Internet Explorerの特定のサイトでのみ実行するようにJavaプラグインを制限するにはどうすればよいですか?

10

集中管理されているコンピューターのセキュリティを強化したいのですが、Javaランタイムを自動的に展開するのは非常に困難ですが、その方法は別の問題です。

パッチが完全に適用されていても、Javaのセキュリティは壊滅的です。ユーザーが無害な質問「この証明書を信頼しますか?」Java webstartは、マルウェア作成者にとっても普遍的なエントリポイントのようです。

一般的に、ブラウザゲームなどをプレイするユーザーは気にしません。Javaアプレットはとにかく絶滅しているようです。

しかし、Javaに依存するページが1つ残っています(Ingramm Microショッピングシステム)。

特定の構成済みサイトでJavaプラグインのみを許可するようにグループポリシーを介してIEまたはJavaを構成する簡単な方法を知っている人はいますか?

ありがとう!

security  group-policy  java  internet-explorer 
キリスト教徒
ソース
OracleはJREをMSIとして提供します。これにより、導入/更新が非常に簡単になります。
jscott

回答:

12

すばらしい質問です。皮肉なことに、この機能は古いMicrosoft JVM(10年前)で公開されていました。

Internet ExplorerでのJavaの制御
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

最近、Internet Explorer内でJavaの使用を制御する方法に関心が寄せられています。Javaは2つの方法で呼び出すことができるため、拡張性のユニークな形式です。

  • APPLET要素の使用
  • JVMのCLSIDでOBJECT要素を使用する

これらの2つの呼び出しメソッドは、今日の投稿で説明するさまざまなセキュリティコントロールの影響を受けます。

アプレットタグの制御

Internet Explorerは、APPLETタグを検出すると、URLACTION_JAVA_PERMISSIONS値をチェックして、APPLETをロードする必要があるかどうかを判断します。値がURL_POLICY_JAVA_PROHIBITの場合、APPLETタグはJVMをロードできません。以前のバージョンのInternet Explorerでは、Microsoft JVMが利用可能である場合、このURLActionは[ツール]> [インターネットオプション]> [セキュリティ]> [カスタム…]ダイアログで公開されていましたが、その後削除されました。

グループポリシーエディターを使用して、ノード\ Administrative Templates \ Windows Components \ Internet Explorer \ Internet Control Panel \ Security Page \ ZoneIDでURLActionを制御できます。

ここに画像の説明を入力してください

または、レジストリを少し調整して、JVMオプションエントリをインターネットコントロールパネルに戻すこともできます。

ここに画像の説明を入力してください

レジストリスクリプトは、インターネットコントロールパネルのUIがレジストリを介して拡張可能であるという事実を利用しています。URLACTION_JAVA_PERMISSIONS URLActionの値を調整する新しいアイテムを作成するだけです。

インターネットゾーンの設定を「高セキュリティ」から無効(URL_POLICY_JAVA_PROHIBIT)に調整すると、APPLETタグを使用しようとするサイトはアプレットが読み込まれず、通知が表示されます。

ここに画像の説明を入力してください

オブジェクトタグの制御

残念ながら、サイトがOBJECTタグを使用してJavaをロードすると、まったく異なるコードパスが実行されます。OBJECTタグの場合、JAVA_PERMISSIONS URLActionは参照されません。これは、Internet Explorerに関する限り、これは任意のタイプのOBJECTである可能性があるためです。代わりに、従来のActiveX制御機能(ActiveXフィルタリング、サイトごとのActiveX、アドオンの管理など)が参照されます。IEの[ツール]> [アドオンの管理]機能を使用して、Javaプラグインオブジェクトの状態を確認または調整できます。

ここに画像の説明を入力してください

注:JavaプラグインSSVヘルパーブラウザーヘルパーオブジェクトを無効にしないでください。これにより、Webサイトが、インストールされている可能性がある古い(安全でない)バージョンのJVMを読み込めなくなる可能性があります。ただし、このBHOをロードするためにタブの起動にパフォーマンスペナルティを支払うことに気付くでしょう。これは、PCにJavaをインストールしない多くの理由の1つです。

Javaプラグインを選択した場合は、[ 無効化 ]ボタンをクリックして、OBJECTタグによってJavaが読み込まれないようにすることができます。または、[ 詳細情報 ] リンクをクリックすると、Javaプラグインが実行される可能性のあるサイトのリストから*をクリアできます。

ここに画像の説明を入力してください

その後、OBJECTタグとしてJavaを呼び出そうとするサイトにアクセスすると、現在のサイトでJavaを実行する許可を求める通知バーが表示されます。

したがって、Javaをイントラネットゾーンと信頼済み​​サイトゾーンでのみ実行することを許可する場合は、次のようにします。

  1. インターネットゾーンのURLActionを無効に調整します。
  2. ActiveXコントロールのサイトごとのリストから*を削除します。

手順#1では、イントラネットゾーンと信頼済み​​ゾーンのサイトのみがAPPLETタグのJavaをロードできるようにします。手順2では、Javaプラグインがインターネットゾーンサイトのオブジェクトとして読み込まれないようにします。代わりに通知が表示されます。イントラネットと信頼済み​​サイトはサイトごとのActiveXリストを無視するため、これらのサイトでは追加の警告は表示されません。

グレッグ・アスキュー
ソース
すばらしい答え、グレッグ。ステップ1はグループポリシーを通じて実行できますが、これはステップ2にも当てはまりますか?
gpo設定のスプレッドシートで簡単にチェックしたところ、表示されませんでした。設定を変更するときにレジストリの比較の前後を行い、そのためのカスタムadmテンプレートを作成できる場合があります。
Greg Askew、2012
GPOを介してJavaを管理することに関心があると思われるいくつかの記事に注目します(ただし、まだ完全にはフォローしていません):darkoperator.com/blog/2013/1/14/…とその前身であるdarkoperator.com/blog /
2013/1/12
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.