使用组策略进行 Java 设置管理

今天，我们将使用 Windows 组策略 (GPO) 来处理企业计算机上 Java SE 集中式安全设置的配置特性。这些策略应防止在公司计算机上下载和运行不受信任的 Java 小程序和 ActiveX 对象。

管理Java安全设置的组策略的主要要求：

• 策略应仅适用于安装了 Java 6 或 Java 7 的计算机

• 用户仍然应该有机会在 Java 控制面板中查看当前设置

• 当前的 Java 配置文件应存储在域控制器中并在域控制器之间复制

• 至少应创建 2 个策略：第一个策略应完全阻止浏览器中的 Java，第二个策略是阻止启动未签名的小程序。

此过滤器将使用 WMI 查询在 Program Files（x86 和 x64）中查找 Java\jre7 文件夹，如果找到，则会将策略应用到这些计算机。

应为 Java 6 创建相同的 WMI 过滤器（我们查找 jre6 目录）

创建 Java 配置文件

我们的任务是创建两个 Java 安全策略。其中一个将完全阻止所有浏览器中的 Java，另一个配置一些 Java 安全设置。

要将 Java 配置文件存储在域控制器的 sysvol 文件夹中（例如 \a-d.site\sysvol\a-d.site\scripts\Java），请创建两个文件夹：

1. Java7Restrict - 包含特殊 Java 安全设置的配置文件

2. Java7Block - 是在浏览器中阻止 Java 的配置文件的目录

要配置 Java SE 设置，我们需要deployment.config文件。在此配置文件中使用deployment.system.config选项，指定deployment.properties的路径，该路径确定系统所有用户的Java设置（该文件应位于%windir%\Sun\Java\Deployment\deployment.config目录中，默认情况下在安装过程中不会创建）。该路径可以指向部署.properties 的 URL（HTTP 或 HTTPS）或文件路径 UNC。要不为不同用户加载单独的 Java 设置，请设置选项deployment.system.config.mandatory=true。

提示。 具有自定义 Java 设置的配置文件存储在用户帐户的以下位置：Windows 7 中的 %USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\ 或 XP 中的 %AppData%\Sun\Java\Deployment\，并且该文件的优先级高于系统文件部署.properties。

Java7Restrict 策略的文件 deployment.config 可以如下所示：

deployment.system.config=file\://a-d.site/SYSVOL/a-d.site/scripts/Java/Java7Restrict/deployment.properties
deployment.system.config.mandatory=true

文件 deployment.properties 也可以看起来像这样（我们假设 Java 安全级别应设置为“非常高”，并且其他 Java 安全设置被阻止）

deployment.security.level=VERY_HIGH
deployment.security.level.locked
deployment.security.askgrantdialog.notinca=false
deployment.security.askgrantdialog.notinca.locked
deployment.security.notinca.warning=true
deployment.security.notinca.warning.locked

提示。 有关deployment.properties结构及其设置的更多信息，请参阅Java.net上的部署配置文件和属性或其网站上的Oracle文档（此处描述了如何使用配置文件配置Java安全设置）。

在 \a-d.site\sysvol\a-d.site\scripts\Java\Java7Restrict 文件夹中创建具有指定内容的文件。

为在所有浏览器中阻止 Java 的策略创建配置文件。为此，请将以下字符串添加到deployment.properties

deployment.webjava.enabled=false
deployment.webjava.enabled.locked

创建组策略来管理 Java 设置

让我们直接创建组策略，将 Java 安全设置分发到公司中的所有计算机。

创建一个名为 Java7Restrict 的新 GPO 对象（策略）。

使用 GPP（组策略首选项），我们必须创建一个文件夹来存储用户计算机上带有 Java 设置的配置文件。为此，请在 GPO 计算机配置 -> 首选项 -> Windows 设置 -> 文件夹中创建一个新项目，并进行以下设置：

• 操作：创建

• 路径：%WinDir%\Sun\Java\Deployment

然后您必须将deployment.config 文件复制到用户计算机。为此，请使用以下设置在 GPO 计算机配置 -> 首选项 -> Windows 设置 -> 文件 中创建一个新条目：

• 操作：替换

• 源文件：\a-d.site\sysvol\a-d.site\scripts\Java\Java7Restrict\deployment.config

• 目标文件：%windir%\Sun\Java\Deployment\deployment.config。

现在，您只需选择我们之前创建的 Java SE 7 计算机 作为 WMI 过滤器，并将策略链接（分配）到相应的 AD 容器 (OU)。

在用户计算机上应用策略后，打开 Java 控制面板并确保 Java 安全级别设置为“非常高”，并且其他选项处于非活动状态，以便用户无法编辑它们。

如果用户尝试加载自签名小程序或不在您信任的签名文件中的小程序，则会出现一个带有以下警告的窗口：

发布者无法通过可信来源验证。代码将被视为未签名。 CertificateException：您的安全配置不允许向自签名证书授予权限。

使用相同的方法创建第二个策略 Java7Deny 以完全阻止浏览器中的 Java。应用该策略后，尝试在任何浏览器中运行 Java 小程序时会出现以下通知：

应用程序被安全设置阻止
您的安全设置已阻止自签名应用程序运行。

如今，Java 小程序存在许多严重的安全问题，许多 Java 0day 漏洞和漏洞利用。因此网络管理员和安全部门应该高度重视Java的安全问题。在大型网络中，使用Windows GPO 更容易实现。