monschu
Goto Top

Firefox-Erweiterungen sperren

Hallo, habe bereits gegoogelt aber noch nicht das richtige gefunden.
Also wir möchten den usern verbieten erweiterungen (ob bestimmte oder alle ist egal, bestimmte wäre am besten) zu installieren bzw zu nutzen. Da wir so einige Sicherheitslücken schließen möchten. Die idee die ich hatte wäre den ordner unter dem jeweiligen nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\chadlm52.default\extensions die rechte zu entziehen. das problem ist das die nutzer verschieden sind (>250) und das ja dann jeweils nur für einen user auf dem pc gilt und nicht für alle.
hat einer eine idee wie das zentral je pc oder per gruppenrichtlinie eingestellt werden kann?

gruß monschu

Content-ID: 112313

Url: https://administrator.de/forum/firefox-erweiterungen-sperren-112313.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

68702
68702 25.03.2009 um 11:00:12 Uhr
Goto Top
Selbst bei Firefox portable lassen sich Plug-ins installieren und nutzen.
Xerebus
Xerebus 25.03.2009 um 11:41:28 Uhr
Goto Top
Mit den plugins sperren wird keine höhere sicherheit kommen.
Wie mein Vorposter bereits beschrieben hat gibt es eine Portable Version und auch das ganze Profilverzeichnis lässt sich umbiegen.

Um welche Plugins handelt es sich die dir sicherheitsrelevant vorkommen?
Die Sicherheit fängt beim Server/Router an. besser da portsperren einrichten
Monschu
Monschu 25.03.2009 um 11:53:53 Uhr
Goto Top
am meisten macht mir der phproxy sorgen.
Xerebus
Xerebus 25.03.2009 um 12:04:09 Uhr
Goto Top
Erzähle doch mal genau wo der Schuh drückt.
Phproxy auf dem Server oder das Benutzer den "außen" installiert haben und benutzen?
Das wird hier zum Ratespielchen.
Monschu
Monschu 25.03.2009 um 12:08:31 Uhr
Goto Top
benutzer ohne admin rechte dürfen das add-on installieren und können dann ohne großen aufwand seiten besuchen die wir durch unseren proxy server gesperrt haben (müssen sich natürlich einmal zuvor mit namen und passwort anmelden). glücklicherweise fängt der aber die downloads weiter ab. nur sind die seiten nicht ohne grund gesperrt und sollen daher nur von einem geringen kreis besucht werden dürfen. einige der zahlreichen phproxy seiten im netz sind bereits auf der blacklist, welche wir auch erweitern.
Xerebus
Xerebus 25.03.2009 um 12:42:30 Uhr
Goto Top
Hab jetzt keine Lust mehr an dem "großen Geheimnis" mitzumachen.
Wen du uns nicht sagen willst welches Plugin (ich denke ein Proxy) dann versuch es einfach mal mit Google.
Um welche Seiten handelt es sich da eigentlich die nur manche sehen dürfen?
Youporn nur für die Chefetage?
Monschu
Monschu 25.03.2009 um 12:48:51 Uhr
Goto Top
es handelt sich um PhProxy - InBasic 3.1.1A (oder bei uns in der abteilung abgekürtzt phproxy fürn firefox).
die seite gehört unter anderem zu den geblockten aber auch noch weitere, die zum einen der firma schaden zufügen können oder aber zu stark von der arbeit ablenken oder einen reinen privaten nutzen haben (intern mit unterschrift geregelt).
und ich möchte einfach sicherstellen das nicht jeder user der im i-net einen artikel zum umgehen von proxys findet, in keinen 2min unseren proxy umgehen kann.
Xerebus
Xerebus 25.03.2009 um 13:40:47 Uhr
Goto Top
Ich denke das wirst du nicht schaffen.
Genau aus diesen grund sind die Sperrlisten für Provider die zur zeit die
Politiker fordern für den ars**
priez
priez 25.03.2009 um 17:26:05 Uhr
Goto Top
Hi,

Jeden Mitarbeiter ein Pamphlet unterschreiben lassen, dass er keine lokalen Proxylösungen installieren darf. Regelmäßige Kontrollen in dem Schreiben erwähnen. Und dann nach ein paar Wochen mal die Logs prüfen.

Wir haben das genau anders herum gemacht. Wir haben alles freigegeben. Auch für den begrenzten privaten Gebrauch (in Pausen) und das nicht weiter reglementiert. Entsprechend mussten Sie unterschreiben, dass sie keine Software (ich werde seit dem auch vor der installation von Firefox plugins gefragt) installieren und für Schäden am PC / Netzwerk haften. Wir haben aber auch den äußerst günstigen Umstand, das alle Mitarbeiter mit den Neuen Medien sehr gut vertraut sind. Bei DAUs hat man sich die Maschinen mit einer solchen Massnahme warscheinlich schneller zerschossen als du "Keine gesperrten Seiten mehr" schreibst. (Wir haben ~40 Mitarbeiter)

René
DerWoWusste
DerWoWusste 27.03.2009 um 00:49:33 Uhr
Goto Top
Falls Du damit leben kannst, dass Leute sich weiterhin Portables raufspielen und nutzen können, dann schau Dir den Frontmotion Firefox CE an, der ist durch Gruppenrichtlinien verteilbar, updatebar und steuerbar.
Falls Du nicht damit leben kannst, musst Du zwangsläufig schwere Geschütze auffahren: eine Software restriction policy welche mit einer Whitelist arbeitet würde es lösen - ist aber ein Haufen Arbeit.
Ich finde die soziale Lösung mit unterschreinben und regelmäßigen Kontrollen gut. Ob sie sich bei Euch umsetzen lässt, musst Du wissen.
priez
priez 27.03.2009 um 01:02:40 Uhr
Goto Top
hi,

Frontmotion ist schön. Aber macht langfristig massive Probleme. Wir haben es bis vor ein Jahr eingesetzt und heute geistert es immernoch herum obwohl es per GPO deinstalliert sein sollte.

Und unsere Webdesigner haben damals festgestellt, das FM in der gleichen Version wie das normal installierte JavaScript anders interpretiert. Die Homepages sahen anders aus. Habe es gesehen aber nicht erforscht. Danach war FM für uns gestorben. Und es ist heute immernoch da. Naja nur auf wenigen Maschinen, aber als Paket sollte es komplett verschwinden, wenn ich es nichtmehr haben will.

Frontmotion macht eine gute Arbeit, aber nicht perfekt ist meine Aussage.

Das Problem war noch in der 2er Generation. Ob die 3er oder CE davon betroffen ist weiss ich nicht.

mfg

René
DerWoWusste
DerWoWusste 27.03.2009 um 01:12:51 Uhr
Goto Top
Aber macht langfristig(?) massive Probleme
eine super Aussage. Du bist aber dem Problem nicht nachgegangen, das passt ja gut zusammen face-smile
Wir nutzen CE seit Version 1.0, also haben ca. 30x per MSI upgedated. Außer Version 3.0, die auf Vista Fehler aufwies und korrigiert werden musste, war alles sauber und problemlos.