Oracle Java JRE Einstellungen per Configuration Baselines

Grundsätzlich sollten sicherheitstechnisch die Einstellungen der Java Runtime möglichst hoch eingestellt werden. Während der Installation wird die Grundkonfiguration und somit die Standardsicherheit in der Datei "C:\Windows\Sun\Java\Deployment\deployment.properties" eingestellt. In Spezialfällen können jedoch explizite Einstellungen nötig sein.

In "Microsoft System Center Configuration Manager 2012" kann unter "\Assets and Compliance\Overview\Compliance Settings\" eine "Configuration Baseline" mit einem "Configuration Item" als Lösung erstellt werden. 

"Configuration Item"

Im dazugehörigen "Configuration Item" erfolgt die Prüfung (Discovery Script) und gegebenenfalls Korrektur (Remediation Script) per Powershell.

Discovery.ps1

#############################################################################
<#
 Summary:          JRE Config
 Create Date:      2015-06-08
 Author:           Martin Schneeberger
 License:          Copyright © 2015
#>
#############################################################################
# Main
#############################################################################

try
{
	# Check if file 'deployment.properties' exists
	if(Test-Path -Path "$env:windir\Sun\Java\Deployment\deployment.properties")
	{
	    # Check setting 'deployment.security.revocation.check'
	    $deploymentsecurityrevocationcheck = Get-Content "$env:windir\Sun\Java\Deployment\deployment.properties" | Select-String "deployment.security.revocation.check=NO_CHECK"

	    # Check setting 'deployment.security.revocation.check'
	    $deploymentsecuritytlsrevocationcheck = Get-Content "$env:windir\Sun\Java\Deployment\deployment.properties" | Select-String "deployment.security.tls.revocation.check=NO_CHECK" 

	    # Return Comliance
	    if(($deploymentsecurityrevocationcheck -eq $null) -or ($deploymentsecuritytlsrevocationcheck -eq $null))
	    {
	    	$Compliance = "NonCompliant" 
	    }
	    else
	    {
	    	$Compliance = "Compliant"
	    }
	}
	else
	{
	    $Compliance = "NonCompliant" 
	}

	# Return
	Return $Compliance
}
finally
{
	New-EventLog -LogName Application -Source "Configuration Baseline" -ErrorAction SilentlyContinue
	Write-EventLog -logname Application -source "Configuration Baseline" -eventID 3001 -entrytype Information -message "Configuration Baseline 'JRE Config' Discovery: $Compliance"
}

#############################################################################

Remediation.ps1

#############################################################################
<#
 Summary:          JRE Config
 Create Date:      2015-06-08
 Author:           Martin Schneeberger
 License:          Copyright © 2015
#>
#############################################################################
# Main
#############################################################################

# Config Template
$ConfigTemplate = @"
#deployment.properties
deployment.security.SSLv2Hello=true
deployment.expiration.check.enabled=false
deployment.user.security.exception.sites=C\:\\Windows\\Sun\\Java\\Deployment\\exception.sites
deployment.user.security.exception.sites.locked
deployment.security.level=HIGH
deployment.security.level.locked
deployment.proxy.type=3
deployment.proxy.type.locked
deployment.security.revocation.check=NO_CHECK
deployment.security.revocation.check.locked
deployment.security.tls.revocation.check=NO_CHECK
deployment.security.tls.revocation.check.locked
"@

try
{
	# Check if file 'deployment.properties' exists
	if(Test-Path -Path "$env:windir\Sun\Java\Deployment\deployment.properties")
	{
	    # Check setting 'deployment.security.revocation.check'
	    $deploymentsecurityrevocationcheck = Get-Content "$env:windir\Sun\Java\Deployment\deployment.properties" | Select-String "deployment.security.revocation.check=NO_CHECK"

	    # Check setting 'deployment.security.revocation.check'
	    $deploymentsecuritytlsrevocationcheck = Get-Content "$env:windir\Sun\Java\Deployment\deployment.properties" | Select-String "deployment.security.tls.revocation.check=NO_CHECK" 

	    # Write new 'deployment.properties' file
	    if(($deploymentsecurityrevocationcheck -eq $null) -or ($deploymentsecuritytlsrevocationcheck -eq $null))
	    {
	        $ConfigTemplate | Out-File -FilePath "$env:windir\Sun\Java\Deployment\deployment.properties" -Encoding default -Force
	    }
	}
	else
	{
	    # Write new 'deployment.properties' file
	    $ConfigTemplate | Out-File -FilePath "$env:windir\Sun\Java\Deployment\deployment.properties" -Encoding default -Force
	}
}
finally
{
	New-EventLog -LogName Application -Source "Configuration Baseline" -ErrorAction SilentlyContinue
	Write-EventLog -logname Application -source "Configuration Baseline" -eventID 3002 -entrytype Information -message "Configuration Baseline 'JRE Config' Remediation: Updated!"
}

#############################################################################


In der "Compliance Rule" wird definiert, dass der Rückgabewert des "Discovery Script" dem Wert "Compliant" entsprechen muss. Ist dies nicht der Fall wir das "Remediation Script" ausgeführt.


"Configuration Baseline"

Die "Configuration Baseline" müsste zeitlich relativ oft angewandt werden, damit die Einstellungen für die Endbenutzenden auch nach einem Update der Java Runtime rasch wieder wirken. Eine Evaluation jede Stunde macht Sinn.

Edison

Der 82 x 75 x 38 mm messende und 110 Gramm schwere Edison rechnet mit einem Freescale MC9S08PA8VLC-Mikrokontroller. Der Roboter ist mit zwei Rädern bestückt und steckt in einem Gehäuse, das mit Lego-Noppen versehen ist. So kann der Edison schnell mit zusätzlichen Plastikklötzchen erweitert werden. Zum Lieferumgang des Roboters gehören neben Mikrokontroller, Gehäuse samt Motoren und Rädern sowie Steuerungstasten auch Infrarot-LEDs und -Empfänger, einfarbige LEDs und Fotowiderstände sowie ein Piezowandler. Als Energiequelle dienen vier AAA-Batterien, mit denen Edison je nach Sensorbestückung bis zu einer Stunde umherfahren kann. Programmiert wird der Roboter in der grafischen Sprache EdWare, die Anwendungen werden audio-kodiert über ein spezielles EdComm-Kabel übertragen.

Edison lässt sich unter anderem mit Hilfe einer Infrarot-Fernbedienung steuern. Standardmäßig sind bereits mehrere Programme im Roboter gespeichert, die mittels Barcodes aufgerufen werden können. So kann der Roboter beispielsweise sofort einer Linie oder Leuchtquelle folgen, Hindernissen ausweichen oder auf Geräusche reagieren. Mehrere Edisons können via Infrarot kommunizieren und lassen sich auch miteinander kombinieren.