")
Овај филтер путем ВМИ-а испитује систем и ако постоји директоријум у директоријима Програмске датотеке (к86 и к64) Јава \ јре7, тада ће се применити политика за такве рачунаре.
Аналогно томе, морате да креирате ВМИ филтер за Јава верзију 6 (потражите јре6 директориј)
Креирајте Јава конфигурационе датотеке
Наш циљ је креирати две безбедносне политике Јава. Једна - потпуно забрањује извршавање Јава у прегледачима, а друга - конфигурише бројна Јава безбедносна подешавања .
Да бисте спремили Јава конфигурационе датотеке у сисвол директоријум на контролеру домена (на пример, \\ винитпро.ру \ сисвол \ винитпро.ру \ скрипте \ Јава), направите две фасцикле:
- Јава7Рестрицт - садржи конфигурационе датотеке које конфигуришу специфичне Јава безбедносне поставке
- Јава7Блоцк - директоријум за конфигурирање Јава закључавања датотека у прегледачима
За подешавање параметара Јаве СЕ потребна нам је датотека имплементација.цонфиг. У овој конфигурационој датотеци, користећи опцију имплементација.систем.цонфиг, одредите путању до датотеке имплементација.пропертиес, који дефинира Јава параметре за све кориснике система (ова се датотека мора налазити у директоријуму% виндир% \ Сун \ Јава \ Деплоимент \ имплементација.цонфиг и подразумијевано се не ствара током инсталације). Пут се може специфицирати као УРЛ (ХТТП или ХТТПС) или као УНЦ пут до датотеке имплементирања.пропертиес. Да бисте спречили кориснике да учитавају појединачне Јава поставке, морате навести имплементирање.систем.цонфиг.мандатори = тачно .
Савет. Конфигурациона датотека са Јавим личним подешавањима за овог корисника чува се у његовом профилу дуж путање% УСЕРПРОФИЛЕ% \ АппДата \ ЛоцалЛов \ Сун \ Јава \ Деплоимент \ у оперативном систему Виндовс 7 или% АппДата% \ Сун \ Јава \ Деплоимент \ у КСП-у и подразумевано је овај приоритет датотека већа од системске имплементације.пропертиес.Филе имплементација.цонфиг за Јава7Рестстриц политику то може бити:
имплементација.систем.цонфиг = датотека \: //винитпро.ру/СИСВОЛ/винитпро.ру/сцриптс/Јава/Јава7Рестрицт/деплоимент.пропертиес имплементација.систем.цонфиг.мандатори = труе
Филе имплементација.пропертиес може изгледати овако (претпостављамо да би ниво заштите у Јави требао бити постављен на Врло висок, блокираћемо остатак Јава безбедносних поставки)
имплементирање.сецурити.левел = ВЕРИ_ХИГХимплементирање.сецурити.левел.лоцкед
имплементатион.сецурити.аскгрантдиалог.нотинца = фалсе
имплементација.сигурност.аскгрантдиалог.нотинца.лоцкед
имплементирање.сецурити.нотинца.варнинг = тачно
имплементирање.сецурити.нотинца.варнинг.лоцкедСавет. Можете сазнати више о структури конфигурационе датотеке имплементације.пропертиес и њеним параметрима на Јава.нет-у у документу Датотека и својства конфигурације размештања или у документацији на веб локацији Орацле (подешавање Јава сигурносног параметра помоћу конфигурационе датотеке описано је овде).
У \\ винитпро.ру \ сисвол \ винитпро.ру \ скрипти \ Јава \ Јава7Ограничите директоријум, креирајте датотеке са наведеним садржајем.
Направит ћемо конфигурацијске датотеке за политику која блокира Јава у свим прегледачима. Да бисте то учинили, додајте линије у датотеку имплементирања.пропертиес
имплементатион.вебјава.енаблед = фалсеимплементирање.вебјава.енаблед.лоцкед
Стварање правила групе за управљање параметрима Јава
Пређимо директно на креирање групних смерница које дистрибуирају безбедносне поставке Јава на рачунаре организације..
Направите нови ГПО (полици) под називом Јава7Ограничи.
Користећи ГПП (подешавања групних правила), морамо да креирамо директоријум на рачунару корисника у који ће се смештати конфигурационе датотеке са Јава подешавањима. За то, у одељку Конфигурација ГПО рачунара -> Поставке -> Подешавања оперативног система Виндовс -> Мапе створите нови елемент са параметрима:
- Акција: Креирајте
- Стаза:% ВинДир% \ Сун \ Јава \ Деплоимент
Затим морате копирати конфигурациону датотеку имплемента.цонфиг на рачунар корисника. За то, у одељку Конфигурација рачунара ГПО -> Поставке -> Подешавања Виндовс -> Датотеке креирајте нови запис са параметрима:
- Акција: Замените
- Изворна датотека: \\ винитпро.ру \ сисвол \ винитпро.ру \ скрипте \ Јава \ Јава7Рестрицт \ имплементација.цонфиг
- Датотека одредишта:% виндир% \ Сун \ Јава \ Деплоимент \ имплементација.цонфиг.
Остаје у својствима полиса као ВМИ филтер да одаберемо филтер који смо креирали раније Јава СЕ 7 Цомпутерс и повежите (доделите) полису жељеном контејнеру (ОУ).
Након примене смерница на рачунаре корисника, отворите Јава Цонтрол Панел и уверите се да је ниво заштите Јава постављен на Вери Хигх и да све остале опције нису доступне за уређивање од стране корисника..
Ако корисник покуша преузети самопотписан аплет или аплет потписан са сертификатом који није на листи поверења, појавиће се прозор упозорења.
Издавача не може да верификује поуздан извор. Код ће се третирати као непотписан.ЦертифицатеЕкептион: Ваша безбедносна конфигурација неће дозволити давање дозволе за самопотписане цертификате.
Слично томе, направите другу Јава7Дени политику која у потпуности блокира Јава у прегледачима. Након примене смернице, када покушате да покренете Јава апплет у било ком прегледачу, појављује се порука:
Апликација блокирана сигурносним подешавањимаВаша безбедносна подешавања блокирала су покретање апликације са сопственим потписом.
Присутност многих озбиљних сигурносних проблема са Јава апплетовима, велик број рањивости и 0 дана рањивости за Јаву су данашње стварности. Због тога, мрежни администратори и ИС услуге морају да посвете велику пажњу безбедносним проблемима у Јава окружењу. У великој мрежи, најлакши начин за то је помоћу групних правила система Виндовс.
Савет. Да бисте сакрили информације од корисника о потреби ажурирања Јава, можете користити овај савет. Али не треба заборавити на потребу континуираног централизованог ажурирања Јава на свим рачунарима у организацији. То ће умањити ризик искориштавања рањивости у старијим верзијама Јава.
