Internet Explorer의 특정 사이트에서만 Java 플러그인이 실행되도록 제한하려면 어떻게해야합니까?


10

중앙에서 관리되는 컴퓨터를 더 잘 보호하고 싶습니다. 자동으로 Java 런타임을 배포하는 것은 매우 어렵지만 그렇게하는 방법은 또 다른 질문입니다.

완전히 패치 된 경우에도 Java의 보안이 치명적이라고 생각합니다. 사용자가 "이 인증서를 신뢰합니까?"라는 무고한 질문에 예라고 대답하면 Java가 원하는 모든 작업을 수행 할 수 있습니다. Java 웹 스타트는 또한 악성 코드 제작자들에게 보편적 인 진입 점 인 것 같습니다.

일반적으로 브라우저 게임 등을하는 사용자는 신경 쓰지 않습니다. Java 애플릿은 어쨌든 멸종 된 것 같습니다.

그러나 Java에 의존하는 한 페이지 왼쪽 (Ingramm Micro 쇼핑 시스템)이 있습니다.

아무도 미리 구성된 특정 사이트에서 Java 플러그인 만 허용하도록 그룹 정책을 통해 IE 또는 Java를 구성하는 쉬운 방법을 알고 있습니까?

감사!


오라클은 JRE를 MSI로 제공함으로써 탈퇴 / 업데이트를 매우 간단하게 만듭니다.
jscott

답변:


12

훌륭한 질문입니다. 아이러니하게도이 기능은 이전 Microsoft JVM (10 년 전)에 공개되었습니다.

Internet Explorer에서 Java 제어
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

최근 Internet Explorer에서 Java 사용을 제어하는 ​​방법에 관심이있었습니다. Java는 두 가지 방법으로 호출 할 수 있으므로 고유 한 확장 성 형식입니다.

이 두 가지 호출 방법은 서로 다른 보안 제어의 적용을받으며 오늘 게시물에서 설명합니다.

애플릿 태그 제어

Internet Explorer는 APPLET 태그가 발견되면 URLACTION_JAVA_PERMISSIONS 값을 확인하여 APPLET을로드해야하는지 여부를 결정합니다. 값이 URL_POLICY_JAVA_PROHIBIT 인 경우 APPLET 태그가 JVM을로드하지 못합니다. 이전 버전의 Internet Explorer에서 Microsoft JVM을 사용할 수 있었을 때이 URLAction은 도구> 인터넷 옵션> 보안> 사용자 정의… 대화 상자에 표시되었지만 이후 제거되었습니다.

그룹 정책 편집기를 사용하여 \ Administrative Templates \ Windows 구성 요소 \ Internet Explorer \ 인터넷 제어판 \ 보안 페이지 \ ZoneID 노드에서 URLAction을 제어 할 수 있습니다.

여기에 이미지 설명을 입력하십시오

또는 약간의 레지스트리를 조정 하여 JVM 옵션 항목 을 인터넷 제어판에 다시 추가 할 수 있습니다 .

여기에 이미지 설명을 입력하십시오

레지스트리 스크립트는 인터넷 제어판 UI가 레지스트리를 통해 확장 가능하다는 사실을 이용합니다. URLACTION_JAVA_PERMISSIONS URLAction의 값을 조정하는 새 항목을 작성하기 만합니다.

인터넷 영역 설정을 "높은 보안"에서 비활성화 (URL_POLICY_JAVA_PROHIBIT)로 조정하면 APPLET 태그를 사용하려는 모든 사이트에서 애플릿이로드되지 않고 알림이 표시됩니다.

여기에 이미지 설명을 입력하십시오

객체 태그 제어

불행하게도, 사이트가 OBJECT 태그를 사용하여 Java를로드하면 완전히 다른 코드 경로가 실행됩니다. OBJECT 태그의 경우, JAVA_PERMISSIONS URLAction은 참조되지 않습니다. Internet Explorer에 관한 한이 유형은 모든 유형의 OBJECT 일 수 있습니다. 대신 기존의 ActiveX 제어 기능 (예 : ActiveX 필터링, 사이트 별 ActiveX, 애드온 관리 등)을 참조하십시오. IE의 도구> 애드온 관리 기능을 사용하여 Java Plug-in 객체의 상태를 검사하거나 조정할 수 있습니다.

여기에 이미지 설명을 입력하십시오

참고 : Java Plug-In SSV Helper Browser Helper 객체는 비활성화 할 수 없습니다. 웹 사이트에서 설치 한 이전 버전의 안전하지 않은 JVM 버전을로드하려고 시도하지 않을 수 있습니다. 그러나이 BHO를로드하기 위해 탭 시작시 성능 저하가 발생한다는 것을 알 수 있습니다. 이것이 PC에 Java를 설치하지 않는 많은 이유 중 하나입니다.

Java Plug-in을 선택하면 OBJECT 태그에 의해 Java가로드되지 않도록 비활성화 버튼을 클릭 할 수 있습니다 . 또는 추가 정보 링크 를 클릭 하면 Java Plug-in이 실행될 수있는 사이트 목록에서 *를 지울 수 있습니다.

여기에 이미지 설명을 입력하십시오

이후에 Java를 OBJECT 태그로 호출하려는 사이트를 방문하면 현재 사이트에서 Java를 실행할 수있는 권한을 묻는 알림 표시 줄이 나타납니다.

따라서 Java가 인트라넷 및 신뢰할 수있는 사이트 영역에서만 실행되도록하려면 다음을 수행하십시오.

  1. 인터넷 영역의 URLAction을 비활성화로 조정
  2. ActiveX 컨트롤의 사이트 별 목록에서 *를 제거하십시오.

1 단계는 인트라넷 영역 및 신뢰할 수있는 영역 사이트 만 APPLET 태그에 대해 Java를로드 할 수 있도록합니다. 2 단계는 Java Plug-in이 인터넷 영역 사이트에서 OBJECT로로드되지 않도록합니다. 대신 알림이 표시됩니다. 인트라넷 및 신뢰할 수있는 사이트는 사이트 별 ActiveX 목록을 무시하므로 해당 사이트에 대한 추가 경고가 표시되지 않습니다.


훌륭한 답변, Greg. 1 단계는 그룹 정책을 통해 수행 할 수 있습니다. 2 단계에도 해당됩니까?

gpo 설정 스프레드 시트에서 빠른 확인을했는데 보지 못했습니다. 설정을 수정할 때 레지스트리 전후 비교를 수행하고 이에 대한 사용자 정의 adm 템플릿을 만들 수 있습니다.
Greg Askew

나는 GPO를 통해 자바 관리에 아마도 관심의 writeups의 몇 가지를 알게 될 것이다 (그러나 나는 아직 완전히 통해 다음하지 않은 한) : darkoperator.com/blog/2013/1/14/... 과 그 이전의 darkoperator.com/blog / 2013 / 1 / 12 /…
fencepost
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.