Roberto Massa
Ermanno GolettoDeploy e Gestione di Firefox in ambiente Enterprise
Premessa
Abbiamo trattato in questo articolo il tema della gestione di Chrome in un ambiente Enterprise, per “completare” la panoramica dei browser installabili, con questo nuovo articolo vorremmo analizzare i limiti e di conseguenza le alternative possibili, nella gestione di Firefox in un ambiente distribuito.
Prima di addentrarci nelle varie configurazioni è necessario però fare alcune precisazioni.
- Firefox non è in grado per sua concezione di utilizzare lo store di certificati messo a disposizione dal sistema operativo nel quale è eseguito, entrambi gli store sia di macchina che di utente non sono utilizzati.
-
Una possibilità per importare i certificati è offerta da CCK2 un Add-On per Firefox che consente di ovviare a questa limitazione e che permette anche di definire ulteriori impostazioni.
- È stato annunciato, che a partire dalla versione 49 del browser questo limite dovrebbe essere superato. Nella maggior parte delle installazioni questo comportamento può non essere vincolante, ma dove sono utilizzati certificati generati da una CA interna, oppure certificati self-signed distribuiti con Group Policy, Firefox non sarà in grado di considerarli attendibili ed i siti acceduti, presenteranno sempre avvisi di sicurezza legati a SSL.
- È stato annunciato, che a partire dalla versione 49 del browser questo limite dovrebbe essere superato. Nella maggior parte delle installazioni questo comportamento può non essere vincolante, ma dove sono utilizzati certificati generati da una CA interna, oppure certificati self-signed distribuiti con Group Policy, Firefox non sarà in grado di considerarli attendibili ed i siti acceduti, presenteranno sempre avvisi di sicurezza legati a SSL.
- Firefox non dispone di Group Policy aggiornate per la sua gestione, o meglio esiste un progetto disponibile su Source Forge che mette a disposizione una serie di file adm di management ma con funzionalità ancora limitate e gli ultimi aggiornamenti non sono proprio recenti.
- È disponibile una soluzione commerciale che, tramite GPO, permette la gestione di Firefox ed anche la gestione dei certificati, ovviando alla limitazione a cui si accennava prima. Tutta la documentazione e l’eventuale valutazione è disponibile qui .
Verificato lo scenario che ho brevemente riassunto sopra, ho avuto modo facendo un po’ di ricerche, di “scoprire” un progetto che si basa su Firefox ma che è stato modificato al fine di essere gestibile tramite Group Policy.
FrontMotion un’alternativa a Firefox
Il progetto si chiama FrontMotion è gratuito ed ha, fino ad ora, avuto manutenzione costante, procedendo anche nelle sue versioni di pari passo con Firefox stesso.
Per chi ha necessità di gestire un browser di questa famiglia e non ritiene di dover utilizzare soluzioni commerciali, la scelta sembrerebbe essere questa, in ogni caso rimane ancora per qualche tempo il limite della gestione dei certificati cui accennavo sopra.
Il risultato che si ottiene scaricando i file adm(X) ed implementando una Group Policy per la gestione è analogo a ciò che si ottiene con il lockdown di Firefox tramite il file mozilla.cfg, ossia è possibile definire centralmente una serie di impostazioni che risulteranno bloccate agli utenti.
FrontMotion e Mozilla sono identici?
FrontMotion non si può considerare a tutti gli effetti Mozilla, soprattutto dal punto di vista della sicurezza, nel senso che è un Browser che vive a parte, infatti sul sito di FrontMotion viene dichiarato:
“Note: FrontMotion Firefox Community Edition is not Mozilla Firefox since there are code changes”
Questa dichiarazione è da tenere presente soprattutto nel caso si voglia utilizzare come soluzione alternativa a FireFox, anche sul sito CVE dove sono riportate le varie vulnerabilità conosciute, questo browser non è recensito e quindi a priori non se ne conoscono le vulnerabilità.
Sul sito è disponibile un forum di supporto discretamente frequentato, mentre il download del pacchetto di installazione e dei file di configurazione da implementare nelle GPO è a questo link.
Come ho già riportato sopra FrontMotion riprende la distribuzione di Firefox rilasciando un pacchetto di installazione basato sulla versione ESR (Extended Support Release) del browser Mozilla.
Questa versione è indicata per Scuole, università, aziende etc. “…. for use by organizations including schools, universities, businesses and others who need extended support for mass deployments….”. (la citazione è presa direttamente dal sito).
Questo in sintesi è lo scenario con cui ci dobbiamo confrontare nel momento in cui decidiamo di distribuire e gestire questo browser in modo centralizzato.
Configurazione ed impostazione delle GPO
Scaricati i file di gestione del prodotto e creata la GPO per la sua gestione è possibile definire le varie impostazioni del browser, Home Page, proxy etc.
La cosa che è utile sapere è che le impostazioni disponibili sono soltanto “Per Machine” quindi dobbiamo considerare il fatto che non sarà possibile implementare configurazioni basandosi sull’utente, ma che ogni utilizzatore della postazione avrà le stesse impostazioni.
le impostazioni disponibili, una volta importati i file ADM(x) saranno disponibili all’interno del ramo Mozilla Advanced Options raggruppate per aree di gestione
Figura 1: definizione della GPO di gestione
nell’area Network è possibile definire tutte le impostazioni relative alla modalità di connessione del browser
Figura 2: impostazione delle modalità di connessione ad internet
attivando la proprietà relativa all’utilizzo di un proxy per la connessione ad internet e la relativa porta
Figura 3: impostazione del proxy HTTP
Figura 4:impostazione della porta di ascolto del proxy
Le impostazioni relative alla Home Page sono invece disponibili nel gruppo Startup
Figura 5: impostazione della Home Page
È possibile gestire il browser in modo completo utilizzando un numero elevato di impostazioni, per brevità ho elencato qui le due principali, proxy ed home page, per un elenco completo è utile riferirsi qui http://kb.mozillazine.org/About:config_entries
Verifica delle impostazioni applicate
In caso di problemi di funzionamento o di comportamenti non coerenti con le impostazioni definite, può essere necessario verificare quali impostazioni sono effettivamente recepite dalla postazione
E’ possibile utilizzare il comando rsop al fine di interrogare il sistema operativo per le policy applicate.
(siccome quelle di FrontMotion sono policy di macchina l’utente deve avere i permessi sufficienti per eseguire la ricerca)
Figura 6: output del comando RSOP sul client gestito
Oppure direttamente dal browser Front Motion è possibile vedere direttamente le impostazioni bloccate, ossia quelle che definite centralmente dalle GPO non risultano modificabili all’utente, questa informazione si ottiene digitando direttamente nella barra degli indirizzi about:config
Questo comando a prescindere che il browser sia gestito o meno è utile per ottenere il riassunto delle impostazioni di Firefox
Figura 7: Interrogazione del browser per verificare le impostazioni gestite
riferimenti:
FrontMotion home page
Firefox e CA di sistema
https://wiki.mozilla.org/CA:AddRootToFirefox
descrizione delle voci di configurazione del browser
http://kb.mozillazine.org/About:config_entries
Sourceforge progetto FirefoxADM (non aggiornato di recente)