Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini Evangelist IT Pro [email protected] Agenda Active Directory e Group Policy Principali Group Policy Settings per Internet Explorer 8.0 Group Policy Preferences per Internet Explorer 8.0 [email protected] Per quali piattaforme è disponibile IE 8? Sistemi Operativi Client: Windows XP (SP2, SP3) Windows Vista (SP1, SP2) Windows 7 Sistemi Operativi Server: Windows Server 2003 (SP2) Windows Server 2008 (SP1, SP2) Windows Server 2008 R2 [email protected] E’ necessario mettere in sicurezza il browser in Azienda? E’ sufficiente il firewall/proxy aziendale? Cosa avviene se i siti autorizzati nel firewall/proxy vengono compromessi? I computer possono essere connessi ad altre reti? Che privilegi hanno gli utenti nei loro computer? [email protected] Active Directory e Group Policy Active Directory e Group Policy Le Group Policy mi permettono di fare l’enforcment di regole e configurazioni di sicurezza Sui client aziendali Sui server aziendali Sugli account utente Una policy, una volta configurata, si applica All’interno Dominio AD Al Site scelto Alla Organizational Unit Scelta Allo specifico gruppo di Utenti e/o di Computer Una volta applicata, la policy è valida anche quando i computer non sono connessi alla rete aziendale [email protected] Group Policy chain & inheritance Data una struttura AD l’ordine di applicazione delle Group Policy è il seguente: 1. 2. 3. 4. 5. 6. Policy configurate localmente nel computer (gpedit.msc) Policy del Sito AD Policy del Domino AD Policy della Organizational Unit di livello più alto (Policy delle Organizational Units di livello intermedio) Policy della Organizational Unit che contiene gli account (Computer e User) Le GPO applicate per ultime prevalgono, ma vanno considerate: Eventuali policy “enforced” (ex “no-override”); Eventuali impostazioni di “block inheritance” Eventuali filtri WMI impostati Eventuali filtri su Utenti, Computer, Gruppi [email protected] Group Policy Settings: Computer e User Ogni Group Policy ha due gruppi di impostazioni: Computer User I settings applicati al Computer Sono validi per qualsiasi utente che utilizzerà quel computer a cui è applicata la policy I settings applicati all’Utente Verranno applicati su ogni computer su cui farà logon l’utente a cui la policy si applica [email protected] Principali Group Policy Settings per Internet Explorer 8.0 I Group Policy Settings per Internet Explorer 1300 Settings complessivi 100 Nuovi Settings dedicati ad Internet Explorer 8.0 http://technet.microsoft.com/en-us/library/cc985351.aspx [email protected] Internet Explorer Zones – 1 Zone Standard: Intranet Internet Trusted Sites Restricted Sites Local Machine Come configuro il mapping dei siti con le zone? Internet Control Panel > Security Page Site to Zone Assignment List Turn on automatic detection of the Intranet Intranet Sites: Include all network paths (UNCs) Intranet Sites: Include all Sites that bypass the proxy server [email protected] Internet Explorer Zones – Analisi URL <protocol>://<IP,FQDN,…> URL http://www.microsoft.com http://myintranet https://myintranet mailto:[email protected] callto:192.168.103.77+type=ip ftp://myftp [email protected] { Group Policy: Sites and Zones } [email protected] Network Protocol Lockdown Consente di limitare le funzionalità accessibili da alcuni protocolli di rete local:// file:// shell:// hcp:// ftp:// callto:// ldap:// … Le applicazioni installate possono estendere la lista dei protocolli attivi su ciascuna macchina [email protected] Internet Explorer Zones – 2 Per limitare le funzionalità di questi protocolli si utilizzano le Zone del Network Protocol Lockdown: Locked-Down Intranet Locked-Down Internet Locked-Down Trusted Sites Locked-Down Restricted Sites Locked-Down Local Machine [email protected] Mapping Network Protocol Lockdown <protocol>://<IP,FQDN,…> URL Viene valutata la Zona a cui appartiene il Sito/IP/Indirizzo Internet Control Panel > Security Page > Site to Zone Assignment List Per quella Zona, viene analizzata la lista dei protocolli “Locked Down” Internet Control Panel > Security Features > Network Protocol Lockdown > Restricted Protocols per Security Zone Viene applicata la policy corrispondente Internet Control Panel > Security Page > Zone Locked-Down [email protected] { Network Protocol Lockdown } [email protected] GPO Setting Principali - Computer GPO > Computer Configuration > Administrative Templates > Windows Components > Internet Explorer Accellerators – disabled, enabled, add custom Compatibility View – choose default rendering mode Delete browsing History – block deleting IE history Internet Control Panel – locks down IE configuration Internet Control Panel > Security Page – detailed configuration of Zones (Internet, Intranet, Trusted Sites…) and Websites [email protected] GPO Setting Principali - Computer Security Features > Add-On Management – Manage Add-ons and its configuration Security Features > Consistent Mime Handling Security Features > Mime Sniffing Safety Feature Security Features > Local Machine Zone Lockdown Sec. Security Features > Restrict ActiveX Install Security Features > Restrict File Download (non user initiated) [email protected] { Group Policy: Computer } [email protected] GPO Setting Principali - Utente GPO > User Configuration > Windows Settings > Internet Explorer Maintenance Connection > Proxy Settings Connection > User Agent String URLs > Favorites and Links: add custom favorites [email protected] GPO Setting Principali - Utente GPO > User Configuration > Administrative Templates > Windows Components > Internet Explorer Accellerators – disabled, enabled, add custom Administrator Approved Controls – enable ActiveX Compatibility View – choose default rendering mode Delete browsing History – block deleting IE history Internet Control Panel – locks down IE configuration Internet Control Panel > Security Page – detailed configuration of Zones (Internet, Intranet, Trusted Sites…) and Websites [email protected] GPO Setting Principali - Utente Security Features > Add-On Management – Manage Add-ons and its configuration Security Features > Consistent Mime Handling Security Features > Mime Sniffing Safety Feature Security Features > Local Machine Zone Lockdown Sec. Security Features > Restrict ActiveX Install Security Features > Restrict File Download (non user initiated) [email protected] { Group Policy: User } [email protected] Group Policy Preferences per Internet Explorer 8.0 Cosa sono le Group Policy Preferences? Sono delle impostazioni, configurabili nei computer degli utenti, di cui però non viene fatto l’enforcment Possono essere applicate una sola vota, senza refresh Sono utilizzabili ad esempio per sostituire gli script di logon nel mappare unità di rete o nel configurare la baseline del sistema operativo Possono essere utilizzate per la configurazione base di Internet Explorer [email protected] GP Preferences - Group Policy Settings Group Policy Preferences Group Policy Settings Enforcement • Preferences are not enforced. • User interface is not disabled. • Can be refreshed or applied once. • Settings are enforced. • User interface is disabled. • Settings are refreshed. Flexibility • Easily create preference items for registry settings and files. • Import individual registry settings or entire registry branches. • Adding requires application support and creating administrative templates. • Cannot create policy settings to manage files or folders. Local Policy • Not available in local Group Policy. • Available in local Group Policy. Awareness • Supports non-Group Policy–aware applications. • Requires Group Policy–aware applications. Storage • Original settings are overwritten. • Removing the preference item does not restore the original setting. • Original settings are not changed. • Stored in registry policy branches. • Removing setting restores original settings. Targeting and Filtering • Targeting is granular, with a user interface for each type of targeting item. • Supports targeting at the individual preference item level. • Filtering is based on Windows Management Instrumentation (WMI) and requires writing WMI queries. • Supports filtering at a GPO level. User Interface • Provides a familiar, easy-to-use interface for configuring most settings. • Provides an alternative user interface for most policy settings. [email protected] { Group Policy Preferences } [email protected] In conclusione In ambito aziendale è possibile mettere in sicurezza in modo centralizzato la configurazione del browser e la navigazione in Internet Le Group Policy consentono di configurare le impostazioni del browser e dei controlli aggiuntivi per gli utenti e i computer aziendali L’enforcment delle policy avviene in qualsiasi momento, garantendo la sicurezza degli utenti dentro e fuori la rete aziendale [email protected] [email protected] http://blogs.technet.com/italy © 2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.