Håndheve Global Flash Player-sikkerhets- og personverninnstillinger

Prøv Instrumentet Vårt For Å Eliminere Problemer

Vanlige Ghacks vet at det er mulig å konfigurere Adobe Reader fra innstillingsbehandleren side på Macromedia-nettstedet. Systemadministratorer og sikkerhetseksperter har adressert to problemer med online tilgjengeligheten av innstillingsbehandleren. Angripere kan for eksempel falske sertifikater for å gjøre endringer i innstillingene. Et annet problem er at det ikke er mulig å gjøre endringer for alle brukere av et system.

Det er en vel bevart hemmelighet at Adobe Flash Player kan konfigureres globalt. Administratorer og brukere som vil gjøre det, må opprette filen mms.cfg. Denne filen må lagres i følgende kataloger for å få tilgang til av Flash Player:

  • Windows:% Windir% System32 Macromed Flash
  • Macintosh: / Library / Application Support / Macromedia
  • Linux: / etc / adobe /

Følgende parametere støttes av konfigurasjonsfilen:

  • AllowUserLocalTrust Lar deg forhindre brukere i å utpeke filer på lokale filsystemer som pålitelige.
  • AssetCacheSize Lar deg spesifisere en hard grense, i MB, for mengden lokal lagring som Flash Player bruker for lagring av vanlige Flash-komponenter.
  • AutoUpdateDisable Lar deg forhindre at Flash Player automatisk sjekker og installerer oppdaterte versjoner.
  • AutoUpdateInterval Lar deg spesifisere hvor ofte du skal se etter en oppdatert versjon av Flash Player.
  • AVHardwareDisable Lar deg forhindre at SWF-filer får tilgang til webkameraer eller mikrofoner.
  • DisableDeviceFontEnumeration Lar deg forhindre informasjon om installerte skrifter.
  • DisableNetworkAndFilesystemInHostApp Lar deg forhindre nettverks- eller filsystemtilgang av noe slag.
  • DisableProductDownload Lar deg forhindre nedlasting av innfødte kodeprogrammer som er signert og levert av Adobe.
  • DisableSockets Lar deg aktivere eller deaktivere bruken av Socket.connect () og XMLSocket.connect () -metodene.
  • EnableSocketsTo Lar deg lage en hviteliste over servere som socketforbindelser er tillatt til.
  • EnforceLocalSecurityInActiveXHostApp Lar deg håndheve lokale sikkerhetsregler for en spesifisert applikasjon.
  • FileDownloadDisable Lar deg forhindre at ActionScript FileReference API utfører filnedlastinger.
  • FileUploadDisable Lar deg forhindre at ActionScript FileReference API utfører filopplasting.
  • FullScreenDisable Lar deg deaktivere SWF-filer som spilles av via en nettleser-plugin, fra å vises i fullskjermmodus.
  • LegacyDomainMatching Lar deg spesifisere om SWF-filer som er produsert for Flash Player 6 og tidligere, kan utføre en operasjon som er begrenset i en nyere versjon av Flash Player.
  • LocalFileLegacyAction Lar deg spesifisere hvordan Flash Player bestemmer om du vil utføre bestemte lokale SWF-filer som opprinnelig ble produsert for Flash Player 7 og tidligere.
  • LocalFileReadDisable Lar deg forhindre at lokale SWF-filer har lesetilgang til filer på lokale harddisker.
  • LocalStorageLimit Lar deg spesifisere en hard grense for mengden lokal lagring som Flash Player bruker (per domene) for vedvarende delte objekter.
  • OverrideGPUValidation Overskrider validering av kravene som er nødvendige for å implementere GPU-kompositt.
  • ProductDisabled Oppretter en liste over ProductManager-applikasjoner som brukere ikke har lov til å installere eller starte.
  • RTMFPP2PDisable Angir hvordan NetStream-konstruktøren kobles til en server når en verdi er spesifisert for peerID, den andre parameteren sendes til konstruktøren.
  • RTMFPTURNProxy Lar Flash Player lage RTMFP-tilkoblinger gjennom den spesifiserte TURN-serveren i tillegg til normale UDP-kontakter.
  • ThirdPartyStorage Lar deg spesifisere om tredjeparts SWF-filer kan lese og skrive lokalt vedvarende delte objekter.

De fleste alternativene kan settes til 0 = falsk eller 1 = sann. Et grunnleggende eksempel er kommandoen AVHardwareDisable = 1, som blokkerer SWF-filtilgang til webkameraer og mikrofoner. En verdi på 0 lar brukeren konfigurere innstillingen i Settings Manager.

Personvernparametere:

AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]

Definerer om SWF-filer kan trekke listen over installerte skrifter fra datasystemet. Å sette den til 1 betyr at de ikke kan gjøre det, mens 0 betyr at informasjonen kan returneres.

Brukergrensesnittparametere:

FullScreenDisable = [0,1]

Definerer om en SWF-fil kan vises i fullskjermmodus. En verdi på 1 forhindrer det, mens 0 tillater det.

Alternativer for innlasting og lagring av data:

LocalFileReadDisable = [0,1]

En verdi på 1 forhindrer at lokale SWF-filer har lesetilgang til filer på den lokale harddisken, noe som betyr at lokale SWF-filer ikke kan kjøres. Ekstern SWF kan ikke laste opp eller laste ned filer.

FileDownloadDisable = [0,1]

Innstilling av parameteren til 1 deaktiverer nedlastinger av filer, mens 0 tillater det.

FileUploadDisable = [0,1]

Det samme som FileDownloadDisable, med forskjellen at det blokkerer eller tillater filopplasting.

LocalStorageLimit = [1,2,3,4,5,6]

Dette setter grensen for lokal lagring som Flash-spilleren kan tildele per domene. (1 = ingen lagring, 2 = 10 KB, 3 = 100 KB, 4 = 1 MB, 5 = 10 MB, 6 = ingen grense]

ThirdPartyStorage = [0,1]

Hvis denne verdien er satt til 1, kan tredjeparts SWF-filer (de som stammer fra et annet domene enn det nåværende) kunne lese og skrive lokalt vedvarende delte objekter. Hvis denne verdien er satt til 0, kan ikke tredjeparts SWF-filer lese eller skrive lokalt vedvarende delte objekter.

AssetCacheSize = [0, antall megabyte]

Denne verdien spesifiserer en hard grense, i MB, for mengden lokal lagring som Flash Player bruker for lagring av vanlige Flash-komponenter. Hvis dette alternativet ikke er inkludert i mms.cfg-filen, lar Innstillingsbehandling brukeren spesifisere om komponentlagring skal tillates. Brukeren kan imidlertid ikke spesifisere hvor mye lokal lagringsplass som skal brukes. Standardgrensen er 20 MB.

Oppdateringsalternativer:

AutoUpdateDisable = [0.1]

Hvis den er satt til 1, deaktiverer Flash Player automatisk oppdatering. Dette forhindrer at Flash Player regelmessig sjekker etter oppdaterte versjoner. Hvis den er satt til 1, ignoreres følgende parametere.

AutoUpdateInterval = [antall dager]

Definerer intervallet som Flash Player vil se etter nye versjoner. Standardverdien er 30 dager.

DisableProductDownload = [0,1]

Hvis denne verdien er satt til 0 (standard), kan Flash Player installere native kodeprogrammer som er signert og levert av Adobe. Adobe bruker denne muligheten til å levere Flash Player-oppdateringer gjennom den utviklerinitierte Express Install-prosessen, og for å levere skjermdelingsfunksjonaliteten Adobe Acrobat Connect. Hvis denne verdien er satt til 1, er disse funksjonene deaktivert.

ProductDisabled = applikasjonsnavn

Dette alternativet er bare effektivt når DisableProductDownload har en verdi på 0 eller ikke er til stede i mms.cfg-filen; det oppretter en liste over ProductManager-applikasjoner som brukere ikke har lov til å installere eller starte.

Sikkerhetsinnstillinger:

LegacyDomainMatching = [0,1]

Denne innstillingen kontrollerer om en SWF-fil som er produsert for Flash Player 6 og tidligere, skal utføre en operasjon som er begrenset i en nyere versjon av Flash Player.

LocalFileLegacyAction = [0,1]

Denne innstillingen styrer hvordan Flash Player bestemmer om de skal utføre bestemte lokale SWF-filer som opprinnelig ble produsert for Flash Player 7 og tidligere.

AllowUserLocalTrust = [0,1]

Denne innstillingen lar deg forhindre at brukere angir filer på lokale filsystemer som pålitelige (det vil si å plassere dem i den lokale klarerte sandkassen). Denne innstillingen gjelder SWF-filer som er publisert for alle versjoner av Flash.

EnforceLocalSecurityInActiveXHostApp = kjørbart filnavn

Som standard er lokal sikkerhet deaktivert når ActiveX-kontrollen kjører i et vertsapplikasjon som ikke er nettleser. I sjeldne tilfeller når dette forårsaker et problem, kan du bruke denne innstillingen til å håndheve lokale sikkerhetsregler for den spesifiserte applikasjonen. Du kan håndheve lokal sikkerhet for flere applikasjoner ved å legge inn en egen EnforceLocalSecurityInActiveXHostApp-oppføring for hvert program.

DisableNetworkAndFilesystemInHostApp = kjørbart filnavn

Dette alternativet ligner på EnforceLocalSecurityInActiveXHostApp, men gjelder plugins og ActiveX-kontrollen, og innfører strengere sikkerhetskontroller. Når en plug-in eller ActiveX-kontroll kjører innenfor en spesifisert applikasjon, vil det være som om HTML-parameteren allowNetworking = 'none' hadde blitt spesifisert. Det vil si at ingen nettverks- eller filsystemtilgang av noe slag blir tillatt, og SWF som kjører i Flash Player vil kjøres uten muligheten til å laste inn ekstra medier eller kommunisere med noen servere. Du kan håndheve lokal sikkerhet for flere applikasjoner ved å angi en egen

Alternativer for stikkontakt

DisableSockets = [0,1]

Dette alternativet aktiverer eller deaktiverer bruk av Socket.connect () og
XMLSocket.connect () metoder. Hvis du ikke inkluderer dette alternativet i mms.cfg-filen, eller hvis verdien er satt til 0, er socketforbindelser tillatt for enhver server. Hvis denne verdien er satt til 1, er ingen socketforbindelser tillatt. Hvis du imidlertid vil deaktivere noen, men ikke alle socketforbindelser, setter du denne verdien til 1 og bruker deretter EnableSocketsTo for å spesifisere en eller flere servere som socketforbindelser kan opprettes til.

EnableSocketsto = [vertsnavn, IP-adresse]

Dette alternativet er bare effektivt når DisableSockets har en verdi på 1; det oppretter en hviteliste over servere som socketforbindelser er tillatt til. I motsetning til de fleste andre mms.cfg-alternativer, kan du bruke dette alternativet så mange ganger som passer for ditt miljø. Merk at serverne som er angitt, er målservere, som socketforbindelser opprettes til; de er ikke opprinnelsesservere, der de tilkoblende SWF-filene serveres fra.

GPU Compositing:

OverrideGPUValidation = [0, 1]

GPU-komposisjonsfunksjonen er innstilt av driverversjonen for skjermkort. Hvis en kort- og driverkombinasjon ikke samsvarer med kravene som trengs for å implementere kompositt, må du sette OverrideGPUValidation til 1 for å overstyre validering av driverkravene. For eksempel vil du kanskje at GPU-kompositt er aktivert i løpet av en bestemt testsuite, selv om videodriveren i testmaskinen ikke oppfyller komposisjonskravene. Denne innstillingen overstyrer driverversjonens port, men kontrollerer fortsatt for VRAM-krav.

RTMFP-alternativer:

RTMFPP2PDisable = [0, 1]

Dette alternativet spesifiserer hvordan NetStream-konstruktøren kobles til en server når en verdi er spesifisert for peerID, den andre parameteren som sendes til konstruktøren. Hvis RTMFPP2PDisable har en verdi på 0 eller ikke er til stede i mms.cfg-filen, kan en peer-to-peer (P2P) -forbindelse brukes. Hvis denne verdien er 1, ignoreres enhver spesifisert verdi for peerID og P2P-tilkoblinger er d

RTMFPTURNProxy = URL til TURN proxy-server

Hvis dette alternativet er til stede, prøver Flash Player å opprette RTMFP-tilkoblinger gjennom den spesifiserte TURN-serveren i tillegg til normale UDP-stikkontakter. TURN-servere er nyttige for å formidle RTMFP-nettverkstrafikk gjennom brannmurer som ellers blokkerer UDP-pakker.

Tilleggsinformasjon:

flash player 10.0 admin guide
Adobe Flash Player 10 Admin Guide nettsted.
mms Konfigurasjonseksempel
Nylig mann i midten Sårbarhet [tysk]

Konfigurasjonen er et grunnleggende eksempelfil, som deaktiverer oppdateringskontroller, maskinvare og fontantelling. (takk til Hubert for at du sendte inn tipset).