Ota käyttöön maailmanlaajuisen Flash Player -suojaus- ja tietosuoja-asetukset

Ghacks-vakituiset tietävät, että Adobe Reader on mahdollista määrittää asetusten hallintaohjelmasta sivu Macromedia-verkkosivustolla. Järjestelmänvalvojat ja tietoturva-asiantuntijat ovat käsitelleet kaksi ongelmaa, jotka liittyvät asetushallinnan online-saatavuuteen. Hyökkääjät voivat esimerkiksi vääriä varmenteita muuttaa asetuksia. Toinen ongelma on, että muutoksia ei ole mahdollista tehdä kaikille järjestelmän käyttäjille.

On hyvin varjeltu salaisuus, että Adobe Flash Player voidaan konfiguroida maailmanlaajuisesti. Järjestelmänvalvojien ja käyttäjien, jotka haluavat tehdä niin, on luotava tiedosto mms.cfg. Tämä tiedosto on tallennettava seuraaviin hakemistoihin, jotta Flash Player voi käyttää sitä:

  • Windows:% Windir% System32 Macromed Flash
  • Macintosh: / Kirjasto / Sovellustuki / Macromedia
  • Linux: / etc / Adobe /

Konfiguraatiotiedosto tukee seuraavia parametreja:

  • AllowUserLocalTrust Voit estää käyttäjiä nimeämästä tiedostoja paikallisissa tiedostojärjestelmissä luotettaviksi.
  • AssetCacheSize Voit määrittää kiinteän rajan (Mt) paikallisen tallennustilan määrälle, jota Flash Player käyttää tavallisten Flash-komponenttien varastointiin.
  • AutoUpdateDisable Voit estää Flash Playeria tarkistamasta ja asentamasta päivitettyjä versioita automaattisesti.
  • AutoUpdateInterval Voit määrittää, kuinka usein tarkistetaan päivitetty versio Flash Playerista.
  • AVHardwareDisable Voit estää SWF-tiedostoja pääsemästä verkkokameroihin tai mikrofoneihin.
  • DisableDeviceFontEnumeration Voit estää asennettujen kirjasimien tietojen näyttämisen.
  • DisableNetworkAndFilesystemInHostApp Voit estää kaikenlaista verkkoyhteyttä tai tiedostojärjestelmien käyttöä.
  • DisableProductDownload Voit estää alkuperäisten koodisovellusten lataamisen, jotka on digitaalisesti allekirjoitettu ja jotka Adobe on toimittanut.
  • DisableSockets Voit ottaa käyttöön tai poistaa käytöstä Socket.connect () - ja XMLSocket.connect () -menetelmien käytön.
  • EnableSocketsTo Voit luoda luettelon palvelimista, joihin pistorasiayhteydet ovat sallittuja.
  • EnforceLocalSecurityInActiveXHostApp Voit asettaa paikallisia tietosuojaa koskevia sääntöjä tietylle sovellukselle.
  • FileDownloadDisable Voit estää ActionScript FileReference API: n suorittamasta tiedostojen lataamista.
  • FileUploadDisable Voit estää ActionScript FileReference API: n suorittamasta tiedostojen lähettämistä.
  • FullScreenDisable Voit estää selaimen laajennuksen avulla toistettavia SWF-tiedostoja näyttämästä koko näytön tilassa.
  • LegacyDomainMatching Voit määrittää, voivatko Flash Player 6: lle ja sitä aiemmille versioille tuotetut SWF-tiedostot suorittaa toiminnon, jota on rajoitettu Flash Playerin uudemmassa versiossa.
  • LocalFileLegacyAction Voit määrittää, kuinka Flash Player määrittää, suoritetaanko tiettyjä paikallisia SWF-tiedostoja, jotka on alun perin tuotettu Flash Player 7: lle tai aiemmalle.
  • LocalFileReadDisable Voit estää paikallisia SWF-tiedostoja lukemasta pääsyä paikallisten kiintolevyjen tiedostoihin.
  • LocalStorageLimit Voit määrittää kiinteän rajan paikallisen tallennustilan määrälle, jota Flash Player käyttää (verkkotunnusta kohti) pysyviin jaettuihin objekteihin.
  • OverrideGPUValidation Ohittaa GPU-kompositoinnin toteuttamiseen tarvittavien vaatimusten validoinnin.
  • ProductDisabled Luo luettelon ProductManager-sovelluksista, joita käyttäjien ei saa asentaa tai käynnistää.
  • RTMFPP2PDisable Määrittää, kuinka NetStream-konstruktori muodostaa yhteyden palvelimeen, kun arvo määritetään peerID: lle, toinen parametri välitetään rakentajalle.
  • RTMFPTURNProxy Antaa Flash Player -sovelluksen luoda RTMFP-yhteyksiä määritetyn TURN-palvelimen kautta normaalien UDP-liitäntöjen lisäksi.
  • ThirdPartyStorage Voit määrittää, voivatko kolmannen osapuolen SWF-tiedostot lukea ja kirjoittaa paikallisesti pysyviä jaettuja objekteja.

Useimmat vaihtoehdot voidaan asettaa arvoon 0 = vääriä tai 1 = totta. Perus esimerkki on komento AVHardwareDisable = 1, joka estää SWF-tiedostojen pääsyn verkkokameroihin ja mikrofoneihin. Arvo 0 antaa käyttäjän määrittää asetukset Asetukset-hallintaohjelmassa.

Tietosuojaparametrit:

AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]

Määrittää, voivatko SWF-tiedostot vetää asennettujen fonttiluettelon tietokonejärjestelmästä. Asettamalla arvoksi 1 he eivät voi tehdä niin, kun taas 0 tarkoittaa, että tiedot voidaan palauttaa.

Käyttöliittymän parametrit:

FullScreenDisable = [0,1]

Määrittää, voidaanko SWF-tiedosto näyttää koko näytön tilassa. Arvo 1 estää sen, kun taas 0 sallii sen.

Tietojen lataus- ja tallennusvaihtoehdot:

LocalFileReadDisable = [0,1]

Arvo 1 estää paikallisia SWF-tiedostoja lukemasta pääsyä paikallisen kiintolevyn tiedostoihin, mikä tarkoittaa, että paikalliset SWF-tiedostot eivät voi suorittaa. Etä SWF-tiedostot eivät voi lähettää tai ladata tiedostoja.

FileDownloadDisable = [0,1]

Parametrin 1 asettaminen estää tiedostojen lataamisen, kun taas 0 sallii sen.

FileUploadDisable = [0,1]

Sama kuin FileDownloadDisable, sillä erolla, että se estää tai sallii tiedostojen lähettämisen.

LocalStorageLimit = [1,2,3,4,5,6]

Tämä asettaa rajan paikalliselle tallennukselle, jonka Flash-soitin voi jakaa verkkotunnukselle. (1 = ei tallennustilaa, 2 = 10 kt, 3 = 100 kt, 4 = 1MB, 5 = 10MB, 6 = ei rajaa]

ThirdPartyStorage = [0,1]

Jos tämän arvon arvoksi on asetettu 1, kolmannen osapuolen SWF-tiedostot (ne, jotka ovat peräisin eri toimialueista kuin nykyinen) voivat lukea ja kirjoittaa paikallisesti pysyviä jaettuja objekteja. Jos arvoksi on asetettu 0, kolmannen osapuolen SWF-tiedostot eivät voi lukea tai kirjoittaa paikallisesti pysyviä jaettuja objekteja.

AssetCacheSize = [0, megatavujen määrä]

Tämä arvo määrittää kiinteän rajan (MB) paikallisen tallennustilan määrälle, jota Flash Player käyttää tavallisten Flash-komponenttien varastointiin. Jos tätä vaihtoehtoa ei ole mms.cfg-tiedostossa, asetusten hallinta antaa käyttäjän määrittää, sallitaanko komponenttien tallennus. Käyttäjä ei kuitenkaan voi määritellä, kuinka paljon paikallista tallennustilaa käytetään. Oletusraja on 20 Mt.

Päivitysvaihtoehdot:

AutoUpdateDisable = [0.1]

Jos asetus on 1, Flash Player poistaa automaattisen päivityksen käytöstä. Tämä estää Flash Playeria tarkastamasta säännöllisesti päivitettyjä versioita. Jos asetetaan arvoon 1, seuraavat parametrit jätetään huomioimatta.

AutoUpdateInterval = [päivien lukumäärä]

Määrittää aikavälin, jonka aikana Flash Player tarkistaa uusia versioita. Oletusarvo on 30 päivää.

DisableProductDownload = [0,1]

Jos tämän arvon arvoksi on asetettu 0 (oletus), Flash Player voi asentaa alkuperäisiä koodisovelluksia, jotka on digitaalisesti allekirjoitettu ja Adoben toimittama. Adobe käyttää tätä ominaisuutta toimittamaan Flash Player -päivityksiä kehittäjän aloittaman Express Install -prosessin kautta ja toimittamaan Adobe Acrobat Connect -näytön jakamistoiminnot. Jos tämä arvo on asetettu arvoon 1, nämä ominaisuudet poistetaan käytöstä.

ProductDisabled = sovelluksen nimi

TTTämä vaihtoehto on tehokas vain, kun DisableProductDownload on arvo 0 tai sitä ei ole mms.cfg-tiedostossa. se luo luettelon ProductManager-sovelluksista, joita käyttäjien ei saa asentaa tai käynnistää.

Turvallisuusvaihtoehdot:

LegacyDomainMatching = [0,1]

Tämä asetus määrittää, sallitaanko Flash Player 6: lle ja sitä aiemmille versioille tuotettu SWF-tiedosto suorittaa toiminto, jota on rajoitettu Flash Playerin uudemmassa versiossa.

LocalFileLegacyAction = [0,1]

Tämä asetus hallitsee, kuinka Flash Player määrittää, suoritetaanko tiettyjä paikallisia SWF-tiedostoja, jotka on alun perin tuotettu Flash Player 7: lle tai aikaisemmalle.

AllowUserLocalTrust = [0,1]

Tämän asetuksen avulla voit estää käyttäjiä nimeämästä paikallisissa tiedostojärjestelmissä olevia tiedostoja luotettaviksi (toisin sanoen asettamalla ne paikallisesti luotettaviin hiekkalaatikoihin). Tämä asetus koskee SWF-tiedostoja, jotka on julkaistu kaikille Flash-versioille.

EnforceLocalSecurityInActiveXHostApp = suoritettava tiedostonimi

Paikallinen suojaus on oletuksena poistettu käytöstä aina, kun ActiveX-ohjain on käynnissä muussa kuin selaimen isäntäsovelluksessa. Harvoissa tapauksissa, kun tämä aiheuttaa ongelman, voit käyttää tätä asetusta paikallisten tietosuojasääntöjen täytäntöönpanemiseksi määritettyyn sovellukseen. Voit varmistaa paikallisen turvallisuuden useille sovelluksille kirjoittamalla erillisen EnforceLocalSecurityInActiveXHostApp-merkinnän jokaiselle sovellukselle.

DisableNetworkAndFilesystemInHostApp = suoritettavan tiedostonimi

Tämä vaihtoehto on samanlainen kuin EnforceLocalSecurityInActiveXHostApp, mutta sitä sovelletaan laajennuksiin ja ActiveX-ohjaimeen, ja siinä asetetaan tiukempia tietoturvaohjeita. Kun laajennus tai ActiveX-komponentti on käynnissä määritettyssä sovelluksessa, se näyttää ikään kuin HTML-parametri lubaNetworking = 'ei' olisi määritetty. Toisin sanoen minkäänlaista verkko- tai tiedostojärjestelmään pääsyä ei sallita, ja Flash Player -sovelluksessa toimiva SWF toimii ilman kykyä ladata ylimääräisiä tallennusvälineitä tai kommunikoida palvelimien kanssa. Voit varmistaa paikallisen tietoturvan useille sovelluksille kirjoittamalla erillisen

Liitäntävaihtoehdot

DisableSockets = [0,1]

Tämä vaihtoehto ottaa käyttöön tai poistaa käytöstä Socket.connect () - ja
XMLSocket.connect () -menetelmät. Jos et sisällytä tätä vaihtoehtoa mms.cfg-tiedostoon tai jos sen arvoksi on asetettu 0, pistorasiayhteydet ovat sallittuja mille tahansa palvelimelle. Jos tämä arvo on asetettu arvoon 1, pistorasiayhteydet eivät ole sallittuja. Jos haluat kuitenkin poistaa käytöstä joitain, mutta ei kaikkia pistorasiayhteyksiä, aseta arvoksi 1 ja määritä sitten yksi tai useampi palvelin, johon pistorasiayhteydet voidaan luoda, käyttämällä EnableSocketsTo.

EnableSocketsto = [isäntänimi, IP-osoite]

Tämä vaihtoehto on tehokas vain, kun DisableSockets on arvo 1; se luo luettelon palvelimista, joihin pistorasiayhteydet ovat sallittuja. Toisin kuin useimmat muut mms.cfg-asetukset, voit käyttää tätä vaihtoehtoa niin monta kertaa kuin ympäristöllesi sopii. Huomaa, että määritetyt palvelimet ovat kohdepalvelimia, joihin pistorasiayhteydet tehdään; ne eivät ole alkuperäisiä palvelimia, joista yhdistävät SWF-tiedostot toimitetaan.

GPU: n yhdistäminen:

OhitaGPUVvalidointi = [0, 1]

Näytönohjainten ajuriversio avaa GPU-yhdistelmäominaisuuden. Jos kortti- ja kuljettajayhdistelmä ei vastaa kompostoinnin toteuttamiseen tarvittavia vaatimuksia, aseta OverrideGPUValidation arvoon 1 ohittaaksesi kuljettajavaatimukset. Voit esimerkiksi haluta, että GPU-yhdistelmä otetaan käyttöön tietyn testisarjan aikana, vaikka testikoneen videoajuri ei täyttäisi yhdistelmävaatimuksia. Tämä asetus ohittaa ohjainversion avaamisen, mutta tarkistaa silti VRAM-vaatimukset.

RTMFP-vaihtoehdot:

RTMFPP2PDisable = [0, 1]

Tämä asetus määrittelee kuinka NetStream-rakentaja muodostaa yhteyden palvelimeen, kun arvo määritetään peerID: lle, toinen parametri siirretään rakentajalle. Jos RTMFPP2PDisable on arvo 0 tai sitä ei ole mms.cfg-tiedostossa, voidaan käyttää vertaisverkkoyhteyttä (P2P). Jos tämä arvo on 1, mitä tahansa peerID: lle määritettyä arvoa ei huomioida ja P2P-yhteydet ovat d

RTMFPTURNProxy = KÄYTÖN välityspalvelimen URL-osoite

Jos tämä vaihtoehto on käytettävissä, Flash Player yrittää luoda RTMFP-yhteyksiä määritetyn TURN-palvelimen kautta normaalien UDP-liitäntöjen lisäksi. TURN-palvelimet ovat hyödyllisiä RTMFP-verkkoliikenteen kuljettamiseen palomuurien kautta, jotka muuten estävät UDP-paketteja.

Lisäinformaatio:

Flash Player 10.0: n järjestelmänvalvojan opas
Adobe Flash Player 10 Admin Guide -sivusto.
mms Config-esimerkki
Viimeaikainen mies keskellä-haavoittuvuus [saksa]

Kokoonpano on perustiedosto, joka estää päivitystarkistuksen, laitteistojen ja fonttien laskemisen. (kiitos mennä Hubertille vihjeen lähettämisestä).