Tags: Web-Browser, Gruppenrichtlinien
Seit der Version 60 enthält Firefox eine neue Policy Engine, mit der sich viele Einstellungen zentral festlegen lassen. Das Regelwerk kann man je nach Plattform und Vorlieben über Gruppenrichtlinien oder eine Konfigurationsdatei im JSON-Format definieren. Der AutoConfig-Mechanismus ist vorerst noch an Bord.
Auch schon in früheren Versionen von Firefox boten sich Möglichkeiten, den Browser zentral verwalten. Die entsprechende Unterstützung stammte aber entweder von Drittanbietern oder setzte auf Verfahren, die nicht die Management-Funktionen des Betriebssystems nutzten. Dazu zählte bis zuletzt die populäre CCK2-Erweiterung zur Wizard-gestützten Erzeugung von AutoConfig-Dateien.
OS-spezifische Bereitstellung von Regeln
Die seit der Version 60 in den Browser integrierte Policy Engine stellt somit einen großen Fortschritt beim Einsatz von Firefox in Unternehmen dar. Sie lässt im Extended Support Release (ESR) eine weitgehende Konfiguration der Software zu. AutoConfig-Dateien werden noch unterstützt, sind aber nun weitgehend obsolet.
Die Policy Engine kann ihre Einstellungen aus mehreren Quellen beziehen, so dass sie sich besser in verschiedene Plattformen integrieren lässt. Unter Windows liest sie die verschiedenen Parameter aus der Registry aus, die sich ihrerseits über GPOs setzen lassen.
ADMX-Templates mit 73 Einstellungen
Gleichzeitig mit der Freigabe von Firefox 60 hat Mozilla die ADMX-Templates veröffentlicht, mit denen sich der Browser per GPO konfigurieren lässt. Sie enthalten aktuell 73 Einstellungen, mithin mehr, als Microsoft für Edge bietet. Sie sind sowohl unter dem Zweig Computer- als auch Benutzerkonfiguration verfügbar.
Hier finden sich vor allem Optionen, mit denen sich Features von Firefox blockieren lassen, wenn sie in Unternehmen nicht erwünscht sind. Das betrifft etwa die Möglichkeit, Add-ons zu installieren, ein Master-Passwort zu setzen, den integrierten PDF-Betrachter oder Private Browsing zu nutzen.
Außerdem lassen sich auf diesem Weg die Proxy-Einstellungen zentral setzen, nachdem Firefox dafür nicht wie Chrome oder Edge die Windows-Einstellungen übernimmt. Eigene Wege beschreitet der Mozilla-Browser auch bei Zertifikaten, für die er selbst einen Speicher enthält.
Die Einstellung Windows-Zertifikatspeicher nutzen bewirkt aber, dass er auf den Store des Betriebssystems zurückgreift. Auf diese Weise lässt sich Firefox sehr einfach dazu bewegen, Zertifikaten zu vertrauen, die von einer Enterprise CA ausgestellt wurden, also beispielsweise von einer Active Directory Zertifizierungsstelle.
Administrative Vorlagen installieren
Die Support-Site von Mozilla verweist auf eine Download-Seite auf Github, die mehrere komprimierte Archive enthält. Im Ordner Windows finden sich dort die Dateien mozilla.admx und firefox.admx, die ADML-Sprachdateien sind unter en-US nur nur auf Englisch enthalten.
Lädt man die Templates aber direkt aus dem Github-Repository herunter, dann bekommt man zusätzlich auch die deutschen Sprachdateien. Die Qualität der Übersetzung ist allerdings auf einem ähnlichen Niveau wie bei Microsoft, nämlich nicht besonders gut.
Um die Vorlagen im GPO-Editor verfügbar zu machen, kopiert man sie entweder lokal in das Verzeichnis %SystemRoot%\PolicyDefinitions oder bei der Nutzung eines Central Store nach
\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions.
Die Einstellungen befinden sich dann im GPO-Editor für Computer und Benutzer unter Richtlinien => Administrative Vorlagen => Mozilla => Firefox.
Alternative mittels JSON-Datei
Unter allen Betriebssystemen lässt sich die Konfigurationsdatei policies.json einsetzen. Sie muss bloß in ein Verzeichnis namens distribution unterhalb des Programmordners von Firefox kopiert werden. Unter Windows würde sich für ein zentrales Management die Verteilung dieser Datei per Group Policy Preferences anbieten.
Damit man sich nicht mit dem manuellen Editieren von JSON-Strukturen herumschlagen muss, hat Sören Hentzschel ein Add-on namens Enterprise Policy Generator entwickelt. Es erlaubt die Konfiguration des Browsers über eine GUI, das Ergebnis lässt sich dann im JSON-Format exportieren.
Installation von Firefox
Während Mozilla mit der neuen Policy Engine große Fortschritte beim Einsatz des Browsers in Unternehmen macht, fehlt für die zentrale Installation noch eine befriedigende Lösung. Zwar besteht die Möglichkeit, den Installer individuell anzupassen, aber dieser liegt für Windows nur als .exe-Datei vor.
Für die Distribution der Software über Gruppenrichtlinien wäre aber ein MSI-Paket erforderlich. Dieses ist aber weiterhin nicht verfügbar.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Web-Browser als Standardprogramm für E-Mails (mailto-Handler) konfigurieren
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Datenschutz: Cloud-Rechtschreibprüfung in Google Chrome und Microsoft Edge deaktivieren
- ADMX-Vorlagen für Microsoft Edge herunterladen und installieren
- Benachrichtigungen in Chrome, Edge und Firefox blockieren
Weitere Links
8 Kommentare
Für die Bereitstellung per Windows Installer gibt es hier ein Paket: https://www.frontmotion.com/
Dabei gibt es einen Installer für den "normalen" Firefox, aber auch eine angepasste Version, die schon zuvor die Konfiguration per Gruppenrichtlinien unterstützte (Firefox "Community Edition"). Leider braucht der Anbieter immer etwas Zeit, bis die aktuellste Version zur Verfügung steht. Aber nunja, ist ja in der Basis-Version kostenlos.
Es gibt auch ein Angebot für modifizierte Installer, z. B. erweitert durch Addons. Das kostet dann aber.
Scheinbar gibt es Planungen in der Mozilla Foundation, irgendwann doch ein eigenes MSI-Paket bereitzustelllen. Das wäre natürlich ein großer Fortschritt, wenn man dafür nicht mehr auf Drittanbieter angewiesen ist.
Dann ist zu hoffen, dass das ein "sauberes" Installer-Paket wird, bei dem sich die Installation per Transform-Datei verändern lässt, z. B. neben Verknüpfungen auch die Auswahl des Standardbrowsers.
VideoLAN hat dieses Jahr auch einen MSI-Installer für VLC Media Player veröffentlicht, das Skript zur Erstellung des Installers ist öffentlich verfügbar und sieht ganz hübsch aus, jedoch funktionierten für mich keine Transforms, z. B. für Verknüpfungen.
Beim Thema MSI-Installer wäre natürlich noch zu klären, ob/wie Updates unterstützt werden. Für den Rollout per Gruppenrichtlinien dürfte das per Admin und Gruppenrichtlinien erfolgen. Bei den Auto-Updatern müsste noch nach Minor-Update ("Drüberbügeln" eines Updates und "nur" Schreiben aktualisierter Dateien) und Major-Update (Entfernen aller alten Dateien + Installation neuer Dateien) unterschieden werden, ggf. Ausrollen von MSPs, also Patch-Paketen.
Also hier gibts seit mindestens Anfang 2019 ein MSI mit FF 67: https://support.mozilla.org/en-US/kb/deploy-firefox-msi-installers
Damit wäre Firefox mit GPO und Central Update Server besser geeignet als Chrome in Unternehmen. Chrome hat alles, aber kein zentraler Update Server. Dessen Re-Installation in Firmen beruht darauf, das komplette Paket zu entfernen und neu installieren mit firmeninternen Deploytools. Jede 2-4 Wochen..
Das ist kein richtiges MSI, sondern ein Wrapper, welcher das originale EXE-Setup entpackt und mit Kommandozeilenparametern installiert.
Oh, na das ist ja Mist. So genau habe ich es vorhin nicht geprüft. Danke fürs richtigstellen.
Mozilla scheint mittlerweile nachgebessert zu haben.
Bei was nachgebessert? Beim Installer offensichtlich nicht.