Групповые политики/Firefox

Описание

Дистрибутивы Альт поддерживают управление интернет-браузером Mozilla Firefox (версия ESR — Extended Support Release) через групповые политики посредством JSON-файла. Во время запуска браузер Mozilla Firefox считывает собственный файл policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Firefox в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.

Примечание: Путь к файлу policies.json, в зависимости от версии веб-браузера Firefox:

/etc/firefox/policies — новые версии;
/usr/lib64/firefox/distribution — старые версии.

Внимание! Реализация пользовательских настроек для Firefox требует правки разрозненного набора файлов с конфигурационными параметрами, логика устройства которых постоянно меняется и может приводить к коллизиям. Поэтому на текущем этапе разработки данный механизм реализован только для машинных политик.

Настройка политик для браузера Mozilla Firefox требует дополнительной установки ADMX-файлов Firefox (пакет admx-firefox).

Результат применения параметров групповой политики для Mozilla Firefox можно проверить, указав в адресной строке URL: "about:policies#active":

Примеры политик

Примечание: В gpupdate, начиная с версии 0.9.11-alt1 , реализованы все политики Firefox.

Ниже описаны только некоторые политики. Полный список политик и их описание можно найти на странице https://github.com/mozilla/policy-templates/blob/master/README.md#extensions или в браузере Mozilla Firefox, указав в адресной строке URL: "about:policies#documentation"

Политика	Имя политики	Описание	Примечание
Менеджер паролей	PasswordManagerEnabled	Запрещает доступ к менеджеру паролей через настройки и блокирует about:logins	Если эта политика находится в состоянии «Включено» или «Не сконфигурировано», менеджер паролей доступен в настройках и на странице about:logins: Если эта политика находится в состоянии «Отключено» (OfferToSaveLogins=false), Firefox запрещает доступ к менеджеру паролей через настройки и блокирует about:logins:
Отключить создание мастер-пароля	DisableMasterPasswordCreation	Отключает возможность установить мастер-пароль (основной пароль)	Если эта политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут создать мастер-пароль: Если эта политика находится в состоянии «Включено» (DisableMasterPasswordCreation=true), то она работает так же, как установка для параметра PrimaryPassword значения false, и пользователи не могут создать мастер-пароль. Если используются и DisableMasterPasswordCreation, и PrimaryPassword, DisableMasterPasswordCreation имеет приоритет.
Предлагать сохранить логины	OfferToSaveLogins	Разрешает Firefox предлагать запоминать сохранённые логины и пароли	Если политика находится в состоянии «Отключено» (OfferToSaveLogins=false) Firefox не будет предлагать сохранять логины и пароли веб-сайтов. Если политика находится в состоянии «Включено» или «Не сконфигурировано», Firefox будет предлагать сохранять логины и пароли веб-сайтов:
Отключить инструменты разработчика	DisableDeveloperTools	Блокирует доступ к инструментам разработчика	Если политика находится в состоянии «Включено», инструменты веб-разработчика недоступны в Firefox. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», инструменты веб-разработчика доступны в Firefox:
Отключить приватный просмотр	DisablePrivateBrowsing	Запрещает доступ к приватному просмотру	Если политика находится в состоянии «Включено», приватный просмотр запрещен. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», приватный просмотр разрешен:
Нет закладок по умолчанию	NoDefaultBookmarks	Отключает создание закладок по умолчанию (идущих вместе с Firefox), и смарт-закладки (часто посещаемые, недавние)	Если политика находится в состоянии «Включено», закладки по умолчанию и смарт-закладки (наиболее посещаемые, недавние теги) не создаются. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», создаются закладки по умолчанию и смарт-закладки (наиболее посещаемые, последние теги). Примечание: эта политика эффективна только в том случае, если она используется до первого запуска профиля.
Запрос места загрузки	PromptForDownloadLocation	Спрашивает, куда сохранять файлы при загрузке.	Если политика находится в состоянии «Отключено», файлы будут сохраняться в каталог, указанный в настройках (пользователю не предлагается указать место для загрузки файла): Если политика находится в состоянии «Включено», пользователю будет всегда выдаваться запрос на сохранение файла: Если политика находится в состоянии «Не сконфигурировано», пользователю будет выдаваться запрос на сохранение файла, но он может изменить значение по умолчанию.
Отключить историю форм	DisableFormHistory	Отключает запоминание истории поиска и данных форм	Если политика находится в состоянии «Включено», Firefox не запоминает историю форм или поиска: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Firefox будет помнить историю форм и поиска.
Блокировка редактора настроек (about:config)	BlockAboutConfig	Блокирует доступ к странице about:config	Если политика находится в состоянии «Включено», пользователь не может получить доступ к about:config: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к about:config:
Блокировка страницы управления профилями (about:profiles)	BlockAboutProfiles	Блокирует доступ к странице управления профилями (about:profiles).	Если политика находится в состоянии «Включено», пользователь не может получить доступ к профилям about:profiles: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к профилям about:profiles:
Блокировка информации об устранении неполадок	BlockAboutSupport	Блокирует доступ к странице about:support	Если политика находится в состоянии «Включено», пользователь не может получить доступ к информации для устранения неполадок или about:support: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к информации для устранения неполадок или about:support:
Captive Portal (портал захвата)	CaptivePortal	Включает или отключает тест соединения (поддержку перехватывающего портала)	Если политика находится в состоянии «Отключено», то поддержка captive portal отключена: Если политика находится в состоянии «Включено» или «Не сконфигурировано», то поддержка captive portal включена: Примечание: Браузер Mozilla Firefox при запуске проверяет, требует ли используемое сетевое соединение вход в систему. Во время теста Firefox пытается подключиться к http://detectportal.firefox.com/success.txt, чтобы проверить возможность соединения с этим адресом. Этот адрес также используется для проверки поддержки активного сетевого соединения IPv6. Отключение этой функциональности уменьшает количество автоматических подключений и может немного ускорить запуск браузера.
Отключить встроенную программу просмотра PDF (PDF.js)	DisableBuiltinPDFViewer	Отключает PDF.js, встроенный просмотрщик PDF в Firefox.	Если политика находится в состоянии «Включено», файлы PDF не просматриваются в Firefox: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», файлы PDF просматриваются в Firefox:
Отключить команды обратной связи	DisableFeedbackCommands	Отключает команды отправки отзывов в меню Справка («Отправить отзыв…» и «Сообщить о поддельном сайте…»)	Если политика находится в состоянии «Включено», пункты меню «Отправить отзыв…» и «Сообщить о поддельном сайте…» недоступны из меню «Справка»: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пункты меню «Отправить отзыв…» и «Сообщить о поддельном сайте…» доступны из меню «Справка»:
Отключить снимки экрана Firefox	DisableFirefoxScreenshots	Отключает функцию Firefox Screenshots	Если политика находится в состоянии «Включено», снимки экрана Firefox недоступны. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», доступны снимки экрана Firefox:
Отключить учетные записи Firefox	DisableFirefoxAccounts	Отключает службы, основанные на Аккаунте Firefox, включая Синхронизацию	Если политика находится в состоянии «Включено», учетные записи Firefox отключены, в том числе отключена синхронизация. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», доступны Аккаунты Firefox и Синхронизация.
Отключить исследования Firefox	DisableFirefoxStudies	Запрещает Firefox выполнять исследования	Если политика находится в состоянии «Включено», Firefox никогда не будет проводить исследования SHIELD или опросы Heartbeat: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может включить исследования SHIELD или опросы Heartbeat. Для получения дополнительной информации см. https://support.mozilla.org/en-US/kb/shield и https://wiki.mozilla.org/Firefox/Shield/Heartbeat
Отключить кнопку «Забыть»	DisableForgetButton	Закрывает доступ к кнопке «Забыть»	Если политика находится в состоянии «Включено», кнопка «Забыть о части истории веб-сёрфинга» недоступна. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», кнопка «Забыть о части истории веб-сёрфинга» доступна:
Запретить показывать пароли в сохраненных логинах	DisablePasswordReveal	Не позволяет просматривать пароли у сохранённых логинов	Если политика находится в состоянии «Включено», пользователи не могут отображать пароли в сохраненных логинах: Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут отображать пароли в сохраненных логинах:
Отключить Pocket	DisablePocket	Отключает сохранение страниц в Pocket	Если политика находится в состоянии «Включено», Pocket недоступен. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Pocket доступен: Примечание: Pocket — это специальный сервис для хранения различной информации, найденной в ходе веб-сёрфинга.
Отключить импорт профиля	DisableProfileImport	Отключает команду меню для импорта данных из другого браузера	Если политика находится в состоянии «Включено», опция «Импортировать данные из другого браузера…» в окне закладок недоступна. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», опция «Импорт данных из другого браузера…» доступна:
Отключить обновление профиля	DisableProfileRefresh	Отключает кнопку «Обновить Firefox» на странице about:support	Если политика находится в состоянии «Включено», кнопка «Очистить Firefox» будет недоступна на странице about:support. Если эта политика отключена или не сконфигурирована, кнопка «Очистить Firefox» доступна:
Отключить безопасный режим	DisableSafeMode	Отключает функцию для перезапуска в безопасном режиме	Если политика находится в состоянии «Включено», пользователь не может перезапустить браузер в безопасном режиме. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», безопасный режим разрешен:
Не проверять браузер по умолчанию	DontCheckDefaultBrowser	Отключает проверку браузера по умолчанию при запуске	Если политика находится в состоянии «Включено», Firefox не проверяет, является ли он браузером по умолчанию при запуске. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Firefox при запуске проверяет, является ли он браузером по умолчанию.
Аппаратное ускорение	HardwareAcceleration	Отключает аппаратное ускорение, если установлена в false	Если политика находится в состоянии «Отключено», аппаратное ускорение не может быть включено: Если политика находится в состоянии «Включено» или «Не сконфигурировано», включено аппаратное ускорение:
Основной (главный) пароль	PrimaryPassword	Требовать или не давать использовать мастер-пароль	Если политика находится в состоянии «Отключено», пользователи не могут создать основной пароль. Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователи могут создать основной пароль:
Прогнозирование сети	NetworkPrediction	Включает или отключает прогнозирование сети (предварительная выборка DNS)	Предварительная выборка DNS — это технология, используемая Firefox для ускорения загрузки новых веб-сайтов. Если политика находится в состоянии «Отключено», прогнозирование сети (предварительная выборка DNS) будет отключено: Если политика находится в состоянии «Включено» или «Не сконфигурировано», будет включено прогнозирование сети (предварительная выборка DNS):
Новая вкладка	NewTabPage	Включает или отключает страницу новой вкладки	Если эта политика находится в состоянии «Отключено», в новой вкладке будет загружена пустая страница: Если эта политика в состоянии «Включено» или «Не сконфигурировано», в новой вкладке будет загружена страница по умолчанию:
Подсказки по поиску	SearchSuggestEnabled	Включает или отключает поисковые предложения	Если эта политика находится в состоянии «Отключено», поисковые подсказки будут отключены: Если эта политика в состоянии «Включено», поисковые подсказки будут включены: Если эта политика в состоянии «Не сконфигурировано», поисковые подсказки будут включены, но пользователь может отключить их.
Показывать кнопку «Домашняя страница» на панели инструментов	ShowHomeButton	Включает кнопку «Домашняя страница Firefox» на панели инструментов	Если политика находится в состоянии «Отключено», кнопка «Домашняя страница» не будет отображаться на панели инструментов: Если политика находится в состоянии «Включено», кнопка «Домашняя страница» отображается на панели инструментов:
Блокировка менеджера дополнений (about:addons)	BlockAboutAddons	Блокирует доступ к менеджеру дополнений (about:addons)	Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к менеджеру дополнений (about:addons): Если политика находится в состоянии «Включено», пользователь не может получить доступ к менеджеру дополнений (about:addons):
URL для домашней страницы	Homepage	Устанавливает URL домашней страницы при старте браузера и, если необходимо, блокирует её смену	Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может установить и изменить домашнюю страницу: Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию, а также заблокировать возможность изменения домашней страницы.
SPNEGO	SPNEGO	Включает аутентификацию через SPNEGO/Kerberos	Если политика находится в состоянии «Отключено» или «Не сконфигурировано», никаким веб-сайтам не разрешается использовать аутентификацию SPNEGO с помощью браузера: Если политика находится в состоянии «Включено», указанным веб-сайтам разрешается использовать аутентификацию SPNEGO в браузере. Записи в списке имеют формат altlinux.org или https://altlinux.org.
Не разрешать изменять настройки аутентификации	Authentication Locked	Блокирует настройки аутентификации от изменений пользователем	Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователь не может изменить параметры проверки подлинности: Если политика находится в состоянии «Отключено», пользователь может изменить параметры проверки подлинности.
Разрешить неполное доменное имя (Non FQDN)	Authentication AllowNonFQDN	Разрешить SPNEGO или NTLM для неполных доменных имен (Non FQDN)	Если политика находится в состоянии «Включено» (и флажки отмечены), SPNEGO или NTLM будут включены для неполных доменных имен (Non FQDN) Если политика находится в состоянии «Отключено» или «Не сконфигурировано», NTLM и SPNEGO не будут включены для неполных доменных имен.
Расширения для установки	Extensions\Install	Задаёт список URL-адресов или собственных путей для устанавливаемых расширений	Если политика находится в состоянии «Включено», можно указать список URL-адресов или путей расширений, которые будут устанавливаться при запуске Firefox. При каждом изменении этого списка политики будут переустанавливаться. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», расширения не устанавливаются. Примечание: URL политики необходимо задавать в формате .xpi (например, https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi). Также можно указать путь на локальный каталог, в который, политикой копирования файлов, скопировать расширение в формате .xpi.
Управление расширениями	ExtensionSettings	Управление всеми аспектами расширений	Политика сопоставляет идентификатор расширения с его конфигурацией. Если указан идентификатор расширения, конфигурация будет применяться только к указанному расширению. Конфигурация по умолчанию может быть установлена для специального идентификатора "", который будет применяться ко всем расширениям, для которых не задана пользовательская конфигурация в этой политике. Примечание:* Чтобы получить идентификатор расширения, можно установите расширение и посмотреть идентификатор на странице about:support в разделе «Расширения». Если политика находится в состоянии «Включено», можно использовать JSON для описания политики управления расширениями. Если политика находится в состоянии «Отключено» или «Не сконфигурировано», расширения не будут управляться. Пример JSON: { "*": { "blocked_install_message": "Custom error message" }, "adblockultimate@adblockultimate.net": { "installation_mode": "force_installed", "install_url": "file:///home/user/file.xpi" }, "rutokenplugin@rutoken.ru": { "installation_mode": "force_installed", "install_url": "https://addons.mozilla.org/…/plugin.xpi" } } Конфигурация для каждого расширения — это еще один словарь, который может содержать следующие поля: installation_mode — режим установки расширения. Допустимые значения: allowed — разрешает установку расширения пользователем (поведение по умолчанию). Поле install_url не используется и будет автоматически определено на основе идентификатора; blocked — блокирует установку расширения и удаляет его, если оно уже установлено; force_installed — расширение устанавливается автоматически и не может быть удалено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url; normal_Installed — расширение устанавливается автоматически, но может быть отключено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url. install_url — сопоставляется с URL-адресом, указывающим, откуда Firefox может загрузить расширение (при force_installed или normal_installed). При установке из локальной файловой системы используйте URL-адрес file:///. При установке с сайта addons.mozilla.org можно использовать URL-адрес в виде https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi; install_sources — список источников, из которых разрешена установка расширений с использованием шаблонов соответствия URL. Этот параметр не нужен, если разрешена установка только определенных расширений по идентификатору. Данный параметр можно использовать только для конфигурации по умолчанию; allowed_types — белый список разрешённых типов расширений/приложений, которые можно установить в Firefox. Значение представляет собой список строк (допустимые строки: «extension», «theme», «dictionary», «locale»). Этот параметр можно использовать только для конфигурации по умолчанию; blocked_install_message — сообщение об ошибке, которое будет отображаться для пользователей, если им заблокирована установка расширения. Этот параметр можно использовать только для конфигурации по умолчанию; restricted_domains — массив доменов, на которых нельзя запускать сценарии контента. Этот параметр можно использовать только для конфигурации по умолчанию; updates_disabled — логическое значение, указывающее, следует ли отключать автоматические обновления для отдельного расширения; default_area — указывает, где должен быть размещен значок расширения. Возможные значения: «navbar» и «menupanel».

Файлы настроек политики

Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.

Пример Registry.pol:

PReg[Software\Policies\Mozilla\Firefox\Homepage;URL;;;https://basealt.ru]
[Software\Policies\Mozilla\Firefox\Homepage;Locked;;;]

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. Запустить GPUI:

из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
или с указанием каталога групповой политики:
```
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
```
где dc1.test.alt – имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Mozilla» -> «Firefox»:

Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2.. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Mozilla» -> «Firefox»:

Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры:

Групповые политики