Java-Sicherheitseinstellungen: Site-List zentral pflegen und über GPO verteilen

    Java LogoAls Reaktion auf noto­rische Sicherheits­probleme hat Oracle die Aus­führung von Java-Anwendungen so einge­schränkt, dass diese ohne gül­tiges Zer­tifikat nicht starten können. Wenn nötig, lassen sich jedoch Aus­nahmen in einer Site-List definieren. Dieser Beitrag zeigt, wie man diese URLs zentral verwalten kann.

    Mit dem Java-Release 7.51 wurde das Feature Ausnahmeliste eingeführt. Durch das Hinzufügen von URLs zu dieser Exception List können Benutzer Rich Internet Applications (RIAs) ausführen, die normaler­weise von der Sicherheits­prüfung blockiert würden. Dies sind Anwendungen, welche in Java programmiert wurden und über ein Web-Interface aufgerufen werden.

    Nischenanwendungen als Problem

    Java hat sich als Technik für Desktop-Anwendungen zwar nicht besonders durchgesetzt, aber gerade bei Branchen­lösungen trifft man immer wieder auf Java-Frontends. So ist es etwa bei GLT (Gebäude­technik/Schwimm­badtechnik) öfters der Fall, dass die Java-Appli­kationen nicht von einem vertrauens­würdigen Herausgeber stammen und daher die Sicherheits­prüfung nicht bestehen.

    Die Site-List mit den Ausnahmen kann man auf der Registerkarte 'Sicherheit' öffnen.

    Die interaktive Variante, um URLs für Java-Anwendungen in die Ausnahme­liste aufzunehmen, führt über das Applet in der System­steuerung. Unter dem Reiter Sicherheit findet sich die Schaltfläche  Siteliste bearbeiten. Sie öffnet einen Dialog, wo man alle Einträge (URLs) per Hand eingeben muss.

    Hinzufügen von Ausnahmen über das Applet in der Systemsteuerung

    Direktes Bearbeiten der Liste

    Soll eine bestimmte Anwendung auf vielen PCs von der Java-Policy ausgenommen werden, dann ist es zu umständlich, die Liste auf jedem Rechner in der System­steuerung zu pflegen. Einfacher geht es, wenn man die Datei exception.sites direkt bearbeitet und sie dann auf die anderen PCs überträgt.

    Dabei handelt es sich um eine einfache Textdatei, wo jeder Eintrag in einer eigenen Zeile steht. Sie wird allerdings erst angelegt, wenn man in der System­steuerung zumindest eine URL in die Liste aufge­nommen hat.

    Daher ist es am einfachsten, auf einem Referenz-Computer einen ersten Eintrag per Hand in die Sitelist einzugeben und danach exception.sites in einem Editor nachzu­bearbeiten. Die Datei liegt unter

    %USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\security

    Die Site-List ist eine einfache Textdatei, die man in einem Editor bearbeiten kann.

    Nach dem Speichern der Änderungen kann man die neuen Einträge im Applet der System­steuerung kontrollieren. Werden sie hier angezeigt, dann war die Aktion erfolgreich.

    Nach dem Bearbeiten der Liste im Editor sollten sich die URLs auch in der Systemsteuerung zeigen.

    Wenn schließlich die Sitelist auf mehrere PCs in einer Domäne verteilt werden soll, dann bieten sich dafür die Group Policy Preferences an. Sie bieten einen Mechanismus zum Kopieren von Dateien.

    Benutzer müssen die Ausführung von Anwendungen bestätigen, auch wenn sie in der Site-List sind.

    Wenn Benutzer nun eine Java-Anwendung im Web-Browser öffnen wollen, die in die Liste der Ausnahmen enthalten ist, dann bekommen sie aber immer noch eine Sicherheits­warnung mit der Frage, ob Sie diese Anwendung wirklich ausführen möchten. Diese müssen Sie dann mit einem Klick auf Ausführen bestätigen.

    Keine Kommentare