Este es un escenario muy común dentro del mundo corporativo. Tengo que lidiar exactamente con este problema y no es fácil. Las aplicaciones son críticas para el negocio y no se pueden reemplazar (el último proyecto de implementación de reemplazo tuvo un costo de $ 15 millones). Existen firewalls y otras capas de protección, pero estas son PC utilizadas por el personal que también navegará por la web y podría conectarse fácilmente a un sitio con applets maliciosos basados en Java.
Todo lo que puedes hacer es intentar implementar algunos controles para reducir el riesgo. Como se sugiere, las listas blancas y las políticas de seguridad de Java pueden ayudar. Sin embargo, no pase por alto la educación. Ejecute una campaña de información que informe a sus usuarios sobre las amenazas de seguridad, cómo detectarlas y qué hacer en caso de que sospechen que es posible que hayan sido comprometidas. Asegúrese de que las personas se sientan bien al levantar la mano y decir "Creo que me he equivocado ...". Use la detección de intrusos, el análisis de registros y las técnicas de monitoreo de red para alertarlo sobre problemas más pronto que tarde. Por encima de todo, evalúe a sus usuarios e identifique los perfiles de riesgo para que sepa dónde está más expuesto y dónde necesita los controles más sólidos y revise periódicamente.
finalmente, ignore cualquier consejo que habla en términos absolutos, NO hay absolutos en la seguridad de TI. Definitivamente no estás jodido ni estás definitivamente protegido. La amenaza varía según quién y dónde esté y qué valor represente. Lo que haga para protegerse debe ser un reflejo de la exposición a la amenaza.
Por supuesto, en mi mundo perfecto, los tres amigos (Java, Flash e IE) simplemente no existen y ¡todos mis usuarios tienen una conciencia perfecta!