¿Cómo puedo restringir el complemento de Java para que se ejecute solo en ciertos sitios en Internet Explorer?

10

Quiero asegurar mejor nuestras computadoras administradas centralmente y es muy difícil implementar automáticamente el tiempo de ejecución de Java, pero cómo hacerlo es otra cuestión.

Encuentro la seguridad de Java catastrófica, incluso si está completamente parcheada: parece que si el usuario dice sí a la inocente pregunta "¿Confía en este certificado", Java puede hacer lo que quiera. El inicio web de Java también parece ser un punto de entrada universal para los autores de malware.

En general, no me importan mis usuarios que juegan juegos de navegador, etc. Los applets de Java parecen estar extintos de todos modos.

Pero queda una página (sistema de compras Ingramm Micro) que se basa en Java.

¿Alguien sabe una manera fácil de configurar IE o Java a través de la política de grupo para permitir solo complementos de Java en ciertos sitios preconfigurados?

¡Gracias!

cristiano
fuente
Oracle proporciona el JRE como MSI, esto hace que la implementación / actualización sea bastante simple.
jscott

Respuestas:

12

Excelente pregunta Irónicamente, esta misma funcionalidad se expuso en la versión anterior de Microsoft JVM (hace 10 años).

Control de Java en Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Recientemente, ha habido cierto interés en cómo controlar el uso de Java dentro de Internet Explorer. Java es una forma única de extensibilidad porque se puede invocar de dos maneras:

  • Usando un elemento APPLET
  • Usar un elemento OBJECT con un CLSID de una JVM

Estos dos métodos de invocación están sujetos a diferentes controles de seguridad, que describiré en la publicación de hoy.

Control de etiquetas de applet

Cuando Internet Explorer encuentra una etiqueta APPLET, comprueba el valor URLACTION_JAVA_PERMISSIONS para determinar si se debe cargar el APPLET. Si el valor es URL_POLICY_JAVA_PROHIBIT, entonces la etiqueta APPLET no puede cargar la JVM. En versiones anteriores de Internet Explorer, cuando un JVM de Microsoft estaba disponible, esta URLAction estaba expuesta en el cuadro de diálogo Herramientas> Opciones de Internet> Seguridad> Personalizado ... pero desde entonces se ha eliminado.

Puede usar el Editor de directivas de grupo para controlar la acción URL en el nodo \ Plantillas administrativas \ Componentes de Windows \ Internet Explorer \ Panel de control de Internet \ Página de seguridad \ ZoneID:

ingrese la descripción de la imagen aquí

Alternativamente, puede hacer un pequeño ajuste de registro para agregar la entrada de Opciones de JVM al Panel de control de Internet:

ingrese la descripción de la imagen aquí

El script de registro aprovecha el hecho de que la interfaz de usuario del Panel de control de Internet es extensible a través del registro; simplemente crea un nuevo elemento que ajusta los valores de URLACTION_JAVA_PERMISSIONS URLAction.

Si ajusta la configuración de la zona de Internet de "Alta seguridad" a Desactivar (URL_POLICY_JAVA_PROHIBIT), cualquier sitio que intente usar una etiqueta APPLET encontrará que el applet no se carga y se muestra una notificación:

ingrese la descripción de la imagen aquí

Control de etiquetas de objeto

Desafortunadamente, cuando un sitio usa una etiqueta OBJECT para cargar Java, se ejecuta una ruta de código completamente diferente. En el caso de la etiqueta OBJECT, la URLAction JAVA_PERMISSIONS no se consulta, porque en lo que respecta a Internet Explorer, este podría ser cualquier tipo de OBJECT. En cambio, se consultan las características tradicionales de control de ActiveX (por ejemplo, filtrado ActiveX, ActiveX por sitio, Administrar complementos, etc.). Puede usar la función Herramientas> Administrar complementos de IE para examinar o ajustar el estado del objeto de complemento de Java:

ingrese la descripción de la imagen aquí

Nota: Me dijeron que el objeto Helper Browser Helper Helper de Java Plug-In no debería deshabilitarse, ya que garantiza que los sitios web no intenten cargar versiones anteriores (inseguras) de la JVM que haya instalado. Sin embargo, notará que paga una penalización de rendimiento al iniciar la pestaña para cargar este BHO; esta es una de las muchas razones por las que no instalo Java en mis PC.

Si selecciona el complemento de Java, puede hacer clic en el botón Deshabilitar para evitar que Java se cargue con una etiqueta OBJECT. Alternativamente, si hace clic en el enlace Más información , puede borrar el * de la lista de sitios en los que se puede ejecutar el complemento Java:

ingrese la descripción de la imagen aquí

Si posteriormente visita un sitio que intenta invocar Java como una etiqueta OBJETO, verá una barra de notificación que le solicita permiso para ejecutar Java en el sitio actual.

Entonces, si desea permitir que Java se ejecute solo en las zonas de Intranet y Sitios de confianza:

  1. Ajuste la URLAction para la zona de Internet para deshabilitar
  2. Elimine el * de la lista por sitio del control ActiveX

El paso n. ° 1 garantizará que solo los sitios de Intranet Zone y Trusted Zone puedan cargar Java para las etiquetas APPLET. El paso 2 asegurará que el complemento de Java no se cargue como un OBJETO en los sitios de la zona de Internet; se mostrará una notificación en su lugar. Debido a que Intranet y Sitios de confianza ignoran la lista ActiveX por sitio, no verá ninguna advertencia adicional en esos sitios.

Greg Askew
fuente
Excelente respuesta, Greg. El paso 1 se puede realizar a través de la directiva de grupo, ¿es este también el caso para el paso 2?
Hice una comprobación rápida en la hoja de cálculo de configuración de gpo y no la vi. Es posible que pueda hacer una comparación del registro antes y después al modificar la configuración, y crear una plantilla de adm personalizada.
Greg Askew
Notaré un par de escritos posiblemente de interés en la administración de Java a través de GPO (pero que aún no he seguido completamente): darkoperator.com/blog/2013/1/14/… y su predecesor darkoperator.com/blog /
2013/1/12