Групповые политики/Firefox

Материал из ALT Linux Wiki

Описание

Дистрибутивы Альт поддерживают управление интернет-браузером Mozilla Firefox (версия ESR — Extended Support Release) через групповые политики посредством JSON-файла. Во время запуска браузер Mozilla Firefox считывает собственный файл policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Firefox в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.

Примечание: Путь к файлу policies.json, в зависимости от версии веб-браузера Firefox:
  • /etc/firefox/policies — новые версии;
  • /usr/lib64/firefox/distribution — старые версии.


Внимание! Реализация пользовательских настроек для Firefox требует правки разрозненного набора файлов с конфигурационными параметрами, логика устройства которых постоянно меняется и может приводить к коллизиям. Поэтому на текущем этапе разработки данный механизм реализован только для машинных политик.


Настройка политик для браузера Mozilla Firefox требует дополнительной установки ADMX-файлов Firefox (пакет admx-firefox).

Результат применения параметров групповой политики для Mozilla Firefox можно проверить, указав в адресной строке URL: "about:policies#active":

Активные политики Mozilla Firefox

Примеры политик

Примечание: В gpupdate, начиная  с версии 0.9.11-alt1 , реализованы все политики Firefox.


Ниже описаны только некоторые политики. Полный список политик и их описание можно найти на странице https://github.com/mozilla/policy-templates/blob/master/README.md#extensions или в браузере Mozilla Firefox, указав в адресной строке URL: "about:policies#documentation"

Политика Имя политики Описание Окно настройки Примечание
Менеджер паролей PasswordManagerEnabled Запрещает доступ к менеджеру паролей через настройки и блокирует about:logins

Запрет доступа к менеджеру паролей через настройки

Если эта политика находится в состоянии «Включено» или «Не сконфигурировано», менеджер паролей доступен в настройках и на странице about:logins:

Доступ к менеджеру паролей

Если эта политика находится в состоянии «Отключено» (OfferToSaveLogins=false), Firefox запрещает доступ к менеджеру паролей через настройки и блокирует about:logins:

Запрет доступа к менеджеру паролей через настройки

Отключить создание мастер-пароля DisableMasterPasswordCreation Отключает возможность установить мастер-пароль (основной пароль) Отключить создание мастер-пароля

Если эта политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут создать мастер-пароль:

Пользователи могут создать мастер-пароль

Если эта политика находится в состоянии «Включено» (DisableMasterPasswordCreation=true), то она работает так же, как установка для параметра PrimaryPassword значения false, и пользователи не могут создать мастер-пароль.

Если используются и DisableMasterPasswordCreation, и PrimaryPassword, DisableMasterPasswordCreation имеет приоритет.

Предлагать сохранить логины OfferToSaveLogins Разрешает Firefox предлагать запоминать сохранённые логины и пароли

Firefox. Предлагать сохранить логины

Если политика находится в состоянии «Отключено» (OfferToSaveLogins=false) Firefox не будет предлагать сохранять логины и пароли веб-сайтов.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», Firefox будет предлагать сохранять логины и пароли веб-сайтов:

Предложение сохранить логин

Отключить инструменты разработчика DisableDeveloperTools Блокирует доступ к инструментам разработчика Отключить инструменты разработчика

Если политика находится в состоянии «Включено», инструменты веб-разработчика недоступны в Firefox.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», инструменты веб-разработчика доступны в Firefox:

Инструменты веб-разработчика

Отключить приватный просмотр DisablePrivateBrowsing Запрещает доступ к приватному просмотру Отключить приватный просмотр

Если политика находится в состоянии «Включено», приватный просмотр запрещен.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», приватный просмотр разрешен:

Приватный просмотр разрешен

Нет закладок по умолчанию NoDefaultBookmarks Отключает создание закладок по умолчанию (идущих вместе с Firefox), и смарт-закладки (часто посещаемые, недавние) Нет закладок по умолчанию

Если политика находится в состоянии «Включено», закладки по умолчанию и смарт-закладки (наиболее посещаемые, недавние теги) не создаются.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», создаются закладки по умолчанию и смарт-закладки (наиболее посещаемые, последние теги).

Примечание: эта политика эффективна только в том случае, если она используется до первого запуска профиля.

Запрос места загрузки PromptForDownloadLocation Спрашивает, куда сохранять файлы при загрузке. Запрос места загрузки

Если политика находится в состоянии «Отключено», файлы будут сохраняться в каталог, указанный в настройках (пользователю не предлагается указать место для загрузки файла):

Путь для сохранения файлов

Если политика находится в состоянии «Включено», пользователю будет всегда выдаваться запрос на сохранение файла:

Запрос имени файла для сохранения

Если политика находится в состоянии «Не сконфигурировано», пользователю будет выдаваться запрос на сохранение файла, но он может изменить значение по умолчанию.

Отключить историю форм DisableFormHistory Отключает запоминание истории поиска и данных форм Отключить историю форм

Если политика находится в состоянии «Включено», Firefox не запоминает историю форм или поиска:

Отключить историю форм

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Firefox будет помнить историю форм и поиска.

Блокировка редактора настроек (about:config) BlockAboutConfig Блокирует доступ к странице about:config Блокировка редактора настроек (about:config)

Если политика находится в состоянии «Включено», пользователь не может получить доступ к about:config:

Доступ к странице about:config заблокирован

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к about:config:

Страница about:config

Блокировка страницы управления профилями (about:profiles) BlockAboutProfiles Блокирует доступ к странице управления профилями (about:profiles). Блокировка страницы управления профилями (about:profiles)

Если политика находится в состоянии «Включено», пользователь не может получить доступ к профилям about:profiles:

Доступ к странице about:profiles заблокирован

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к профилям about:profiles:

Страница about:profiles

Блокировка информации об устранении неполадок BlockAboutSupport Блокирует доступ к странице about:support Блокировка информации об устранении неполадок

Если политика находится в состоянии «Включено», пользователь не может получить доступ к информации для устранения неполадок или about:support:

Доступ к странице about:support заблокирован

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к информации для устранения неполадок или about:support:

Страница about:support

Captive Portal (портал захвата) CaptivePortal Включает или отключает тест соединения (поддержку перехватывающего портала) Отключить историю форм

Если политика находится в состоянии «Отключено», то поддержка captive portal отключена:

Поддержка перехватывающего портала отключена

Если политика находится в состоянии «Включено» или «Не сконфигурировано», то поддержка captive portal включена:

Поддержка перехватывающего портала включена

Примечание: Браузер Mozilla Firefox при запуске проверяет, требует ли используемое сетевое соединение вход в систему. Во время теста Firefox пытается подключиться к http://detectportal.firefox.com/success.txt, чтобы проверить возможность соединения с этим адресом. Этот адрес также используется для проверки поддержки активного сетевого соединения IPv6.

Отключение этой функциональности уменьшает количество автоматических подключений и может немного ускорить запуск браузера.

Отключить встроенную программу просмотра PDF (PDF.js) DisableBuiltinPDFViewer Отключает PDF.js, встроенный просмотрщик PDF в Firefox. Отключить встроенную программу просмотра PDF (PDF.js)

Если политика находится в состоянии «Включено», файлы PDF не просматриваются в Firefox:

Внешняя программа просмотра PDF

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», файлы PDF просматриваются в Firefox:

Встроенная программа просмотра PDF

Отключить команды обратной связи DisableFeedbackCommands Отключает команды отправки отзывов в меню Справка («Отправить отзыв…» и «Сообщить о поддельном сайте…») Отключить команды обратной связи

Если политика находится в состоянии «Включено», пункты меню «Отправить отзыв…» и «Сообщить о поддельном сайте…» недоступны из меню «Справка»:

Меню «Справка»

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пункты меню «Отправить отзыв…» и «Сообщить о поддельном сайте…» доступны из меню «Справка»:

Меню «Справка»

Отключить снимки экрана Firefox DisableFirefoxScreenshots Отключает функцию Firefox Screenshots Отключить снимки экрана Firefox

Если политика находится в состоянии «Включено», снимки экрана Firefox недоступны.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», доступны снимки экрана Firefox:

Сделать снимок экрана Firefox

Сделать скриншот Firefox

Отключить учетные записи Firefox DisableFirefoxAccounts Отключает службы, основанные на Аккаунте Firefox, включая Синхронизацию Отключить учетные записи Firefox

Если политика находится в состоянии «Включено», учетные записи Firefox отключены, в том числе отключена синхронизация.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», доступны Аккаунты Firefox и Синхронизация.

Аккаунты Firefox и Синхронизация

Отключить исследования Firefox DisableFirefoxStudies Запрещает Firefox выполнять исследования Отключить исследования Firefox

Если политика находится в состоянии «Включено», Firefox никогда не будет проводить исследования SHIELD или опросы Heartbeat:

Исследования Firefox отключены

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может включить исследования SHIELD или опросы Heartbeat.

Для получения дополнительной информации см. https://support.mozilla.org/en-US/kb/shield и https://wiki.mozilla.org/Firefox/Shield/Heartbeat

Отключить кнопку «Забыть» DisableForgetButton Закрывает доступ к кнопке «Забыть» Отключить кнопку «Забыть»

Если политика находится в состоянии «Включено», кнопка «Забыть о части истории веб-сёрфинга» недоступна.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», кнопка «Забыть о части истории веб-сёрфинга» доступна:

Отключить кнопку «Забыть»

Запретить показывать пароли в сохраненных логинах DisablePasswordReveal Не позволяет просматривать пароли у сохранённых логинов Запретить показывать пароли в сохраненных логинах

Если политика находится в состоянии «Включено», пользователи не могут отображать пароли в сохраненных логинах:

Нельзя отобразить пароль

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут отображать пароли в сохраненных логинах:

Отобразить пароль

Отключить Pocket DisablePocket Отключает сохранение страниц в Pocket Отключить Pocket

Если политика находится в состоянии «Включено», Pocket недоступен.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Pocket доступен:

Сохранить в Pocket

Примечание: Pocket — это специальный сервис для хранения различной информации, найденной в ходе веб-сёрфинга.

Отключить импорт профиля DisableProfileImport Отключает команду меню для импорта данных из другого браузера Отключить импорт профиля

Если политика находится в состоянии «Включено», опция «Импортировать данные из другого браузера…» в окне закладок недоступна.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», опция «Импорт данных из другого браузера…» доступна:

Отключить историю форм

Отключить обновление профиля DisableProfileRefresh Отключает кнопку «Обновить Firefox» на странице about:support Отключить обновление профиля

Если политика находится в состоянии «Включено», кнопка «Очистить Firefox» будет недоступна на странице about:support.

Если эта политика отключена или не сконфигурирована, кнопка «Очистить Firefox» доступна:

Кнопка «Очистить Firefox»

Отключить безопасный режим DisableSafeMode Отключает функцию для перезапуска в безопасном режиме Отключить безопасный режим

Если политика находится в состоянии «Включено», пользователь не может перезапустить браузер в безопасном режиме.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», безопасный режим разрешен:

Отключить безопасный режим

Не проверять браузер по умолчанию DontCheckDefaultBrowser Отключает проверку браузера по умолчанию при запуске Не проверять браузер по умолчанию

Если политика находится в состоянии «Включено», Firefox не проверяет, является ли он браузером по умолчанию при запуске.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», Firefox при запуске проверяет, является ли он браузером по умолчанию.

Аппаратное ускорение HardwareAcceleration Отключает аппаратное ускорение, если установлена в false Аппаратное ускорение

Если политика находится в состоянии «Отключено», аппаратное ускорение не может быть включено:

Аппаратное ускорение включено

Если политика находится в состоянии «Включено» или «Не сконфигурировано», включено аппаратное ускорение:

Аппаратное ускорение включено

Основной (главный) пароль PrimaryPassword Требовать или не давать использовать мастер-пароль Основной (главный) пароль

Если политика находится в состоянии «Отключено», пользователи не могут создать основной пароль.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователи могут создать основной пароль:

Пользователи могут создать мастер-пароль

Прогнозирование сети NetworkPrediction Включает или отключает прогнозирование сети (предварительная выборка DNS) Прогнозирование сети

Предварительная выборка DNS — это технология, используемая Firefox для ускорения загрузки новых веб-сайтов.

Если политика находится в состоянии «Отключено», прогнозирование сети (предварительная выборка DNS) будет отключено:

Прогнозирование сети отключено

Если политика находится в состоянии «Включено» или «Не сконфигурировано», будет включено прогнозирование сети (предварительная выборка DNS):

Прогнозирование сети включено

Новая вкладка NewTabPage Включает или отключает страницу новой вкладки Новая вкладка

Если эта политика находится в состоянии «Отключено», в новой вкладке будет загружена пустая страница:

Новая вкладка

Если эта политика в состоянии «Включено» или «Не сконфигурировано», в новой вкладке будет загружена страница по умолчанию:

Новая вкладка

Подсказки по поиску SearchSuggestEnabled Включает или отключает поисковые предложения Подсказки по поиску

Если эта политика находится в состоянии «Отключено», поисковые подсказки будут отключены:

Поисковые подсказки отключены

Если эта политика в состоянии «Включено», поисковые подсказки будут включены:

Новая вкладка

Если эта политика в состоянии «Не сконфигурировано», поисковые подсказки будут включены, но пользователь может отключить их.

Показывать кнопку «Домашняя страница» на панели инструментов ShowHomeButton Включает кнопку «Домашняя страница Firefox» на панели инструментов Показывать кнопку «Домашняя страница» на панели инструментов

Если политика находится в состоянии «Отключено», кнопка «Домашняя страница» не будет отображаться на панели инструментов:

Кнопка «Домашняя страница» не отображается на панели инструментов

Если политика находится в состоянии «Включено», кнопка «Домашняя страница» отображается на панели инструментов:

Кнопка «Домашняя страница» отображается на панели инструментов

Блокировка менеджера дополнений (about:addons) BlockAboutAddons Блокирует доступ к менеджеру дополнений (about:addons) Блокировка менеджера дополнений (about:addons)

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может получить доступ к менеджеру дополнений (about:addons):

Кнопка «Домашняя страница Firefox» отображается на панели инструментов

Если политика находится в состоянии «Включено», пользователь не может получить доступ к менеджеру дополнений (about:addons):

Кнопка «Домашняя страница Firefox» отображается на панели инструментов

URL для домашней страницы Homepage Устанавливает URL домашней страницы при старте браузера и, если необходимо, блокирует её смену Установка URL домашней страницы

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может установить и изменить домашнюю страницу:

Пользователь может установить и изменить домашнюю страницу

Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию, а также заблокировать возможность изменения домашней страницы.

Пользователь не может установить домашнюю страницу

SPNEGO SPNEGO Включает аутентификацию через SPNEGO/Kerberos Включить аутентификацию через SPNEGO/Kerberos

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», никаким веб-сайтам не разрешается использовать аутентификацию SPNEGO с помощью браузера:

Веб-сайту не разрешается использовать аутентификацию SPNEGO с помощью браузера

Если политика находится в состоянии «Включено», указанным веб-сайтам разрешается использовать аутентификацию SPNEGO в браузере. Записи в списке имеют формат altlinux.org или https://altlinux.org.

Не разрешать изменять настройки аутентификации Authentication Locked Блокирует настройки аутентификации от изменений пользователем Не разрешать изменять настройки аутентификации

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователь не может изменить параметры проверки подлинности:

Пользователь не может изменить настройки аутентификации, заданные ГП

Если политика находится в состоянии «Отключено», пользователь может изменить параметры проверки подлинности.

Разрешить неполное доменное имя (Non FQDN) Authentication AllowNonFQDN Разрешить SPNEGO или NTLM для неполных доменных имен (Non FQDN) Разрешить неполное доменное имя (Non FQDN)

Если политика находится в состоянии «Включено» (и флажки отмечены), SPNEGO или NTLM будут включены для неполных доменных имен (Non FQDN)

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», NTLM и SPNEGO не будут включены для неполных доменных имен.

Расширения для установки Extensions\Install Задаёт список URL-адресов или собственных путей для устанавливаемых расширений Расширения для установки

Если политика находится в состоянии «Включено», можно указать список URL-адресов или путей расширений, которые будут устанавливаться при запуске Firefox.

При каждом изменении этого списка политики будут переустанавливаться.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», расширения не устанавливаются.

Примечание: URL политики необходимо задавать в формате *.xpi (например, https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi). Также можно указать путь на локальный каталог, в который, политикой копирования файлов, скопировать расширение в формате *.xpi.
Управление расширениями ExtensionSettings Управление всеми аспектами расширений Управление расширениями

Политика сопоставляет идентификатор расширения с его конфигурацией. Если указан идентификатор расширения, конфигурация будет применяться только к указанному расширению. Конфигурация по умолчанию может быть установлена для специального идентификатора "*", который будет применяться ко всем расширениям, для которых не задана пользовательская конфигурация в этой политике.

Примечание: Чтобы получить идентификатор расширения, можно установите расширение и посмотреть идентификатор на странице about:support в разделе «Расширения».


Если политика находится в состоянии «Включено», можно использовать JSON для описания политики управления расширениями.

Расширения управляемый политикой

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», расширения не будут управляться.

Пример JSON:

{
	"*": {
		"blocked_install_message": "Custom error message"
	},
	"adblockultimate@adblockultimate.net": {
		"installation_mode": "force_installed",
		"install_url": "file:///home/user/file.xpi"
	},
	"rutokenplugin@rutoken.ru": {
		"installation_mode": "force_installed",
		"install_url": "https://addons.mozilla.org/…/plugin.xpi"
	}
}

Конфигурация для каждого расширения — это еще один словарь, который может содержать следующие поля:

  • installation_mode — режим установки расширения. Допустимые значения:
    • allowed — разрешает установку расширения пользователем (поведение по умолчанию). Поле install_url не используется и будет автоматически определено на основе идентификатора;
    • blocked — блокирует установку расширения и удаляет его, если оно уже установлено;
    • force_installed — расширение устанавливается автоматически и не может быть удалено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url;
    • normal_Installed — расширение устанавливается автоматически, но может быть отключено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url.
  • install_url — сопоставляется с URL-адресом, указывающим, откуда Firefox может загрузить расширение (при force_installed или normal_installed). При установке из локальной файловой системы используйте URL-адрес file:///. При установке с сайта addons.mozilla.org можно использовать URL-адрес в виде https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi;
  • install_sources — список источников, из которых разрешена установка расширений с использованием шаблонов соответствия URL. Этот параметр не нужен, если разрешена установка только определенных расширений по идентификатору. Данный параметр можно использовать только для конфигурации по умолчанию;
  • allowed_types — белый список разрешённых типов расширений/приложений, которые можно установить в Firefox. Значение представляет собой список строк (допустимые строки: «extension», «theme», «dictionary», «locale»). Этот параметр можно использовать только для конфигурации по умолчанию;
  • blocked_install_message — сообщение об ошибке, которое будет отображаться для пользователей, если им заблокирована установка расширения. Этот параметр можно использовать только для конфигурации по умолчанию;
  • restricted_domains — массив доменов, на которых нельзя запускать сценарии контента. Этот параметр можно использовать только для конфигурации по умолчанию;
  • updates_disabled — логическое значение, указывающее, следует ли отключать автоматические обновления для отдельного расширения;
  • default_area — указывает, где должен быть размещен значок расширения. Возможные значения: «navbar» и «menupanel».

Файлы настроек политики

Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.

Пример Registry.pol:

PReg[Software\Policies\Mozilla\Firefox\Homepage;URL;;;https://basealt.ru]
[Software\Policies\Mozilla\Firefox\Homepage;Locked;;;]

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. Запустить GPUI:

  • из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
    ADMC. Контекстном меню объекта групповой политики
  • или с указанием каталога групповой политики:
    $ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
    
    где dc1.test.alt – имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Mozilla» -> «Firefox»:

GPUI. Политики настройки веб-браузера Firefox

Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:

GPUI. Диалоговое окно настройки политики

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2.. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Mozilla» -> «Firefox»:

RSAT. Политики настройки веб-браузера Firefox

Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры:

RSAT. Настройки политики «Домашняя страница Firefox»