Erzwingen Sie globale Sicherheits- und Datenschutzeinstellungen für Flash Player

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Ghacks-Stammgäste wissen, dass es möglich ist, Adobe Reader über den Einstellungsmanager zu konfigurieren Seite auf der Macromedia-Website. Systemadministratoren und Sicherheitsexperten haben zwei Probleme mit der Online-Verfügbarkeit des Einstellungsmanagers behoben. Angreifer können beispielsweise Zertifikate fälschen, um Änderungen an den Einstellungen vorzunehmen. Ein weiteres Problem besteht darin, dass nicht für alle Benutzer eines Systems Änderungen vorgenommen werden können.

Es ist ein gut gehütetes Geheimnis, dass Adobe Flash Player global konfiguriert werden kann. Administratoren und Benutzer, die dies tun möchten, müssen die Datei mms.cfg erstellen. Diese Datei muss in den folgenden Verzeichnissen gespeichert sein, auf die der Flash Player zugreifen kann:

  • Windows:% Windir% System32 Macromed Flash
  • Macintosh: / Bibliothek / Anwendungsunterstützung / Macromedia
  • Linux: / etc / adobe /

Die folgenden Parameter werden von der Konfigurationsdatei unterstützt:

  • AllowUserLocalTrust Hiermit können Sie verhindern, dass Benutzer Dateien auf lokalen Dateisystemen als vertrauenswürdig festlegen.
  • AssetCacheSize Hier können Sie eine feste Grenze in MB für die Menge an lokalem Speicher festlegen, die Flash Player für die Speicherung gängiger Flash-Komponenten verwendet.
  • AutoUpdateDisable Hiermit können Sie verhindern, dass Flash Player automatisch nach aktualisierten Versionen sucht und diese installiert.
  • AutoUpdateInterval Hier können Sie angeben, wie oft nach einer aktualisierten Version von Flash Player gesucht werden soll.
  • AVHardwareDisable Hiermit können Sie verhindern, dass SWF-Dateien auf Webcams oder Mikrofone zugreifen.
  • DisableDeviceFontEnumeration Hiermit können Sie verhindern, dass Informationen zu installierten Schriftarten angezeigt werden.
  • DisableNetworkAndFilesystemInHostApp Ermöglicht das Verhindern des Netzwerk- oder Dateisystemzugriffs jeglicher Art.
  • DisableProductDownload Hiermit können Sie verhindern, dass native Codeanwendungen, die von Adobe digital signiert und bereitgestellt werden, heruntergeladen werden.
  • DisableSockets Hiermit können Sie die Verwendung der Methoden Socket.connect () und XMLSocket.connect () aktivieren oder deaktivieren.
  • EnableSocketsTo Hiermit können Sie eine Whitelist mit Servern erstellen, zu denen Socket-Verbindungen zulässig sind.
  • EnforceLocalSecurityInActiveXHostApp Hiermit können Sie lokale Sicherheitsregeln für eine bestimmte Anwendung erzwingen.
  • FileDownloadDisable Hiermit können Sie verhindern, dass die ActionScript FileReference-API Dateidownloads durchführt.
  • FileUploadDisable Hiermit können Sie verhindern, dass die ActionScript FileReference-API Datei-Uploads durchführt.
  • FullScreenDisable Hiermit können Sie deaktivieren, dass SWF-Dateien, die über ein Browser-Plug-In abgespielt werden, im Vollbildmodus angezeigt werden.
  • LegacyDomainMatching Hier können Sie angeben, ob SWF-Dateien, die für Flash Player 6 und früher erstellt wurden, einen Vorgang ausführen können, der in einer neueren Version von Flash Player eingeschränkt wurde.
  • LocalFileLegacyAction Hier können Sie festlegen, wie Flash Player bestimmt, ob bestimmte lokale SWF-Dateien ausgeführt werden sollen, die ursprünglich für Flash Player 7 und früher erstellt wurden.
  • LocalFileReadDisable Hiermit können Sie verhindern, dass lokale SWF-Dateien Lesezugriff auf Dateien auf lokalen Festplatten haben.
  • LocalStorageLimit Hier können Sie eine feste Grenze für die Menge an lokalem Speicher festlegen, die Flash Player (pro Domäne) für persistente freigegebene Objekte verwendet.
  • OverrideGPUValidation Überschreibt die Validierung der Anforderungen, die zum Implementieren des GPU-Compositing erforderlich sind.
  • Produkt deaktiviert Erstellt eine Liste von ProductManager-Anwendungen, die Benutzer nicht installieren oder starten dürfen.
  • RTMFPP2PDisable Gibt an, wie der NetStream-Konstruktor eine Verbindung zu einem Server herstellt, wenn ein Wert für peerID angegeben wird, den zweiten Parameter, der an den Konstruktor übergeben wird.
  • RTMFPTURNProxy Ermöglicht Flash Player, zusätzlich zu normalen UDP-Sockets RTMFP-Verbindungen über den angegebenen TURN-Server herzustellen.
  • ThirdPartyStorage Hier können Sie angeben, ob SWF-Dateien von Drittanbietern lokal persistente freigegebene Objekte lesen und schreiben können.

Die meisten Optionen können auf 0 = falsch oder 1 = wahr gesetzt werden. Ein grundlegendes Beispiel ist der Befehl AVHardwareDisable = 1, der den Zugriff von SWF-Dateien auf Webcams und Mikrofone blockiert. Mit dem Wert 0 kann der Benutzer die Einstellung im Einstellungsmanager konfigurieren.

Datenschutzparameter:

AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]

Definiert, ob SWF-Dateien die Liste der installierten Schriftarten vom Computersystem abrufen können. Wenn Sie den Wert auf 1 setzen, können Sie dies nicht tun, während 0 bedeutet, dass die Informationen zurückgegeben werden können.

Parameter der Benutzeroberfläche:

FullScreenDisable = [0,1]

Legt fest, ob eine SWF-Datei im Vollbildmodus angezeigt werden kann. Ein Wert von 1 verhindert dies, während 0 dies zulässt.

Optionen zum Laden und Speichern von Daten:

LocalFileReadDisable = [0,1]

Der Wert 1 verhindert, dass lokale SWF-Dateien Lesezugriff auf Dateien auf der lokalen Festplatte haben, was bedeutet, dass lokale SWF-Dateien nicht ausgeführt werden können. Remote-SWF kann keine Dateien hochladen oder herunterladen.

FileDownloadDisable = [0,1]

Wenn Sie den Parameter auf 1 setzen, wird das Herunterladen von Dateien deaktiviert, während 0 dies zulässt.

FileUploadDisable = [0,1]

Entspricht FileDownloadDisable, mit dem Unterschied, dass das Hochladen von Dateien blockiert oder zugelassen wird.

LocalStorageLimit = [1,2,3,4,5,6]

Dadurch wird die Grenze des lokalen Speichers festgelegt, den der Flash Player pro Domäne zuweisen kann. (1 = kein Speicher, 2 = 10 KB, 3 = 100 KB, 4 = 1 MB, 5 = 10 MB, 6 = keine Begrenzung]

ThirdPartyStorage = [0,1]

Wenn dieser Wert auf 1 gesetzt ist, können SWF-Dateien von Drittanbietern (solche, die aus einer anderen Domäne als der aktuellen stammen) lokal persistente gemeinsam genutzte Objekte lesen und schreiben. Wenn dieser Wert auf 0 gesetzt ist, können SWF-Dateien von Drittanbietern keine lokal persistenten freigegebenen Objekte lesen oder schreiben.

AssetCacheSize = [0, Anzahl der Megabyte]

Dieser Wert gibt eine feste Grenze in MB für die Menge an lokalem Speicher an, die Flash Player für die Speicherung gängiger Flash-Komponenten verwendet. Wenn diese Option nicht in der Datei mms.cfg enthalten ist, kann der Benutzer im Einstellungsmanager angeben, ob die Speicherung von Komponenten zugelassen werden soll. Der Benutzer kann jedoch nicht angeben, wie viel lokaler Speicherplatz verwendet werden soll. Das Standardlimit beträgt 20 MB.

Update-Optionen:

AutoUpdateDisable = [0.1]

Bei der Einstellung 1 deaktiviert Flash Player die automatische Aktualisierung. Dadurch wird verhindert, dass Flash Player regelmäßig nach aktualisierten Versionen sucht. Bei der Einstellung 1 werden die folgenden Parameter ignoriert.

AutoUpdateInterval = [Anzahl der Tage]

Definiert das Intervall, in dem Flash Player nach neuen Versionen sucht. Der Standardwert beträgt 30 Tage.

DisableProductDownload = [0,1]

Wenn dieser Wert auf 0 (Standardeinstellung) festgelegt ist, kann Flash Player native Codeanwendungen installieren, die digital signiert und von Adobe bereitgestellt werden. Adobe verwendet diese Funktion, um Flash Player-Updates über den vom Entwickler initiierten Express-Installationsprozess bereitzustellen und die Bildschirmfreigabefunktion von Adobe Acrobat Connect bereitzustellen. Wenn dieser Wert auf 1 gesetzt ist, sind diese Funktionen deaktiviert.

ProductDisabled = Anwendungsname

Diese Option ist nur wirksam, wenn DisableProductDownload den Wert 0 hat oder nicht in der Datei mms.cfg vorhanden ist. Es wird eine Liste von ProductManager-Anwendungen erstellt, die Benutzer nicht installieren oder starten dürfen.

Sicherheitsoptionen:

LegacyDomainMatching = [0,1]

Diese Einstellung steuert, ob eine für Flash Player 6 und früher erstellte SWF-Datei einen Vorgang ausführen darf, der in einer neueren Version von Flash Player eingeschränkt wurde.

LocalFileLegacyAction = [0,1]

Diese Einstellung steuert, wie Flash Player bestimmt, ob bestimmte lokale SWF-Dateien ausgeführt werden sollen, die ursprünglich für Flash Player 7 und früher erstellt wurden.

AllowUserLocalTrust = [0,1]

Mit dieser Einstellung können Sie verhindern, dass Benutzer Dateien auf lokalen Dateisystemen als vertrauenswürdig festlegen (dh sie in der lokal vertrauenswürdigen Sandbox ablegen). Diese Einstellung gilt für SWF-Dateien, die für eine beliebige Version von Flash veröffentlicht wurden.

EnforceLocalSecurityInActiveXHostApp = ausführbarer Dateiname

Standardmäßig ist die lokale Sicherheit deaktiviert, wenn das ActiveX-Steuerelement in einer Nicht-Browser-Hostanwendung ausgeführt wird. In seltenen Fällen, in denen dies zu einem Problem führt, können Sie diese Einstellung verwenden, um lokale Sicherheitsregeln für die angegebene Anwendung durchzusetzen. Sie können die lokale Sicherheit für mehrere Anwendungen erzwingen, indem Sie für jede Anwendung einen separaten EnforceLocalSecurityInActiveXHostApp-Eintrag eingeben.

DisableNetworkAndFilesystemInHostApp = ausführbarer Dateiname

Diese Option ähnelt EnforceLocalSecurityInActiveXHostApp, gilt jedoch sowohl für Plug-Ins als auch für das ActiveX-Steuerelement und legt strengere Sicherheitskontrollen fest. Wenn ein Plug-In oder ActiveX-Steuerelement in einer angegebenen Anwendung ausgeführt wird, ist der HTML-Parameter allowNetworking = 'none' angegeben. Das heißt, es ist kein Netzwerk- oder Dateisystemzugriff jeglicher Art zulässig, und die im Flash Player ausgeführte SWF-Datei wird ausgeführt, ohne dass zusätzliche Medien geladen oder mit Servern kommuniziert werden können. Sie können die lokale Sicherheit für mehrere Anwendungen erzwingen, indem Sie eine separate eingeben

Socket-Verbindungsoptionen

DisableSockets = [0,1]

Diese Option aktiviert oder deaktiviert die Verwendung von Socket.connect () und
XMLSocket.connect () -Methoden. Wenn Sie diese Option nicht in die Datei mms.cfg aufnehmen oder wenn ihr Wert auf 0 gesetzt ist, sind Socket-Verbindungen zu jedem Server zulässig. Wenn dieser Wert auf 1 gesetzt ist, sind keine Socket-Verbindungen zulässig. Wenn Sie jedoch einige, aber nicht alle Socket-Verbindungen deaktivieren möchten, setzen Sie diesen Wert auf 1 und geben Sie dann mit EnableSocketsTo einen oder mehrere Server an, zu denen Socket-Verbindungen hergestellt werden können.

EnableSocketsto = [Hostname, IP-Adresse]

Diese Option ist nur wirksam, wenn DisableSockets den Wert 1 hat. Es wird eine Whitelist mit Servern erstellt, zu denen Socket-Verbindungen zulässig sind. Im Gegensatz zu den meisten anderen Optionen von mms.cfg können Sie diese Option so oft verwenden, wie es für Ihre Umgebung angemessen ist. Beachten Sie, dass die angegebenen Server Zielserver sind, zu denen Socket-Verbindungen hergestellt werden. Sie sind keine Ursprungsserver, von denen die verbindenden SWF-Dateien bereitgestellt werden.

GPU Compositing:

OverrideGPUValidation = [0, 1]

Die GPU-Compositing-Funktion wird von der Treiberversion für Grafikkarten gesteuert. Wenn eine Kombination aus Karte und Treiber nicht den Anforderungen entspricht, die für die Implementierung von Compositing erforderlich sind, setzen Sie OverrideGPUValidation auf 1, um die Validierung der Treiberanforderungen zu überschreiben. Beispielsweise möchten Sie möglicherweise, dass das GPU-Compositing während einer bestimmten Testsuite aktiviert wird, auch wenn der Grafiktreiber auf dem Testcomputer die Compositing-Anforderungen nicht erfüllt. Diese Einstellung überschreibt das Gating der Treiberversion, prüft jedoch weiterhin die VRAM-Anforderungen.

RTMFP-Optionen:

RTMFPP2PDisable = [0, 1]

Diese Option gibt an, wie der NetStream-Konstruktor eine Verbindung zu einem Server herstellt, wenn ein Wert für peerID angegeben wird, den zweiten Parameter, der an den Konstruktor übergeben wird. Wenn RTMFPP2PDisable den Wert 0 hat oder nicht in der Datei mms.cfg vorhanden ist, kann eine Peer-to-Peer-Verbindung (P2P) verwendet werden. Wenn dieser Wert 1 ist, wird jeder für peerID angegebene Wert ignoriert und P2P-Verbindungen sind d

RTMFPTURNProxy = URL des TURN-Proxyservers

Wenn diese Option vorhanden ist, versucht Flash Player, zusätzlich zu normalen UDP-Sockets RTMFP-Verbindungen über den angegebenen TURN-Server herzustellen. TURN-Server sind nützlich, um RTMFP-Netzwerkverkehr über Firewalls zu übertragen, die ansonsten UDP-Pakete blockieren.

Zusätzliche Information:

Flash Player 10.0 Administratorhandbuch
Adobe Flash Player 10-Administratorhandbuch.
mms Konfigurationsbeispiel
Jüngster Mann in der Mitte Verwundbarkeit

Die Konfiguration ist eine grundlegende Beispieldatei, die Aktualisierungsprüfungen, Hardware- und Schriftartenaufzählung deaktiviert. (Danke an Hubert für das Einsenden des Trinkgeldes).