Firefox zentral verwalten über GPOs und policies.json

    Firefox for EnterpriseSeit der Version 60 enthält Firefox eine neue Policy Engine, mit der sich viele Ein­stellungen zen­tral fest­legen lassen. Das Regel­werk kann man je nach Platt­form und Vor­lieben über Gruppen­richt­linien oder eine Konfi­gurations­datei im JSON-Format definieren. Der AutoConfig-Mecha­nismus ist vorerst noch an Bord.

    Auch schon in früheren Versionen von Firefox boten sich Möglich­keiten, den Browser zentral verwalten. Die entsprechende Unterstützung stammte aber entweder von Drittan­bietern oder setzte auf Verfahren, die nicht die Management-Funktionen des Betriebs­systems nutzten. Dazu zählte bis zuletzt die populäre CCK2-Erweiterung zur Wizard-gestützten Erzeugung von AutoConfig-Dateien.

    OS-spezifische Bereitstellung von Regeln

    Die seit der Version 60 in den Browser integrierte Policy Engine stellt somit einen großen Fortschritt beim Einsatz von Firefox in Unter­nehmen dar. Sie lässt im Extended Support Release (ESR) eine weit­gehende Konfiguration der Software zu. AutoConfig-Dateien werden noch unterstützt, sind aber nun weit­gehend obsolet.

    Die Policy Engine kann ihre Einstel­lungen aus mehreren Quellen beziehen, so dass sie sich besser in verschiedene Platt­formen integrieren lässt. Unter Windows liest sie die ver­schiedenen Parameter aus der Registry aus, die sich ihrerseits über GPOs setzen lassen.

    ADMX-Templates mit 73 Einstellungen

    Gleichzeitig mit der Freigabe von Firefox 60 hat Mozilla die ADMX-Templates veröffentlicht, mit denen sich der Browser per GPO konfigurieren lässt. Sie enthalten aktuell 73 Einstellungen, mithin mehr, als Microsoft für Edge bietet. Sie sind sowohl unter dem Zweig Computer- als auch Benutzer­konfiguration verfügbar.

    Hier finden sich vor allem Optionen, mit denen sich Features von Firefox blockieren lassen, wenn sie in Unter­nehmen nicht erwünscht sind. Das betrifft etwa die Möglichkeit, Add-ons zu installieren, ein Master-Passwort zu setzen, den integrierten PDF-Betrachter oder Private Browsing zu nutzen.

    GPO-Einstellungen für Mozilla Firefox 60 ESR oder höher

    Außerdem lassen sich auf diesem Weg die Proxy-Einstellungen zentral setzen, nachdem Firefox dafür nicht wie Chrome oder Edge die Windows-Einstellungen übernimmt. Eigene Wege beschreitet der Mozilla-Browser auch bei Zerti­fikaten, für die er selbst einen Speicher enthält.

    Die Einstellung Windows-Zertifikatspeicher nutzen bewirkt aber, dass er auf den Store des Betriebs­systems zurückgreift. Auf diese Weise lässt sich Firefox sehr einfach dazu bewegen, Zertifikaten zu vertrauen, die von einer Enterprise CA ausgestellt wurden, also beispielsweise von einer Active Directory Zerti­fizierungs­stelle.

    Administrative Vorlagen installieren

    Die Support-Site von Mozilla verweist auf eine Download-Seite auf Github, die mehrere komprimierte Archive enthält. Im Ordner Windows finden sich dort die Dateien mozilla.admx und firefox.admx, die ADML-Sprachdateien sind unter en-US nur nur auf Englisch enthalten.

    Lädt man die Templates aber direkt aus dem Github-Repository herunter, dann bekommt man zusätzlich auch die deutschen Sprach­dateien. Die Qualität der Übersetzung ist aller­dings auf einem ähnlichen Niveau wie bei Microsoft, nämlich nicht besonders gut.

    Installation der ADMX-Vorlagen für Firefox in einem Central Store

    Um die Vorlagen im GPO-Editor verfügbar zu machen, kopiert man sie entweder lokal in das Verzeichnis %SystemRoot%\PolicyDefinitions oder bei der Nutzung eines Central Store nach
    \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions.

    Die Einstellungen befinden sich dann im GPO-Editor für Computer und Benutzer unter Richtlinien => Administrative Vorlagen => Mozilla => Firefox.

    Alternative mittels JSON-Datei

    Unter allen Betriebs­systemen lässt sich die Konfi­gurations­datei policies.json einsetzen. Sie muss bloß in ein Verzeichnis namens distribution unterhalb des Programm­ordners von Firefox kopiert werden. Unter Windows würde sich für ein zentrales Management die Verteilung dieser Datei per Group Policy Preferences anbieten.

    Der Enterprise Policy Generator vereinfacht das Erstellen einer JSON-basierten Konfiguration für Firefox.

    Damit man sich nicht mit dem manuellen Editieren von JSON-Strukturen herumschlagen muss, hat Sören Hentzschel ein Add-on namens Enterprise Policy Generator entwickelt. Es erlaubt die Konfiguration des Browsers über eine GUI, das Ergebnis lässt sich dann im JSON-Format exportieren.

    Installation von Firefox

    Während Mozilla mit der neuen Policy Engine große Fortschritte beim Einsatz des Browsers in Unternehmen macht, fehlt für die zentrale Installation noch eine befriedigende Lösung. Zwar besteht die Möglichkeit, den Installer individuell anzupassen, aber dieser liegt für Windows nur als .exe-Datei vor.

    Für die Distribution der Software über Gruppen­richtlinien wäre aber ein MSI-Paket erforderlich. Dieses ist aber weiterhin nicht verfügbar.

    3 Kommentare

    Bild von Martin Feuerstein
    Martin Feuerstein sagt:
    6. September 2018 - 20:32

    Für die Bereitstellung per Windows Installer gibt es hier ein Paket: https://www.frontmotion.com/

    Dabei gibt es einen Installer für den "normalen" Firefox, aber auch eine angepasste Version, die schon zuvor die Konfiguration per Gruppenrichtlinien unterstützte (Firefox "Community Edition"). Leider braucht der Anbieter immer etwas Zeit, bis die aktuellste Version zur Verfügung steht. Aber nunja, ist ja in der Basis-Version kostenlos.

    Es gibt auch ein Angebot für modifizierte Installer, z. B. erweitert durch Addons. Das kostet dann aber.

    Bild von Wolfgang Sommergut
    6. September 2018 - 22:18

    Scheinbar gibt es Planungen in der Mozilla Foundation, irgendwann doch ein eigenes MSI-Paket bereit­zustelllen. Das wäre natürlich ein großer Fortschritt, wenn man dafür nicht mehr auf Drittanbieter angewiesen ist.

    Bild von Martin Feuerstein
    Martin Feuerstein sagt:
    6. September 2018 - 23:31

    Dann ist zu hoffen, dass das ein "sauberes" Installer-Paket wird, bei dem sich die Installation per Transform-Datei verändern lässt, z. B. neben Verknüpfungen auch die Auswahl des Standardbrowsers.

    VideoLAN hat dieses Jahr auch einen MSI-Installer für VLC Media Player veröffentlicht, das Skript zur Erstellung des Installers ist öffentlich verfügbar und sieht ganz hübsch aus, jedoch funktionierten für mich keine Transforms, z. B. für Verknüpfungen.

    Beim Thema MSI-Installer wäre natürlich noch zu klären, ob/wie Updates unterstützt werden. Für den Rollout per Gruppenrichtlinien dürfte das per Admin und Gruppenrichtlinien erfolgen. Bei den Auto-Updatern müsste noch nach Minor-Update ("Drüberbügeln" eines Updates und "nur" Schreiben aktualisierter Dateien) und Major-Update (Entfernen aller alten Dateien + Installation neuer Dateien) unterschieden werden, ggf. Ausrollen von MSPs, also Patch-Paketen.