那些遇到过的问题

如何限制 Java 插件仅在 Internet Explorer 中的某些站点上运行?

Chr*_*ian 10 security internet-explorer java group-policy

我想更好地保护我们集中管理的计算机,并且很难自动部署 java 运行时,但如何做到这一点是另一个问题。

我发现 Java 的安全性是灾难性的,即使它被完全修补:看起来如果用户对“你信任这个证书”这个无辜的问题说是,java 可以为所欲为。Java webstart 似乎也是恶意软件作者的通用入口点。

一般来说,我不关心我的用户玩浏览器游戏等。无论如何,Java 小程序似乎已经灭绝了。

但是还剩下一页(Ingramm Micro 购物系统)依赖于 Java。

有没有人知道通过组策略配置 IE 或 java 的简单方法,只允许某些预配置站点上的 java 插件?

谢谢!

Gre*_*kew 12

很好的问题。具有讽刺意味的是,这个功能在较旧的 Microsoft JVM(10 年前)中已公开。

在 Internet Explorer 中控制 Java
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

最近,人们对如何在 Internet Explorer 中控制 Java 的使用产生了一些兴趣。Java 是一种独特的可扩展性形式,因为它可以通过两种方式调用:

  • 使用APPLET元素
  • 使用带有 JVM 的 CLSID的OBJECT元素

这两种调用方法受到不同的安全控制,我将在今天的帖子中进行描述。

控制小程序标签

当 Internet Explorer 遇到 APPLET 标记时,它会检查 URLACTION_JAVA_PERMISSIONS 值以确定是否应加载 APPLET。如果值为 URL_POLICY_JAVA_PROHIBIT,则阻止 APPLET 标记加载 JVM。在早期版本的 Internet Explorer 中,当 Microsoft JVM 可用时,此 URLAction 会在“工具”>“Internet 选项”>“安全性”>“自定义...”对话框中公开,但此后已被删除。

您可以使用组策略编辑器来控制节点 \Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\ZoneID 下的 URLAction:

在此处输入图片说明

或者,您可以进行小的注册表调整,将 JVM 选项条目添加回 Internet 控制面板:

在此处输入图片说明

注册表脚本利用了 Internet 控制面板 UI 可通过注册表扩展这一事实;它只是创建一个新项目来调整 URLACTION_JAVA_PERMISSIONS URLAction 的值。

如果您将 Internet 区域设置从“高安全性”调整为禁用 (URL_POLICY_JAVA_PROHIBIT),任何尝试使用 APPLET 标记的站点都会发现该小程序无法加载并显示通知:

在此处输入图片说明

控制对象标签

不幸的是,当站点使用 OBJECT 标记加载 Java 时,会执行完全不同的代码路径。在 OBJECT 标记的情况下,不咨询 JAVA_PERMISSIONS URLAction,因为就 Internet Explorer 而言,这可能是任何类型的 OBJECT。相反,会参考传统的 ActiveX 控制功能(例如 ActiveX 过滤、每站点 ActiveX、管理加载项等)。您可以使用 IE 的工具 > 管理加载项功能来检查或调整 Java 插件对象的状态:

在此处输入图片说明

注意:我被告知不应禁用 Java Plug-In SSV Helper 浏览器 Helper 对象,因为它确保网站不会尝试加载您可能已安装的较旧(不安全)版本的 JVM。但是,您会注意到在选项卡启动时加载此 BHO 会导致性能下降——这是我不在 PC 上安装 Java 的众多原因之一。

如果选择 Java Plug-in,则可以单击Disable按钮以防止 Java 被 OBJECT 标记加载。或者,如果您单击更多信息链接,您可以从 Java 插件可能运行的站点列表中清除 *:

在此处输入图片说明

如果您随后访问试图将 Java 作为 OBJECT 标记调用的站点,您将看到一个通知栏,提示您授予在当前站点上运行 Java 的权限。

因此,如果您想允许 Java 仅在 Intranet 和 Trusted Sites 区域中运行:

  1. 将 Internet 区域的 URLAction 调整为禁用
  2. 从 ActiveX 控件的 Per-Site 列表中删除 *

第 1 步将确保只有 Intranet 区域和受信任区域站点可以为 APPLET 标记加载 Java。第 2 步将确保 Java 插件不会在 Internet 区域站点上作为 OBJECT 加载;将显示通知。由于 Intranet 和受信任的站点会忽略 Per-Site ActiveX 列表,因此您不会在这些站点上看到任何其他警告。

归档时间:

查看次数:

18960 次

最近记录:

13 年,6 月 前
相关归档
有没有办法在 Windows 更新设置中禁用“从 Windows 更新在线检查更新”? 10
Opera Unite 是否存在安全风险,是否有简单的方法来阻止它? 6
什么阻止某人为我的域设置 A 记录? 5
Server 2012r2 RDS - 开始屏幕 5
MAC 过滤会增加 Wifi 的安全性吗? 4
端口 445 被组策略阻止 4
扫描网站漏洞 3
如何知道组策略何时阻止应用程序 2
绕过已知 MAC 地址的 VLAN 1
安全策略:没有root/管理员密码的服务器 0
难疑归档
LVM 的危险和警告 195
对 postgresql 中的所有表进行 GRANT SELECT 122
切换到 IPv6 意味着放弃 NAT。那是件好事儿吗? 116
如何重新连接到 Ubuntu Server 的“do-release-upgrade”过程? 106
我应该为 openvpn 使用 tap 还是 tun? 104
如何将安全组添加到正在运行的 EC2 实例? 94
Amazon Linux AMI 基于什么 Linux 发行版? 83
如何确保 OpenVPN 连接使用特定的 DNS? 60
每个 VHost 有多个“ServerName”? 58
我可以比每分钟更频繁地运行 cron 作业吗? 54