Развертывание Firefox на предприятии с помощью uBlock Origin, HTTPS Everywhere и Privacy Badger с помощью групповой политики

 аким образом, мы уже довольно давно развертываем Firefox практически везде, где только можем, однако только недавно мы начали стандартизировать развертывания во всех организациях, которыми мы управляем. Мы развернули внутренний корневой CAs с использованием метода CCK2, чтобы улучшить наш пользовательский опыт с помощью глубокой проверки пакетов SSL, однако настройка конфигураций и расширений и их согласованность были сложной задачей. Недавно я узнал, что Mozilla не так давно начала разрабатывать объекты групповой политики, и теперь это позволяет управлять предприятием прямо в Firefox без суеты. В этой статье я расскажу о настройке uBlock Origin, HTTPS Everywhere и Privacy Badger, которые являются нашими расширениями go to для защиты конечных пользователей.

Для развертывания Firefox (или любого приложения windows) обычно требуется использовать установщик на основе MSI (для лучшего контроля и управления). Mozilla теперь строит их в течение некоторого времени через свою страницу поддержки корпоративного развертывания для бета-версий и стандартных выпусков. Если вы находитесь после выпуска расширенной поддержки (ESR), посетите страницу загрузки FrontMotion (они также предлагают ряд других услуг, таких как индивидуальный упаковщик). В управляемой среде вы либо используете групповую политику для развертывания программного обеспечения, либо System Center Configuration Manager, либо какую-то другую форму MDM (ala InTune). MSI должен быть в сетевом общем ресурсе, доступном всем машинам, затем вы будете импортированы либо в политику > настройки программного обеспечения > > установка программного обеспечения для групповой политики (затем щелкните правой кнопкой мыши, новый >>> пакет), либо в приложение под библиотекой программного обеспечения для Config Manager и вытеснены. Есть гораздо лучшие руководства, чем то, что я могу здесь разместить, так что, пожалуйста, погуглите, если вы не уверены. В нашем случае я использовал Config Manager, и поскольку мы обновляемся, я установил правило замены, как показано ниже.

После развертывания Firefox нам нужно получить эти расширения на компьютеры, поэтому первая часть-это получение URL-адресов расширений, которые вы хотите развернуть. Посетите магазин надстроек и начните искать то, что вам нужно. Для нашего примера, как уже упоминалось, мы будем устанавливать uBlock Origin, Privacy Badger и HTTPS везде. Когда вы окажетесь на странице надстройки, щелкните правой кнопкой мыши на кнопке Добавить в Firefox и выберите пункт Скопировать расположение ссылки, а затем сохраните его для дальнейшего использования. Как только у вас будет свой список расширений, он должен выглядеть примерно так, как показано ниже (я удалил строку отслеживания в конце).

?

https://addons.mozilla.org/firefox/downloads/file/1672871/ublock_origin-1.18.4-an+fx.xpi https://addons.mozilla.org/firefox/downloads/file/1688114/privacy_badger-2019.2.19-an+fx.xpi https://addons.mozilla.org/firefox/downloads/file/1669416/https_everywhere-2019.1.31-an+fx.xpi

Далее необходимо получить определения групповой политики от Mozilla и загрузить их в свою групповую политику Active Directory. Я бы очень рекомендовал вам иметь настройку центрального магазина групповой политики, так как это значительно упрощает управление этими вещами. Загрузите последнюю версию или те, которые соответствуют вашему развертыванию Firefox со страницы релизов Mozilla GitHub, распакуйте и скопируйте эти файлы в Центральное хранилище групповой политики или требуемое место. А теперь самое интересное.

Создайте новый объект групповой политики, В моем случае Configure-Firefox, а затем откройте его и перейдите в следующую ветвь политики; Конфигурация компьютера > политики > > Административные шаблоны> > > Mozilla > > > Firefox > > > > расширения>>>>>>. Здесь мы будем разрешать установку расширений. Используя список, который мы составили ранее, введите URL-адреса один за другим в список, чтобы он выглядел примерно так, как показано ниже.

Следующий шаг, который я бы рекомендовал, заключается в том, что мы хотим остановить или запретить нашим конечным пользователям удалять эти расширения/защиты. Для этого нам нужно получить идентификаторы расширений, поэтому запустите Firefox и установите список расширений, который мы собрали ранее (если вы еще не сделали этого для тестирования). Теперь самый простой способ, который я нашел для получения идентификаторов расширений,-это использовать встроенный профилировщик памяти Firefox. В адресной строке введите about: memory и как только он загрузится в группе показать отчеты о памяти, нажмите кнопку Измерить. Выполните поиск расширений, и вы получите список всех запущенных в данный момент расширений. Теперь извлеките все для ключа id (в данном случае GUID, но может быть и текстовым);

?

Extension(id={d634138d-c276-4fc8-924b-40a0ea21d284}, name="1Password X – Password Manager", baseURL=moz-extension://31872614-f67c-4cda-84e4-18c0515c8b48/

Выше приведен пример того, что вы найдете в списке (используя 1Password). Ниже приводится то, что мы будем вводить в запрет расширения от отключения или удаления на основе нашей настройки до сих пор – с последней строкой, принадлежащей Privacy Badger.

?

https-everywhere@eff.org uBlock0@raymondhill.net jid1-MnnxcxisBPnSXQ@jetpack

Теперь, когда у нас есть список идентификаторов расширений, мы хотим ввести их в параметр групповой политики запретить отключение или удаление расширений, расположенный в той же ветви, что и устанавливаемые расширения. Опять же, вводите их в список один за другим, пока у вас не появится что-то похожее

После того, как это настроено, примените объект групповой политики к вашим тестовым машинам предпочтительно с установленным на нем Mozilla Firefox, войдите в систему и выполните gpupdate /force с конечным результатом, являющимся теми расширениями, которые волшебным образом появляются в соответствии с нижеприведенным изображением.

Таким образом, мы уже довольно давно развертываем Firefox практически везде, где только можем, однако только недавно мы начали стандартизировать развертывания во всех организациях, которыми мы управляем. Мы развернули внутренний корневой CAs с использованием метода CCK2, чтобы улучшить наш пользовательский опыт с помощью глубокой проверки пакетов SSL, однако настройка конфигураций и расширений и их согласованность были сложной задачей. Недавно я узнал, что Mozilla не так давно начала разрабатывать объекты групповой политики, и теперь это позволяет управлять предприятием прямо в Firefox без суеты. В этой статье я расскажу о настройке uBlock Origin, HTTPS Everywhere и Privacy Badger, которые являются нашими расширениями go to для защиты конечных пользователей.

Для развертывания Firefox (или любого приложения windows) обычно требуется использовать установщик на основе MSI (для лучшего контроля и управления). Mozilla теперь строит их в течение некоторого времени через свою страницу поддержки корпоративного развертывания для бета-версий и стандартных выпусков. Если вы находитесь после выпуска расширенной поддержки (ESR), посетите страницу загрузки FrontMotion (они также предлагают ряд других услуг, таких как индивидуальный упаковщик). В управляемой среде вы либо используете групповую политику для развертывания программного обеспечения, либо System Center Configuration Manager, либо какую-то другую форму MDM (ala InTune). MSI должен быть в сетевом общем ресурсе, доступном всем машинам, затем вы будете импортированы либо в политику > настройки программного обеспечения > > установка программного обеспечения для групповой политики (затем щелкните правой кнопкой мыши, новый >>> пакет), либо в приложение под библиотекой программного обеспечения для Config Manager и вытеснены. Есть гораздо лучшие руководства, чем то, что я могу здесь разместить, так что, пожалуйста, погуглите, если вы не уверены. В нашем случае я использовал Config Manager, и поскольку мы обновляемся, я установил правило замены, как показано ниже.

• 

• 

После развертывания Firefox нам нужно получить эти расширения на компьютеры, поэтому первая часть-это получение URL-адресов расширений, которые вы хотите развернуть. Посетите магазин надстроек и начните искать то, что вам нужно. Для нашего примера, как уже упоминалось, мы будем устанавливать uBlock Origin, Privacy Badger и HTTPS везде. Когда вы окажетесь на странице надстройки, щелкните правой кнопкой мыши на кнопке Добавить в Firefox и выберите пункт Скопировать расположение ссылки, а затем сохраните его для дальнейшего использования. Как только у вас будет свой список расширений, он должен выглядеть примерно так, как показано ниже (я удалил строку отслеживания в конце).

?

https://addons.mozilla.org/firefox/downloads/file/1672871/ublock_origin-1.18.4-an+fx.xpi https://addons.mozilla.org/firefox/downloads/file/1688114/privacy_badger-2019.2.19-an+fx.xpi https://addons.mozilla.org/firefox/downloads/file/1669416/https_everywhere-2019.1.31-an+fx.xpi

Далее необходимо получить определения групповой политики от Mozilla и загрузить их в свою групповую политику Active Directory. Я бы очень рекомендовал вам иметь настройку центрального магазина групповой политики, так как это значительно упрощает управление этими вещами. Загрузите последнюю версию или те, которые соответствуют вашему развертыванию Firefox со страницы релизов Mozilla GitHub, распакуйте и скопируйте эти файлы в Центральное хранилище групповой политики или требуемое место. А теперь самое интересное.

Создайте новый объект групповой политики, В моем случае Configure-Firefox, а затем откройте его и перейдите в следующую ветвь политики; Конфигурация компьютера > политики > > Административные шаблоны> > > Mozilla > > > Firefox > > > > расширения>>>>>>. Здесь мы будем разрешать установку расширений. Используя список, который мы составили ранее, введите URL-адреса один за другим в список, чтобы он выглядел примерно так, как показано ниже.

Следующий шаг, который я бы рекомендовал, заключается в том, что мы хотим остановить или запретить нашим конечным пользователям удалять эти расширения/защиты. Для этого нам нужно получить идентификаторы расширений, поэтому запустите Firefox и установите список расширений, который мы собрали ранее (если вы еще не сделали этого для тестирования). Теперь самый простой способ, который я нашел для получения идентификаторов расширений,-это использовать встроенный профилировщик памяти Firefox. В адресной строке введите about: memory и как только он загрузится в группе показать отчеты о памяти, нажмите кнопку Измерить. Выполните поиск расширений, и вы получите список всех запущенных в данный момент расширений. Теперь извлеките все для ключа id (в данном случае GUID, но может быть и текстовым);

?

Extension(id={d634138d-c276-4fc8-924b-40a0ea21d284}, name="1Password X – Password Manager", baseURL=moz-extension://31872614-f67c-4cda-84e4-18c0515c8b48/

Выше приведен пример того, что вы найдете в списке (используя 1Password). Ниже приводится то, что мы будем вводить в запрет расширения от отключения или удаления на основе нашей настройки до сих пор – с последней строкой, принадлежащей Privacy Badger.

?

https-everywhere@eff.org uBlock0@raymondhill.net jid1-MnnxcxisBPnSXQ@jetpack

Теперь, когда у нас есть список идентификаторов расширений, мы хотим ввести их в параметр групповой политики запретить отключение или удаление расширений, расположенный в той же ветви, что и устанавливаемые расширения. Опять же, вводите их в список один за другим, пока у вас не появится что-то похожее

После того, как это настроено, примените объект групповой политики к вашим тестовым машинам предпочтительно с установленным на нем Mozilla Firefox, войдите в систему и выполните gpupdate /force с конечным результатом, являющимся теми расширениями, которые волшебным образом появляются в соответствии с нижеприведенным изображением.

Надеюсь, это поможет.