Когда известная угроза Java вышла из-под контроля, я заставил GPO отключить Java в IE. Однако я бы хотел отключить Java во всех браузерах. Java предоставляет документацию о том, как это сделать через новую панель управления: Как отключить Java в моем веб-браузере?
Я бы хотел передать этот параметр через групповую политику. Я полагаю, что это можно сделать, указав параметр реестра, измененный панелью управления Java.
Кто-нибудь определил параметры реестра, необходимые для отключения Java во всех браузерах?
Обновить: Microsoft опубликовала KB 2751647, в которой описаны необходимые настройки:
http://support.microsoft.com/kb/2751647
Для этих сценариев я обычно просто делаю снимок до / после, используя reg.
REG EXPORT HKLM HKLM-Before.txt
REG EXPORT HKCU HKCU-Before.txt
Внесите изменения в настройки конфигурации ...
REG EXPORT HKLM HKLM-After.txt
REG EXPORT HKCU HKCU-After.txt
Затем используйте приличный текстовый редактор, такой как Notepad ++, с надстройкой Compare, чтобы определить различия в каждом наборе файлов до и после.
Если у вас есть платформы x86 и x64, вам, скорее всего, понадобятся два разных набора значений реестра и GPO, поскольку почти все используют 32-битную Java, даже если платформа x64.
Я нашел изменение под:
HKEY_CURRENT_USER\Software\AppDataLow\Software\JavaSoft\DeploymentProperties\
Добавлен ключ:
deployment.webjava.enabled - REG_SZ - false
Firefox может найти подключаемый модуль Java двумя способами, оба должны быть отключены:
После тестирования похоже, что существует слишком много ключей реестра, которые необходимо изменить, чтобы этот вариант был жизнеспособным. Кроме того, это будет работать только для java 7 с обновлением 10 и выше. Учитывая эту информацию и выпуск обновления 11 для Java 7, я просто выпустил последний выпуск через GPO.
Инструмент RegFromApp, вероятно, лучше находит изменения в реестре. Он не делает снимков, он наблюдает за внесением изменений, и ему можно указать, чтобы он следил только за изменениями, внесенными определенным процессом. Это дает вам намного меньший, более чистый файл реестра с меньшим количеством беспорядка. К сожалению, однажды я заметил, что даже этот инструмент иногда перечисляет изменения, которые должны были быть откуда-то еще.