Internet Explorer 8.0:
Gestione centralizzata tramite Group Policy
Renato Francesco Giorgini
Evangelist IT Pro
[email protected]
Agenda
Active Directory e Group Policy
Principali Group Policy Settings per Internet Explorer 8.0
Group Policy Preferences per Internet Explorer 8.0
[email protected]
Per quali piattaforme è disponibile IE 8?
Sistemi Operativi Client:
Windows XP (SP2, SP3)
Windows Vista (SP1, SP2)
Windows 7
Sistemi Operativi Server:
Windows Server 2003 (SP2)
Windows Server 2008 (SP1, SP2)
Windows Server 2008 R2
[email protected]
E’ necessario mettere in sicurezza il
browser in Azienda?
E’ sufficiente il firewall/proxy aziendale?
Cosa avviene se i siti autorizzati nel firewall/proxy
vengono compromessi?
I computer possono essere connessi ad altre reti?
Che privilegi hanno gli utenti nei loro computer?
[email protected]
Active Directory e Group Policy
Active Directory e Group Policy
Le Group Policy mi permettono di fare l’enforcment di
regole e configurazioni di sicurezza
Sui client aziendali
Sui server aziendali
Sugli account utente
Una policy, una volta configurata, si applica
All’interno Dominio AD
Al Site scelto
Alla Organizational Unit Scelta
Allo specifico gruppo di Utenti e/o di Computer
Una volta applicata, la policy è valida anche quando i
computer non sono connessi alla rete aziendale
[email protected]
Group Policy chain & inheritance
Data una struttura AD l’ordine di applicazione delle
Group Policy è il seguente:
1.
2.
3.
4.
5.
6.
Policy configurate localmente nel computer (gpedit.msc)
Policy del Sito AD
Policy del Domino AD
Policy della Organizational Unit di livello più alto
(Policy delle Organizational Units di livello intermedio)
Policy della Organizational Unit che contiene gli account
(Computer e User)
Le GPO applicate per ultime prevalgono, ma vanno
considerate:
Eventuali policy “enforced” (ex “no-override”);
Eventuali impostazioni di “block inheritance”
Eventuali filtri WMI impostati
Eventuali filtri su Utenti, Computer, Gruppi
[email protected]
Group Policy Settings: Computer e User
Ogni Group Policy ha due gruppi di impostazioni:
Computer
User
I settings applicati al Computer
Sono validi per qualsiasi utente che utilizzerà quel
computer a cui è applicata la policy
I settings applicati all’Utente
Verranno applicati su ogni computer su cui farà logon
l’utente a cui la policy si applica
[email protected]
Principali Group Policy Settings
per Internet Explorer 8.0
I Group Policy Settings
per Internet Explorer
1300 Settings complessivi
100 Nuovi Settings dedicati ad Internet Explorer 8.0
http://technet.microsoft.com/en-us/library/cc985351.aspx
[email protected]
Internet Explorer Zones – 1
Zone Standard:
Intranet
Internet
Trusted Sites
Restricted Sites
Local Machine
Come configuro il mapping dei siti con le zone?
Internet Control Panel > Security Page
Site to Zone Assignment List
Turn on automatic detection of the Intranet
Intranet Sites: Include all network paths (UNCs)
Intranet Sites: Include all Sites that bypass the proxy server
[email protected]
Internet Explorer Zones – Analisi URL
<protocol>://<IP,FQDN,…>
URL
http://www.microsoft.com
http://myintranet
https://myintranet
mailto:[email protected]
callto:192.168.103.77+type=ip
ftp://myftp
[email protected]
{
Group Policy: Sites and Zones
}
[email protected]
Network Protocol Lockdown
Consente di limitare le funzionalità accessibili da alcuni
protocolli di rete
local://
file://
shell://
hcp://
ftp://
callto://
ldap://
…
Le applicazioni installate possono estendere la lista dei
protocolli attivi su ciascuna macchina
[email protected]
Internet Explorer Zones – 2
Per limitare le funzionalità di questi protocolli si
utilizzano le Zone del Network Protocol Lockdown:
Locked-Down Intranet
Locked-Down Internet
Locked-Down Trusted Sites
Locked-Down Restricted Sites
Locked-Down Local Machine
[email protected]
Mapping Network Protocol Lockdown
<protocol>://<IP,FQDN,…>
URL
Viene valutata la Zona a cui appartiene il
Sito/IP/Indirizzo
Internet Control Panel > Security Page > Site to Zone
Assignment List
Per quella Zona, viene analizzata la lista dei protocolli
“Locked Down”
Internet Control Panel > Security Features > Network Protocol
Lockdown > Restricted Protocols per Security Zone
Viene applicata la policy corrispondente
Internet Control Panel > Security Page > Zone Locked-Down
[email protected]
{
Network Protocol Lockdown
}
[email protected]
GPO Setting Principali - Computer
GPO > Computer Configuration > Administrative
Templates > Windows Components > Internet Explorer
Accellerators – disabled, enabled, add custom
Compatibility View – choose default rendering mode
Delete browsing History – block deleting IE history
Internet Control Panel – locks down IE configuration
Internet Control Panel > Security Page – detailed
configuration of Zones (Internet, Intranet, Trusted
Sites…) and Websites
[email protected]
GPO Setting Principali - Computer
Security Features > Add-On Management – Manage
Add-ons and its configuration
Security Features > Consistent Mime Handling
Security Features > Mime Sniffing Safety Feature
Security Features > Local Machine Zone Lockdown Sec.
Security Features > Restrict ActiveX Install
Security Features > Restrict File Download (non user
initiated)
[email protected]
{
Group Policy: Computer
}
[email protected]
GPO Setting Principali - Utente
GPO > User Configuration > Windows Settings >
Internet Explorer Maintenance
Connection > Proxy Settings
Connection > User Agent String
URLs > Favorites and Links: add custom favorites
[email protected]
GPO Setting Principali - Utente
GPO > User Configuration > Administrative Templates >
Windows Components > Internet Explorer
Accellerators – disabled, enabled, add custom
Administrator Approved Controls – enable ActiveX
Compatibility View – choose default rendering mode
Delete browsing History – block deleting IE history
Internet Control Panel – locks down IE configuration
Internet Control Panel > Security Page – detailed
configuration of Zones (Internet, Intranet, Trusted
Sites…) and Websites
[email protected]
GPO Setting Principali - Utente
Security Features > Add-On Management – Manage
Add-ons and its configuration
Security Features > Consistent Mime Handling
Security Features > Mime Sniffing Safety Feature
Security Features > Local Machine Zone Lockdown Sec.
Security Features > Restrict ActiveX Install
Security Features > Restrict File Download (non user
initiated)
[email protected]
{
Group Policy: User
}
[email protected]
Group Policy Preferences
per Internet Explorer 8.0
Cosa sono le Group Policy Preferences?
Sono delle impostazioni, configurabili nei computer
degli utenti, di cui però non viene fatto l’enforcment
Possono essere applicate una sola vota, senza refresh
Sono utilizzabili ad esempio per sostituire gli script di
logon nel mappare unità di rete o nel configurare la
baseline del sistema operativo
Possono essere utilizzate per la configurazione base di
Internet Explorer
[email protected]
GP Preferences - Group Policy Settings
Group Policy Preferences
Group Policy Settings
Enforcement
• Preferences are not enforced.
• User interface is not disabled.
• Can be refreshed or applied once.
• Settings are enforced.
• User interface is disabled.
• Settings are refreshed.
Flexibility
• Easily create preference items for
registry settings and files.
• Import individual registry settings or
entire registry branches.
• Adding requires application support and
creating administrative templates.
• Cannot create policy settings to manage
files or folders.
Local Policy
• Not available in local Group Policy.
• Available in local Group Policy.
Awareness
• Supports non-Group Policy–aware
applications.
• Requires Group Policy–aware applications.
Storage
• Original settings are overwritten.
• Removing the preference item does not
restore the original setting.
• Original settings are not changed.
• Stored in registry policy branches.
• Removing setting restores original settings.
Targeting and
Filtering
• Targeting is granular, with a user
interface for each type of targeting
item.
• Supports targeting at the individual
preference item level.
• Filtering is based on Windows Management
Instrumentation (WMI) and requires writing
WMI queries.
• Supports filtering at a GPO level.
User Interface
• Provides a familiar, easy-to-use
interface for configuring most settings.
• Provides an alternative user interface for
most policy settings.
[email protected]
{
Group Policy Preferences
}
[email protected]
In conclusione
In ambito aziendale è possibile mettere in sicurezza in
modo centralizzato la configurazione del browser e la
navigazione in Internet
Le Group Policy consentono di configurare le
impostazioni del browser e dei controlli aggiuntivi per gli
utenti e i computer aziendali
L’enforcment delle policy avviene in qualsiasi momento,
garantendo la sicurezza degli utenti dentro e fuori la rete
aziendale
[email protected]
[email protected]
http://blogs.technet.com/italy
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
Scarica

Demo - Microsoft