मैं केवल इंटरनेट एक्सप्लोरर में कुछ साइटों पर चलाने के लिए जावा प्लगइन को कैसे प्रतिबंधित कर सकता हूं?


10

मैं अपने केंद्र प्रबंधित कंप्यूटरों को बेहतर तरीके से सुरक्षित करना चाहता हूं और जावा रनटाइम को स्वचालित रूप से तैनात करना बहुत मुश्किल है, लेकिन यह कैसे करना है यह एक और सवाल है।

मुझे जावा प्रलय की सुरक्षा मिलती है, भले ही यह पूरी तरह से पैच हो: ऐसा लगता है कि अगर उपयोगकर्ता निर्दोष प्रश्न के लिए हाँ कहता है "क्या आपको इस प्रमाण पत्र पर भरोसा है", जावा जो चाहे कर सकता है। जावा वेबस्टार्ट मालवेयर लेखकों के लिए एक सार्वभौमिक प्रवेश बिंदु भी लगता है।

सामान्य तौर पर, मैं अपने उपयोगकर्ताओं को ब्राउज़र गेम खेलने आदि की परवाह नहीं करता हूं, जावा एप्लेट वैसे भी विलुप्त हो रहे हैं।

लेकिन एक पेज बाक़ी है (इनग्राम माइक्रो शॉपिंग सिस्टम) जो जावा पर निर्भर करता है।

क्या किसी को समूह नीति के माध्यम से IE या जावा को कॉन्फ़िगर करने का एक आसान तरीका पता है कि केवल कुछ पूर्व-निर्धारित साइटों पर जावा प्लगइन्स की अनुमति दें?

धन्यवाद!


Oracle JRE को MSI के रूप में बताता है, यह बहुत सरल बना देता है।
jscott

जवाबों:


12

बहुत बढ़िया सवाल। विडंबना यह है कि यह बहुत कार्यक्षमता पुराने Microsoft JVM (10 साल पहले) में उजागर हुई थी।

Internet Explorer में जावा को नियंत्रित करना
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

हाल ही में, इंटरनेट एक्सप्लोरर के भीतर जावा के उपयोग को नियंत्रित करने के तरीके में कुछ रुचि है। जावा एक्स्टेंसिबिलिटी का एक अनूठा रूप है क्योंकि इसे दो तरीकों से लागू किया जा सकता है:

  • एक APPLET तत्व का उपयोग करना
  • एक JVM के CLSID के साथ एक OBJECT तत्व का उपयोग करना

ये दो आह्वान विधि अलग-अलग सुरक्षा नियंत्रणों के अधीन हैं, जिसका वर्णन मैं आज की पोस्ट में करूँगा।

एप्लेट टैग को नियंत्रित करना

जब Internet Explorer किसी APPLET टैग से सामना करता है, तो यह निर्धारित करने के लिए URLACTION_JAVA_PERMISSIONS मान की जाँच करता है कि APPLET लोड होना चाहिए या नहीं। यदि मान URL_POLICY_JAVA_PROHIBIT है, तो APPLET टैग को JVM लोड करने से रोका जाता है। Internet Explorer के पुराने संस्करणों में, जब Microsoft JVM उपलब्ध था, तो यह URLAction टूल> इंटरनेट विकल्प> सुरक्षा> कस्टम ... डायलॉग पर उजागर किया गया था, लेकिन इसे हटा दिया गया है।

आप नोड नीति के तहत URLAction को नियंत्रित करने के लिए समूह नीति संपादक का उपयोग कर सकते हैं \ Windows टेम्पलेट \ Windows घटक \ इंटरनेट एक्सप्लोरर \ इंटरनेट कंट्रोल पैनल \ सुरक्षा पेज \ ज़ोन:

यहाँ छवि विवरण दर्ज करें

वैकल्पिक रूप से, आप JVM विकल्प प्रविष्टि को इंटरनेट कंट्रोल पैनल में वापस जोड़ने के लिए एक छोटी रजिस्ट्री को ट्वीक कर सकते हैं :

यहाँ छवि विवरण दर्ज करें

रजिस्ट्री स्क्रिप्ट इस तथ्य का लाभ उठाती है कि इंटरनेट कंट्रोल पैनल यूआई रजिस्ट्री के माध्यम से एक्स्टेंसिबल है; यह केवल एक नया आइटम बनाता है जो URLACTION_JAVA_PERMISSIONS URLAction के मानों को समायोजित करता है।

यदि आप इंटरनेट ज़ोन सेटिंग्स को "हाई सिक्योरिटी" से डिसेबल (URL_POLICY_JAVA_PROHIBIT) में समायोजित करते हैं, तो किसी भी साइट पर APPLET टैग का उपयोग करने का प्रयास करने पर पता चलेगा कि एप्लेट लोड नहीं होता है और एक अधिसूचना दिखाई जाती है।

यहाँ छवि विवरण दर्ज करें

ऑब्जेक्ट टैग नियंत्रित करना

दुर्भाग्य से, जब कोई साइट जावा लोड करने के लिए एक OBJECT टैग का उपयोग करती है, तो एक पूरी तरह से अलग कोडपाथ निष्पादित होता है। OBJECT टैग मामले में, JAVA_PERMISSIONS URLAction से परामर्श नहीं किया जाता है, क्योंकि जहां तक ​​इंटरनेट एक्सप्लोरर का संबंध है, यह किसी भी प्रकार का OBJECT हो सकता है। इसके बजाय, पारंपरिक ActiveX- नियंत्रित सुविधाओं से परामर्श किया जाता है (जैसे ActiveX फ़िल्टरिंग, प्रति-साइट ActiveX, ऐड-ऑन प्रबंधित करें, आदि)। जावा प्लग-इन ऑब्जेक्ट की स्थिति की जांच करने या समायोजित करने के लिए आप IE के टूल> मैनेज ऐड-ऑन सुविधा का उपयोग कर सकते हैं:

यहाँ छवि विवरण दर्ज करें

नोट: मुझे बताया गया है कि जावा प्लग-इन एसएसवी हेल्पर ब्राउज़र हेल्पर ऑब्जेक्ट को अक्षम नहीं किया जाना चाहिए, क्योंकि यह सुनिश्चित करता है कि वेबसाइट आपके द्वारा स्थापित किए गए जेवीएम के पुराने (असुरक्षित) संस्करणों को लोड करने का प्रयास न करें। हालाँकि, आप देखेंगे कि आप इस बीएचओ को लोड करने के लिए टैब स्टार्टअप पर एक प्रदर्शन का जुर्माना देते हैं — यह कई कारणों में से एक है जो मैं अपने पीसी पर जावा स्थापित नहीं करता।

यदि आप जावा प्लग-इन का चयन करते हैं, तो आप जावा को एक OBJECT टैग द्वारा लोड होने से रोकने के लिए डिसेबल बटन पर क्लिक कर सकते हैं । वैकल्पिक रूप से, यदि आप अधिक जानकारी लिंक पर क्लिक करते हैं , तो आप उन साइटों की सूची से * हटा सकते हैं जिन पर जावा प्लग-इन चल सकता है:

यहाँ छवि विवरण दर्ज करें

यदि आप बाद में एक साइट पर जाते हैं जो जावा को OBJECT टैग के रूप में आमंत्रित करने का प्रयास करता है, तो आपको वर्तमान साइट पर जावा चलाने की अनुमति के लिए एक सूचना पट्टी दिखाई देगी।

इसलिए, यदि आप जावा को केवल इंट्रानेट और ट्रस्टेड साइट्स ज़ोन में चलाने की अनुमति देना चाहते हैं:

  1. इंटरनेट ज़ोन को अक्षम करने के लिए URLAction समायोजित करें
  2. ActiveX नियंत्रण की प्रति-साइट सूची से * निकालें

चरण # 1 यह सुनिश्चित करेगा कि केवल इंट्रानेट ज़ोन और विश्वसनीय ज़ोन साइट APPLET टैग के लिए जावा लोड कर सकते हैं। चरण # 2 सुनिश्चित करेगा कि जावा प्लग-इन इंटरनेट ज़ोन साइटों पर OBJECT के रूप में लोड नहीं होगा; इसके बजाय एक अधिसूचना दिखाई जाएगी। क्योंकि इंट्रानेट और विश्वसनीय साइटें प्रति-साइट ActiveX सूची को अनदेखा करती हैं, इसलिए आप उन साइटों पर कोई अतिरिक्त चेतावनी नहीं देखेंगे।


बहुत बढ़िया जवाब, ग्रेग। समूह नीति के माध्यम से चरण 1 का प्रदर्शन किया जा सकता है, क्या यह चरण 2 के लिए भी है?

मैंने gpo सेटिंग स्प्रेडशीट में एक त्वरित जाँच की और इसे नहीं देखा। आप सेटिंग को संशोधित करते समय रजिस्ट्री की तुलना से पहले और बाद में करने में सक्षम हो सकते हैं, और इसके लिए एक कस्टम प्रशंसा टेम्पलेट बना सकते हैं।
ग्रेग आस्क्यू

मैं संभवतः GPO के माध्यम से जावा को प्रबंधित करने पर ब्याज की एक जोड़ी लिख दूंगा (लेकिन जो मैंने अभी तक पूरी तरह से पालन नहीं की है): darkoperator.com/blog/2013/1/14/… और इसके पूर्ववर्ती darkoperator.com/blog / 2013/1/12 / ...
fencepost
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.