Java über GPOs auf bestimmte Websites beschränken

    Java über GPO deaktivierenAngesichts der immer neuen Sicherheitsprobleme von Java liegt es nahe, die Software am besten von allen Clients zu entfernen. Allerdings lässt sich das oft nicht realisieren, weil einzelne wichtige Anwendungen in dieser Sprache entwickelt wurden und das Java-Plugin für den Browser notwendig ist, um sie auszuführen. Wenn es sich dabei um eine interne Applikation handelt, dann kann man über Gruppenrichtlinien die Ausführung von Java auf das LAN beschränken.

    Ein Whitelisting von Websites, die Java-Code ausführen dürfen, ist eine ideale Lösung, wenn man Applets nur für eine überschaubare Zahl von Anwendungen benötigt, und sich ansonsten keinen Gefahren aussetzen möchte. Allerdings lässt sich das schwer realisieren, weil kein Browser dafür einfach nutzbare Techniken zur Verfügung stellt. Zusätzlich schwierig wird die Aufgabe dadurch, dass heute auf den meisten Rechnern mehrere Web-Clients installiert sind und jeder von ihnen ein anderes Management von Plugins vorsieht.

    IE und Chrome am besten zu verwalten

    Während sich viele Aspekte des Internet Explorer und von Google Chrome über Gruppenrichtlinien zentral verwalten lassen, gibt es bei Firefox keine offizielle Unterstützung für diese Art des Managements. Dennoch ist Firefox in vielen Firmen der Standard-Browser, wogegen andere Produkte mit ähnlichen Defiziten dort kaum eine Rolle spielen. In kleinen Umgebungen kann man bei solchen Web-Clients zur Not die Java-Plugins auch manuell deaktivieren, aber bei einer größeren Zahl von PCs ist das kein gangbarer Weg.

    Auch wenn der Internet Explorer immer wieder Argumente liefert, einen anderen Browser als Standard zu wählen, so ist er für die Beschränkung von Java auf interne Web-Seiten der einzige Kandidat, mit dem sich dieses Anliegen realisieren lässt. Daher würde die hier vorgeschlagene Lösung so aussehen, dass nur der IE für Java verwendet wird, während man es in allen anderen Browsern (zentral) deaktiviert.

    Doppelte Konfiguration in IE

    Die Einschränkung von Java auf interne Sites lässt sich im Internet Explorer erreichen, indem man es für die Zone Internet deaktiviert. Das ist jedoch nicht so einfach, wie man meinen möchte. Das Problem besteht darin, dass Java in HTML-Seiten sowohl mit Hilfe des Elements <applet> als auch über <object> eingebettet werden kann. Für jedes Verfahren muss der IE separat konfiguriert werden.

    Management der applet-Variante

    Der einfache Teil besteht in der Definition von Policies für die <applet>-Variante. Hierfür zuständig sind die URLACTION_JAVA_PERMISSIONS, die sich im Gruppen­richt­linien­verwaltungs-Editor in Java-Einstellung unter Computer- bzw. Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Internetsystemsteuerung => Sicherheitsseite => Internetzone festlegen lassen. Dort wählt man die Einstellung Java deaktivieren, so dass es in dieser Zone nicht mehr ausgeführt werden kann.

    Java-Code, der in HTML-Seiten über das applet-Tag gestartet wird, lässt sich relativ einfach kontrollieren.

    Benötigt man Java aber dennoch auf einigen ausgewählten externen Seiten, dann kann man eine Whitelist anlegen, indem man die betreffenden Web-Adressen in die Zone Vertrauenswürdige Sites aufnimmt. Auch dies lässt sich über Gruppenrichtlinien zentral erledigen, und zwar unter Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Internetsystemsteuerung => Sicherheitsseite => Liste der Site zu Zonenzuweisungen.

    Hier gibt man die URLs ein, gefolgt von der ID der Zone, der sie zugewiesen werden sollen. Im Fall der Vertrauenswürdigen Sites ist das der Wert '2'. Nach der Aktivierung dieser Richtlinie sind Benutzer nicht mehr in der Lage, über den Dialog Internetoptionen => Sicherheit selbst Websites als vertrauenswürdig einzustufen.

    Externe Sites, die Java-Anwendungen ausführen dürfen, nimmt man per GPO in die Zone 'Vertrauenswürdige Sites' auf.

    Java-Aufruf über object-Tag

    Weit kniffliger sind die Fälle, wo Java mit einem <object>-Element in HTML eingebettet wird. Es dient nämlich dazu, alle möglichen binären Objekte zu starten, so dass sich Beschränkungen nicht nur auf Java auswirken würden. In dieser Konstellation führt der Weg über die generelle Blockierung der Java-Plugins.

    Dazu gibt man in die Add-on-Liste unter Computer- oder Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheitsfunktionen => Add-on-Verwaltung die CLSID aller Java-Plugins ein, gefolgt vom Wert 0.

    Die CLSIDs kann man ermitteln, indem man das Menü für die Einstellungen des IE öffnet und dort den Befehl Add-ons verwalten ausführt. Im Kontextmenü des Plugins findet sich der gewünsche Wert unter Weitere Informationen.

    Whitelisting für erlaubte Plugins

    Wenn man für externe Websites nur wenige Add-ons benötigt, dann bestünde ein alternatives Vorgehen darin, dass man die zulässigen Plugins explizit erlaubt. Anschließend konfiguriert man die Zone Internet so, dass dort nur ActiveX Controls erlaubt sind, die vorher vom Administrator abgesegnet wurden. Auch hier besteht die Möglichkeit, ausgewählte externe Seiten in die Zone Vertrauenswürdige Sites aufzunehmen und so von der Sperre zu befreien, die für die Zone Internet gilt.

    Bei dieser Variante wechselt man im GPO-Editor zu Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Vom Administrator überprüfte Steuerelemente. Dort finden sich Richtlinien für gängige Add-ons, die man bei Bedarf aktivieren soll. In den meisten Fällen wird diese Vorgabe jedoch nicht reichen, so dass man die Liste erweitern muss.

    Template für erlaubte Add-ons

    Auch diese Aufgabe verursacht einigen Aufwand, weil man dafür ein Template erstellen und importieren muss. Diese schon etwas ältere, aber noch gültige Anleitung beschreibt, wie man vorgehen soll.

    Wenn man in der Zone Internet nur genehmigte Add-ons zulässt, dann kann man damit Java ausschließen.

    Sobald die Liste der erlaubten Steuerelemente vollständig ist, kann man die Ausführung von nicht dort enthaltenen ActiveX Controls in der Zone Internet verweigern. Diesem Zweck dient die Richtlinie Computer- bzw. Benutzerkonfiguration => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Internetsystemsteuerung => Sicherheitsseite => Internetzone => ActiveX-Steuerelemente und Plug-Ins ausführen. Hier wählt man die Einstellung Vom Administrator genehmigt aus.

    Java in Chrome per GPO abschalten

    Der Nachteil von Java-Richtlinien, die sich auf das Management des Browser-Plugins verlassen, besteht nicht nur im hohen Aufwand, sondern darin, dass man alle installierten Web-Clients in den Griff bekommen muss. Wenn man den IE passend konfiguriert hat, muss man gegebenenfalls dafür sorgen, dass auch von Chrome und Firefox keine Gefahr ausgeht.

    Google unterstützt seit geraumer Zeit das Management von Chrome über Gruppenrichtlinien. Allerdings ist die Zahl der Einstellungen relativ überschaubar. Das hat zwar im Vergleich zum IE den Vorteil, dass man sich nicht durch einen Wust von Richtlinien wühlen muss. Dafür lässt sich Chrome nicht so fein abgestuft verwalten. Im Fall von Java besteht nur die Möglichkeit, die Erweiterung pauschal zu deaktivieren. Das würde aber ausreichen, wenn man nur den IE für die Java-Anwendungen nutzt.

    Spärliche Bordmittel von Java

    Statt jeden einzelnen Browser zu verwalten, wäre es ideal, wenn Java selbst die Möglichkeit böte, die Ausführung von Anwendungen abhängig von ihrer Herkunft zu steuern. Tatsächlich kann man über eine Konfigurationsdatei die zulässigen Programme festlegen, allerdings nur auf Basis ihres Zertifikats. Und dann bleibt immer noch die Aufgabe, die Datei mit den Einstellungen auf alle PCs zu verteilen. Auf der Website darkoperator.com findet sich eine ausführliche Beschreibung für dieses Vorgehen, das kaum Vorteile gegenüber der Verwaltung der Browser-Plugins bietet und nicht minder aufwändig ist.

    Java in der Firewall ausfiltern

    Die einfachste und effektivste Kontrolle von Java-Anwendungen lässt sich möglicherweise nicht über das Management der PCs realisieren, sondern über die Firewall. Wenn diese einen Content-Filter besitzt, der <object>-Tags für Java aus allen Web-Seiten entfernt und dabei auch noch Ausnahmen zulässt, dann werden die meisten Administratoren wohl diese Variante bevorzugen. Wenn allerdings Notebook-User unterwegs nicht nur über den VPN-Tunnel ins Internet gehen, dann greifen die Firewall-Policies für diese Gruppe nicht.

    Keine Kommentare