Sergey Nivens - Fotolia

Security-Einstellungen für Java auf Clients richtig umsetzen

In Unternehmen wird Java häufig weiterhin eingesetzt, da viele Programme die Erweiterung benötigen. Dann sollten zumindest die Einstellungen in Sachen Sicherheit optimiert werden.

Viele Entwickler werden weiterhin auch für Apps auf Windows-Basis nutzen. Wenn in Windows Java installiert ist, steht in der Systemsteuerung ein zusätzliches Applet zur Verfügung. Über dieses Applet wird Java in Windows 10 konfiguriert. Natürlich steht das Java-Applet auch in früheren Windows-Versionen parat.

Wer Java auf einem Mac installiert hat, findet in den Systemeinstellungen ebenfalls Möglichkeiten zur Konfiguration von Java. Java steht derzeit in der Version 8 für Windows zur Verfügung, die kommende Version 10 soll viele Sicherheitslücken schließen. Die nachfolgenden Einstellungen wurden mit beiden Versionen getestet.

Wenn für Java-Apps kein Zertifikat vorliegt, blockiert Windows 10 die Ausführung der Anwendung. In diesem Fall kann hier festgelegt werden, wie sich Java verhalten soll, wenn eine Anwendung gestartet wird, die Java benötigt. Über das Applet lassen sich zum Beispiel Ausnahmelisten konfigurieren und festlegen, welche Anwendungen gestartet werden dürfen, die ansonsten blockiert werden. 

Über die Ausnahmeliste im Java-Applet der Systemsteuerung können solche Apps in Windows 10 über die Registerkarte Sicherheit eingetragen werden. Allerdings sollte hier vorsichtig vorgegangen werden, wenn eine Anwendung eingetragen wird.

Wer auf Nummer sicher gehen will, kann auf der Registerkarte Sicherheit die Option Sehr hoch festlegen. Dadurch werden nur Anwendungen gestartet, die ein Zertifikat nutzen, das auch überprüft werden kann.

Über das Java-Applet in der Systemsteuerung können Java-10-Apps in Windows 10 konfiguriert werden.
Abbildung 1: Über das Java-Applet in der Systemsteuerung können Java-10-Apps in Windows 10 konfiguriert werden.

Profis müssen aber nicht zwangsweise das Java-Applet in der Systemsteuerung nutzen. Generell besteht auch die Möglichkeit, direkt die Systemdatei exception.sites zu bearbeiten. Diese kann anschließend auf mehrere Rechner per Skript verteilt werden. Das macht das Eintragen einer bestimmten App in der Systemsteuerung einfacher.

Bei der Datei handelt es sich um eine einfache Textdatei, die im Verzeichnis %USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\security gespeichert ist.

Um die Datei im Netzwerk zu verteilen, können Administratoren auch die Dateikopie-Funktion von Gruppenrichtlinien-Einstellungen nutzen, oder ein einfaches Skript, das mit „copy“ oder „xcopy“ arbeitet, beziehungsweise mit „Robocopy“, wenn mehrere Dateien kopiert werden sollen.

Java aktuell halten

Natürlich werden mit jeder neuen Java-Version auch wesentliche Verbesserungen in der Sicherheit vorgenommen. Daher ist es ratsam, Java auf Windows-Rechnern aktuell zu halten. Bei der Verteilung von Java über Automatisierungs-Tools, aber auch bei der manuellen Konfiguration von Java, sollten Administratoren im Java-Applet in der Systemsteuerung auf der Registerkarte Update die automatische Aktualisierung konfigurieren. Über die Schaltfläche Erweitert kann festgelegt werden, wann eine Aktualisierung durchgeführt werden kann.

Entsprechend eingestellt, hält Java zum angegebenen Zeitpunkt selbstständig nach Updates Ausschau.
Abbildung 2: Entsprechend eingestellt, hält Java zum angegebenen Zeitpunkt selbstständig nach Updates Ausschau.

Java im Netzwerk und mit Proxy betreiben

Auf der Registerkarte Allgemein können Netzwerkeinstellungen für Apps vorgenommen werden, die Java nutzen. Hier kann zum Beispiel festgelegt werden, dass Java-Apps einen Proxy-Server nutzen. An dieser Stelle wird auch eingerichtet, wo die temporären Dateien zwischengespeichert werden sollen.

Über die Registerkarte Erweitert können im Java-Applet weitere Einstellungen vorgenommen werden, um die Sicherheit von Java und das generelle Verhalten von Java-Apps zu steuern. Hier sind auch verschiedene Optionen für Entwickler interessant, zum Beispiel die Protokollierung sowie der Zugriff auf die Java-Konsole.

In den erweiterten Einstellungen von Java lassen sich Optionen festlegen, wie sich Java beim Starten verhalten soll.
Abbildung 3: In den erweiterten Einstellungen von Java lassen sich Optionen festlegen, wie sich Java beim Starten verhalten soll.

Java deinstallieren

Java gehört nicht zu den sichersten Anwendungen auf PCs. Daher sollte Java möglichst deinstalliert werden, wenn aktuell keine App zum Einsatz kommt, die Java benötigt. Am einfachsten geht das in der Programmsteuerung von Windows. Diese wird über appwiz.cpl gestartet. Java wird hier als eigenes Programm angezeigt und kann auch schnell und einfach deinstalliert werden. Wenn in Zukunft wieder ein Programm Zugriff auf Java benötigt, kann die Erweiterung wieder installiert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows-10-Systeme härten

Kostenloser E-Guide: Das Risiko Webanwendungen absichern

Das Sicherheitsrisiko bei Anwendungen reduzieren

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close