중앙에서 관리되는 컴퓨터를 더 잘 보호하고 싶습니다. 자동으로 Java 런타임을 배포하는 것은 매우 어렵지만 그렇게하는 방법은 또 다른 질문입니다.
완전히 패치 된 경우에도 Java의 보안이 치명적이라고 생각합니다. 사용자가 “이 인증서를 신뢰합니까?”라는 무고한 질문에 예라고 대답하면 Java가 원하는 모든 작업을 수행 할 수 있습니다. Java 웹 스타트는 또한 악성 코드 제작자들에게 보편적 인 진입 점 인 것 같습니다.
일반적으로 브라우저 게임 등을하는 사용자는 신경 쓰지 않습니다. Java 애플릿은 어쨌든 멸종 된 것 같습니다.
그러나 Java에 의존하는 한 페이지 왼쪽 (Ingramm Micro 쇼핑 시스템)이 있습니다.
아무도 미리 구성된 특정 사이트에서 Java 플러그인 만 허용하도록 그룹 정책을 통해 IE 또는 Java를 구성하는 쉬운 방법을 알고 있습니까?
감사!
답변
훌륭한 질문입니다. 아이러니하게도이 기능은 이전 Microsoft JVM (10 년 전)에 공개되었습니다.
Internet Explorer에서 Java 제어
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx
최근 Internet Explorer에서 Java 사용을 제어하는 방법에 관심이있었습니다. Java는 두 가지 방법으로 호출 할 수 있으므로 고유 한 확장 성 형식입니다.
이 두 가지 호출 방법은 서로 다른 보안 제어의 적용을받으며 오늘 게시물에서 설명합니다.
애플릿 태그 제어
Internet Explorer는 APPLET 태그가 발견되면 URLACTION_JAVA_PERMISSIONS 값을 확인하여 APPLET을로드해야하는지 여부를 결정합니다. 값이 URL_POLICY_JAVA_PROHIBIT 인 경우 APPLET 태그가 JVM을로드하지 못합니다. 이전 버전의 Internet Explorer에서 Microsoft JVM을 사용할 수 있었을 때이 URLAction은 도구> 인터넷 옵션> 보안> 사용자 정의… 대화 상자에 표시되었지만 이후 제거되었습니다.
그룹 정책 편집기를 사용하여 \ Administrative Templates \ Windows 구성 요소 \ Internet Explorer \ 인터넷 제어판 \ 보안 페이지 \ ZoneID 노드에서 URLAction을 제어 할 수 있습니다.
또는 약간의 레지스트리를 조정 하여 JVM 옵션 항목 을 인터넷 제어판에 다시 추가 할 수 있습니다 .
레지스트리 스크립트는 인터넷 제어판 UI가 레지스트리를 통해 확장 가능하다는 사실을 이용합니다. URLACTION_JAVA_PERMISSIONS URLAction의 값을 조정하는 새 항목을 작성하기 만합니다.
인터넷 영역 설정을 “높은 보안”에서 비활성화 (URL_POLICY_JAVA_PROHIBIT)로 조정하면 APPLET 태그를 사용하려는 모든 사이트에서 애플릿이로드되지 않고 알림이 표시됩니다.
객체 태그 제어
불행하게도, 사이트가 OBJECT 태그를 사용하여 Java를로드하면 완전히 다른 코드 경로가 실행됩니다. OBJECT 태그의 경우, JAVA_PERMISSIONS URLAction은 참조되지 않습니다. Internet Explorer에 관한 한이 유형은 모든 유형의 OBJECT 일 수 있습니다. 대신 기존의 ActiveX 제어 기능 (예 : ActiveX 필터링, 사이트 별 ActiveX, 애드온 관리 등)을 참조하십시오. IE의 도구> 애드온 관리 기능을 사용하여 Java Plug-in 객체의 상태를 검사하거나 조정할 수 있습니다.
참고 : Java Plug-In SSV Helper Browser Helper 객체는 비활성화 할 수 없습니다. 웹 사이트에서 설치 한 이전 버전의 안전하지 않은 JVM 버전을로드하려고 시도하지 않을 수 있습니다. 그러나이 BHO를로드하기 위해 탭 시작시 성능 저하가 발생한다는 것을 알 수 있습니다. 이것이 PC에 Java를 설치하지 않는 많은 이유 중 하나입니다.
Java Plug-in을 선택하면 OBJECT 태그에 의해 Java가로드되지 않도록 비활성화 버튼을 클릭 할 수 있습니다 . 또는 추가 정보 링크 를 클릭 하면 Java Plug-in이 실행될 수있는 사이트 목록에서 *를 지울 수 있습니다.
이후에 Java를 OBJECT 태그로 호출하려는 사이트를 방문하면 현재 사이트에서 Java를 실행할 수있는 권한을 묻는 알림 표시 줄이 나타납니다.
따라서 Java가 인트라넷 및 신뢰할 수있는 사이트 영역에서만 실행되도록하려면 다음을 수행하십시오.
- 인터넷 영역의 URLAction을 비활성화로 조정
- ActiveX 컨트롤의 사이트 별 목록에서 *를 제거하십시오.
1 단계는 인트라넷 영역 및 신뢰할 수있는 영역 사이트 만 APPLET 태그에 대해 Java를로드 할 수 있도록합니다. 2 단계는 Java Plug-in이 인터넷 영역 사이트에서 OBJECT로로드되지 않도록합니다. 대신 알림이 표시됩니다. 인트라넷 및 신뢰할 수있는 사이트는 사이트 별 ActiveX 목록을 무시하므로 해당 사이트에 대한 추가 경고가 표시되지 않습니다.