创建 Applet 和 ActiveX 安全策略

“Applet 与 ActiveX 安全性”使您能针对所有 LAN 用户创建和强制实施安全策略，而不是依赖于每个用户来正确地配置其 Web 浏览器中的安全设置。

创建 Applet 与 ActiveX 安全性策略：

1. 从 IWSA 菜单中，单击 HTTP > Applet 和 ActiveX > 策略，然后单击添加按钮。

2. 在出现的“添加策略”窗口中，键入策略的名称，然后定义策略将应用于的用户，并单击下一步。（用户 ID 方法 — LDAP、IP 地址、主机名 — 在 管理 > IWSA 配置 > 用户识别 | 用户识别页面中定义。）

“帐户”文本框应支持 IPv6 地址。您可以为任意 IPv6 主机定义一条规则，当客户端通过 IWSA 访问 Applet 或 ActiveX 时，将触发此策略规则。

当选择可用策略时，将同时显示 IPv4 和 IPv6 策略。

在“帐户”文本框中，可接受的帐户条目包括单个 IPv6 地址、IPv6 范围或 IPv6 掩码（类似于支持的 IPv4 掩码）。

• 注意：如果要将策略应用于组织中的所有用户，请编辑预先存在的“全局”策略。缺省情况下，全局策略的优先级最低 — 列表中的所有其他策略都优先于该策略。

1. 在 Applet 和 ActiveX 策略: 添加策略页面中的 Java Applet 安全下，选择：

• 阻止所有 Java Applet — IWSA 将阻止所有客户端访问 Web 上的 Java Applet。当 Web 页面上的 Java Applet 被阻止时，用户将收到通知。

• 使用以下设置处理 Java Applet — 共有四个条件，并且您可以让 IWSA 采取四种处理措施之一（在下面介绍）。

条件：

• 有效签名、可信证书 — 意味着 CA 出现在 IWSA 的“数字证书”列表中，并且没有被加入黑名单或停用。

• 有效签名、被加入黑名单的证书 — 意味着 CA 出现在 IWSA 的“数字证书”列表中，但已被加入黑名单（例如被发现是伪造而加入黑名单）。

• 无签名 — 意味着 Java Applet 未签名。您为此条件指定的任何处理措施都将应用于其签名已通过“设置”页面规则被剥离的 Applet。

• 无效签名 — 意味着 Java Applet 签名存在问题；例如，Applet 已被篡改。

• 注意：在改编过程中，IWSA 将使 Applet 签名无效。您可以让 IWSA 使用新签名对 Applet 重新签名、剥离签名或以无效的方式继续发送。在任何情况下，都会按此处指定的方式处理 Applet。

处理措施：

• 不予处理 — 尽管已扫描并且可能已改编，但不会对任何 Java Applet 采取处理措施。

• 改编并重新签名 — Java Applet 将打开（签名已损坏），并根据 Applet 改编设置配置插入先占式代码，之后使用设置页中指定的签名对 Applet 进行重新签名。

• 改编并剥离签名 — Java Applet 将打开（签名已损坏），并根据 Applet 改编设置配置插入先占式代码，之后将剥离（现在无效的）签名 — Applet 将为未签名。

• 阻止 — 将阻止满足上面指定条件的 Java Applet。

2. 按照下面介绍的方式选择您希望 IWSA 允许或先占哪些处理措施。

• 注意：在“改编”过程中，IWSA 将打开每个 Java Applet 并检查内部代码的特性。如果 IWSA 检测到下面配置的类型的代码，它将插入先占式命令以防止 Applet 运行原始代码。当然，签名（如果有）将会失效。

允许 Applet 执行以下文件操作：

• 破坏性操作 —“破坏性”操作被视为可更改文件或目录状态的任何命令。可能存在破坏性的操作包括：

• delete

• mkdir

• deleteOnExit

• mkdirs

• createNewFile

• createTempFile

• setLastModified

• renameTo

• 非破坏性操作 —“非破坏性”操作被视为使文件或目录状态保持原样的任何命令。

• canRead

• canWrite

• exists

• isDirectory

• isFile

• lastModified

• length

• isHidden

• getCanonicalPath

• getCanonicalFile

• listRoots

• listFiles

• list

• 写 — 禁用此选项可防止 Applet 在 LAN 客户端的计算机上执行任何写操作。

• 读 — 禁用此选项可防止 Applet 在 LAN 客户端的计算机上执行任何读操作。

允许 Applet 执行以下网络操作：  

• 绑定本地端口 — 禁用此选项可防止下载到 LAN 客户端的 Applet 绑定到那些客户端的本地端口。

• 连接到其起源服务器 — 禁用此选项可防止下载到 LAN 客户端的 Applet 与从中下载 Applet 的服务器联系。

• 主机连接 — 禁用此选项可防止下载到 LAN 客户端的 Applet 创建与那些客户端计算机的主机连接。

允许 Applet 执行以下线程和窗口操作：  

• 创建新线程组 — 清除此选项可防止下载到 LAN 客户端的任何恶意 Applet 启动多个线程并锁定浏览器。

• 创建活动线程，最大线程数 — 清除此选项可防止下载到 LAN 客户端的 Applet 创建活动进程线程，或选择此选项并输入限制。

• 创建活动窗口，最大窗口数 — 清除此选项可防止下载到 LAN 客户端的 Applet 打开或弹出新浏览器窗口，或选择此选项并输入限制。这种“浏览器风暴”把戏非常常见。

3. 例如，在注意: 文本框中，键入策略的理由、意向或授权，或只是保留更改记录。

4. 单击下一步打开“ActiveX 安全性”页面，然后选择是否阻止 Windows CAB 和/或可移植可执行文件。

• 阻止所有压缩文件 — 选择此选项可防止 LAN 客户端下载 Windows .CAB 文件。（.CAB 文件不会包括在用于阻止压缩文件的病毒扫描策略选项中）。

• 允许所有压缩文件 — 选择此选项可使 IWSA 忽略 Windows .CAB 文件下载。

• 验证签名 — 选择此选项可在下列情况下防止 LAN 客户端下载 Windows .CAB 文件：

• 阻止无效 — IWSA 签名验证（“HTTP”>“设置”>“ActiveX 可执行文件”）检查发现 ActiveX 文件的证书无效。

• 阻止未签名 — IWSA 签名验证检查发现 ActiveX 文件的证书未签名。
   

• 可移植可执行 (PE) 文件 — 如果有启用文件阻止（Java、可执行文件）的病毒扫描策略，该策略将优先于 PE 文件阻止（“可执行文件”类别的子集）。  

• 阻止 PE 格式的文件 — 选择此选项可防止 LAN 客户端下载 Windows COM 对象，包括 .ocx、.exe 和 .dll 文件。

• 允许 PE 格式的文件 — 选择此选项可忽略 PE 文件下载。

• 验证签名 — 选择此选项可在下列情况下防止 LAN 客户端下载 PE 文件：

• 阻止无效 — IWSA 签名验证检查发现 PE 文件的证书无效。

• 阻止未签名 — IWSA 签名验证检查发现 PE 文件的证书未签名。

• 对所有签名的 PE 格式的可执行文件强制实施策略 (不仅是 ActiveX/COM 对象) — 如果选择此选项，则会扫描所有 PE 文件，而不仅仅 ActiveX 控件是其子类型的 COM 对象。请注意，这可能会影响性能。

5. 单击下一步打开“Applet 和 ActiveX 限制的例外情况”页面，然后选择允许的 URL 列表。

6. 单击保存将策略添加到列表。

7. 最后，在 Applet 和 ActiveX 策略列表页面中，单击部署策略将策略上传到 IWSA 数据库。

另请参阅

• Applet 改编设置

• 关于 Applet 和 ActiveX 安全

• 临时策略