Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini...

download Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini Evangelist IT Pro  @microsoft.com

of 31

  • date post

    02-May-2015
  • Category

    Documents

  • view

    216
  • download

    3

Embed Size (px)

Transcript of Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini...

  • Slide 1
  • Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com
  • Slide 2
  • Agenda Active Directory e Group Policy Principali Group Policy Settings per Internet Explorer 8.0 Group Policy Preferences per Internet Explorer 8.0
  • Slide 3
  • RenatoFrancesco.Giorgini@microsoft.com Per quali piattaforme disponibile IE 8? Sistemi Operativi Client: Windows XP (SP2, SP3) Windows Vista (SP1, SP2) Windows 7 Sistemi Operativi Server: Windows Server 2003 (SP2) Windows Server 2008 (SP1, SP2) Windows Server 2008 R2
  • Slide 4
  • RenatoFrancesco.Giorgini@microsoft.com E necessario mettere in sicurezza il browser in Azienda? E sufficiente il firewall/proxy aziendale? Cosa avviene se i siti autorizzati nel firewall/proxy vengono compromessi? I computer possono essere connessi ad altre reti? Che privilegi hanno gli utenti nei loro computer?
  • Slide 5
  • Active Directory e Group Policy
  • Slide 6
  • RenatoFrancesco.Giorgini@microsoft.com Active Directory e Group Policy Le Group Policy mi permettono di fare lenforcment di regole e configurazioni di sicurezza Sui client aziendali Sui server aziendali Sugli account utente Una policy, una volta configurata, si applica Allinterno Dominio AD Al Site scelto Alla Organizational Unit Scelta Allo specifico gruppo di Utenti e/o di Computer Una volta applicata, la policy valida anche quando i computer non sono connessi alla rete aziendale
  • Slide 7
  • RenatoFrancesco.Giorgini@microsoft.com Group Policy chain & inheritance Data una struttura AD lordine di applicazione delle Group Policy il seguente: 1. Policy configurate localmente nel computer (gpedit.msc) 2. Policy del Sito AD 3. Policy del Domino AD 4. Policy della Organizational Unit di livello pi alto 5. (Policy delle Organizational Units di livello intermedio) 6. Policy della Organizational Unit che contiene gli account (Computer e User) Le GPO applicate per ultime prevalgono, ma vanno considerate: Eventuali policy enforced (ex no-override); Eventuali impostazioni di block inheritance Eventuali filtri WMI impostati Eventuali filtri su Utenti, Computer, Gruppi
  • Slide 8
  • RenatoFrancesco.Giorgini@microsoft.com Group Policy Settings: Computer e User Ogni Group Policy ha due gruppi di impostazioni: Computer User I settings applicati al Computer Sono validi per qualsiasi utente che utilizzer quel computer a cui applicata la policy I settings applicati allUtente Verranno applicati su ogni computer su cui far logon lutente a cui la policy si applica
  • Slide 9
  • Principali Group Policy Settings per Internet Explorer 8.0
  • Slide 10
  • RenatoFrancesco.Giorgini@microsoft.com I Group Policy Settings per Internet Explorer 1300 Settings complessivi 100 Nuovi Settings dedicati ad Internet Explorer 8.0 http://technet.microsoft.com/en-us/library/cc985351.aspx
  • Slide 11
  • RenatoFrancesco.Giorgini@microsoft.com Internet Explorer Zones 1 Zone Standard: Intranet Internet Trusted Sites Restricted Sites Local Machine Come configuro il mapping dei siti con le zone? Internet Control Panel > Security Page Site to Zone Assignment List Turn on automatic detection of the Intranet Intranet Sites: Include all network paths (UNCs) Intranet Sites: Include all Sites that bypass the proxy server
  • Slide 12
  • RenatoFrancesco.Giorgini@microsoft.com Internet Explorer Zones Analisi URL :// http://www.microsoft.com http://myintranet https://myintranet mailto:renato@contoso.com callto:192.168.103.77+type=ip ftp://myftp http://www.microsoft.com http://myintranet https://myintranet mailto:renato@contoso.com callto:192.168.103.77+type=ip ftp://myftp URL
  • Slide 13
  • RenatoFrancesco.Giorgini@microsoft.com { Group Policy: Sites and Zones }
  • Slide 14
  • RenatoFrancesco.Giorgini@microsoft.com Network Protocol Lockdown Consente di limitare le funzionalit accessibili da alcuni protocolli di rete local:// file:// shell:// hcp:// ftp:// callto:// ldap:// Le applicazioni installate possono estendere la lista dei protocolli attivi su ciascuna macchina
  • Slide 15
  • RenatoFrancesco.Giorgini@microsoft.com Internet Explorer Zones 2 Per limitare le funzionalit di questi protocolli si utilizzano le Zone del Network Protocol Lockdown: Locked-Down Intranet Locked-Down Internet Locked-Down Trusted Sites Locked-Down Restricted Sites Locked-Down Local Machine
  • Slide 16
  • RenatoFrancesco.Giorgini@microsoft.com Mapping Network Protocol Lockdown Viene valutata la Zona a cui appartiene il Sito/IP/Indirizzo Internet Control Panel > Security Page > Site to Zone Assignment List Per quella Zona, viene analizzata la lista dei protocolli Locked Down Internet Control Panel > Security Features > Network Protocol Lockdown > Restricted Protocols per Security Zone Viene applicata la policy corrispondente Internet Control Panel > Security Page > Zone Locked-Down :// URL
  • Slide 17
  • RenatoFrancesco.Giorgini@microsoft.com { Network Protocol Lockdown }
  • Slide 18
  • RenatoFrancesco.Giorgini@microsoft.com Informazioni di approfondimento Per approfondire il Network Protocol Lockdown: http://blogs.technet.com/fdcc/archive/2008/09/19/fdcc-and- internet-explorer-7-part-1-security-zones.aspx http://technet.microsoft.com/en-us/library/cc737488.aspx http://technet.microsoft.com/en-us/library/bb457150.aspx http://technet.microsoft.com/en-us/library/cc749149.aspx http://technet.microsoft.com/en-us/library/cc782928.aspx http://support.microsoft.com/kb/182569 http://blogs.technet.com/steriley/archive/2008/09/16/internet- explorer-security-levels-compared.aspx
  • Slide 19
  • RenatoFrancesco.Giorgini@microsoft.com GPO Setting Principali - Computer GPO > Computer Configuration > Administrative Templates > Windows Components > Internet Explorer Accellerators disabled, enabled, add custom Compatibility View choose default rendering mode Delete browsing History block deleting IE history Internet Control Panel locks down IE configuration Internet Control Panel > Security Page detailed configuration of Zones (Internet, Intranet, Trusted Sites) and Websites
  • Slide 20
  • RenatoFrancesco.Giorgini@microsoft.com GPO Setting Principali - Computer Security Features > Add-On Management Manage Add-ons and its configuration Security Features > Consistent Mime Handling Security Features > Mime Sniffing Safety Feature Security Features > Local Machine Zone Lockdown Sec. Security Features > Restrict ActiveX Install Security Features > Restrict File Download (non user initiated)
  • Slide 21
  • RenatoFrancesco.Giorgini@microsoft.com { Group Policy: Computer }
  • Slide 22
  • RenatoFrancesco.Giorgini@microsoft.com GPO Setting Principali - Utente GPO > User Configuration > Windows Settings > Internet Explorer Maintenance Connection > Proxy Settings Connection > User Agent String URLs > Favorites and Links: add custom favorites
  • Slide 23
  • RenatoFrancesco.Giorgini@microsoft.com GPO Setting Principali - Utente GPO > User Configuration > Administrative Templates > Windows Components > Internet Explorer Accellerators disabled, enabled, add custom Administrator Approved Controls enable ActiveX Compatibility View choose default rendering mode Delete browsing History block deleting IE history Internet Control Panel locks down IE configuration Internet Control Panel > Security Page detailed configuration of Zones (Internet, Intranet, Trusted Sites) and Websites
  • Slide 24
  • RenatoFrancesco.Giorgini@microsoft.com GPO Setting Principali - Utente Security Features > Add-On Management Manage Add-ons and its configuration Security Features > Consistent Mime Handling Security Features > Mime Sniffing Safety Feature Security Features > Local Machine Zone Lockdown Sec. Security Features > Restrict ActiveX Install Security Features > Restrict File Download (non user initiated)
  • Slide 25
  • RenatoFrancesco.Giorgini@microsoft.com { Group Policy: User }
  • Slide 26
  • Group Policy Preferences per Internet Explorer 8.0
  • Slide 27
  • RenatoFrancesco.Giorgini@microsoft.com Cosa sono le Group Policy Preferences? Sono delle impostazioni, configurabili nei computer degli utenti, di cui per non viene fatto lenforcment Possono essere applicate una sola vota, senza refresh Sono utilizzabili ad esempio per sostituire gli script di logon nel mappare unit di rete o nel configurare la baseline del sistema operativo Possono essere utilizzate per la configurazione base di Internet Explorer
  • Slide 28
  • RenatoFrancesco.Giorgini@microsoft.com GP Preferences - Group Policy Settings Group Policy PreferencesGroup Policy Settings Enforcement Preferences are not enforced. User interface is not disabled. Can be refreshed or applied once. Settings are enforced. User interface is disabled. Settings are refreshed. Flexibility Easily create preference items for registry settings and files. Import individual registry settings or entire registry branches. Adding requires application support and creating administrative templates. Cannot create policy settings to manage files or folders. Local Policy Not available in local Group Policy. Availa