mexx
Goto Top

Firefox per Konfigurationsdatei absichern Empfehlungen

Hallo,

ich möchte in einer professionellen Umgebung bestehend aus ESXi, W2k8 R2, XenApp, AD inkl. Gruppenrichtlinien, 50 User neben den IE 11 Firefox als alternativen Browser anbieten. Der IE 11 weist auf vielen Seiten so gravierende Mängel auf, dass ich mir den Firefox aus Sicht eines Admins ansehe. Aber ein Browser ohne zentrale Adminkontrolle für 50 user wäre schädlich.

Die Möglichkeit innerhalb einer Konfigurationsdatei die wichtigsten Einstellungen wie Installation von Add Ons zu verbieten finde ich sehr gut, aber ich habe das Gefühl, dass ich da ewig beschäftigt sein kann. Die GPOs für den IE zu setzten war da deutlich einfacher. Ich suche mir für den Firefox schon den Wolf, wenn ich die ganzen Synchronisations-Sachen ausschalten will.

Nun meine Frage, gibt es irgendwo von Firefox oder einer Community eine Empfehlung oder schon Vorgaben?

VD,
mexx

Content-ID: 282258

Url: https://administrator.de/forum/firefox-per-konfigurationsdatei-absichern-empfehlungen-282258.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

Mantigul
Mantigul 08.09.2015 um 11:52:54 Uhr
Goto Top
Hallo,

ich stand letztens vor dem gleichen Problem und meiner Meinung nach ist der Firefox subobtimal, was verwaltung etc. angeht.
Zertifikate, kannst man schlecht über GPO steuern, Proxy-Settings etc. Ich hatte nur Probleme damit.

Ich bin davon abgekommen und wir setzen als Alternative, da es auch schön zu administrieren geht mit GPO ohne Probleme den Google Chrome Browser ein. Der Chrome nimmt nahezu alle GPO Einstellungen mit, die du dem System (im IE) gibst. das macht der firefox nicht.
Ist Geschmackssache ich weis, aber mit dem firefox bin ich nicht Glücklich geworden.

Gruß Sven
mexx
mexx 08.09.2015 um 11:57:01 Uhr
Goto Top
Hallo Pjorddorf,

vielen Dank für die Links. Leider bringt mich das nicht weiter. Ich kenne die Möglichkeit ADMs einzubinden. Bin selber der AD und GPO Admin für 40 Windows Server. Ich stoße mich an diesen Problem:

Quelle: www.gruppenrichtlinien.de/artikel/firefox-von-frontmotion-sichere-und-empfohlene-konfiguration/

Auszug: "Zusätzlich gibt es das mozilla.adm in dem alle Werte der prefs.js enthalten sind, allerdings auch mit genau deren Namen, wie sie in der prefs.js stehen würden."

Die Konfigurationsmöglichkeiten im Firefox sind sehr vielfältig und leider vom Namen nicht sprechend und die Beschreibungen sind oft so kurz, dass man sich das vom Namen her hätte denken können, aber man als Admin immer noch nicht weiß, welche Einstellung dies beinhaltet. Und das ist das Problem mit den GPO Templates. Dort sehe ich auch nur die Namen und weiß nicht, was sich dahinter verbirgt.

Konkret:
Einfache Funktionen lassen sich schnell identifizieren und deaktivieren.

// deaktiviert Update
lockPref("app.update.enabled", false);  

// deaktiviert Browsercheck
lockPref("browser.shell.checkDefaultBrowser", false);  

// setzt Download Nachfrage auf nach Speicherort fragen
lockPref("browser.download.useDownloadDir", false);  

// deaktiviert Webseitenverfolgung
lockPref("privacy.donottrackheader.enabled", false);  

Andere nicht! Zum Beispiel möchte ich für die Anwender die Entwicklerwerkzeug ausblenden und deaktivieren. Dafür habe ich alles was die about:config bei der Suche nach "devtools.*.enabled" auswirft per Konfigurationsdatei auf "false" gesetzt. Keine Wirkung. Die Werkzeuge stehen immer noch zur Verfügung.

Synchronisation! Es gibt 2-3 Möglichkeiten etwas zu synchronisieren. Pocket, Firefox und noch ein drittes. Mit der gleichen Methode, Suche nach "sync.*.enabled" und ähnlichen konnte ich einiges bewirken, aber dennoch wird mir als Anwender ein Fenster angeboten, bei dem ich ein Sync-Konto erzeugen kann.

Andere Einstellungen, wie das Verbieten von Add-On Installation erreicht man über den Wert "lockPref("xpinstall.enabled", false);" Aber "xpinstall.enabled" wird über die Suche in der about:config erst angezeigt, wenn man es per Konfigurationsdatei setzt. Ich zweifelte sogar somit an der Existenz dieses Wertes. Trotzdem kann man Ihn setzten und dann gibt es Ihn auch.

Fazit:
Einige Werte tragen eindeutige Namen und man weiß, was man damit setzt.
Andere Werte tragen einen Namen, der einen nicht zur gewünschten Einstellung führt.
Andere Werte scheinen vom Namen her und von der Erklärung in den offiziellen Beschreibungen eindeutig zu sein, machen aber trotzdem nicht das, was sie sollen.
Andere Werte werden erst sichtbar, wenn man sie per Datei setzt.

Das alles erschwert mir die Arbeit sehr, weil ich alle Werte kennen möchte, um zu wissen, was der Anwender mit dem Produkt machen kann. Die mozilla.adm löst mein Problem nicht. Dort sind die Werte auch nur mit Ihren verwirrenden Namen drin.
DerWoWusste
DerWoWusste 08.09.2015 um 15:28:52 Uhr
Goto Top