Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini...
30
Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft .com
-
Upload
filippo-bruno -
Category
Documents
-
view
223 -
download
3
Transcript of Internet Explorer 8.0: Gestione centralizzata tramite Group Policy Renato Francesco Giorgini...
Internet Explorer 8.0:Gestione centralizzata tramite Group
Policy
Renato Francesco Giorgini Evangelist IT Pro
AgendaActive Directory e Group PolicyPrincipali Group Policy Settings per Internet Explorer 8.0Group Policy Preferences per Internet Explorer 8.0
Per quali piattaforme è disponibile IE 8?Sistemi Operativi Client:
Windows XP (SP2, SP3)Windows Vista (SP1, SP2)Windows 7
Sistemi Operativi Server:Windows Server 2003 (SP2)Windows Server 2008 (SP1, SP2)Windows Server 2008 R2
E’ necessario mettere in sicurezza il browser in Azienda?
E’ sufficiente il firewall/proxy aziendale?Cosa avviene se i siti autorizzati nel firewall/proxy vengono compromessi?I computer possono essere connessi ad altre reti?Che privilegi hanno gli utenti nei loro computer?
Active Directory e Group Policy
Active Directory e Group PolicyLe Group Policy mi permettono di fare l’enforcment di regole e configurazioni di sicurezza
Sui client aziendaliSui server aziendaliSugli account utente
Una policy, una volta configurata, si applicaAll’interno Dominio ADAl Site sceltoAlla Organizational Unit SceltaAllo specifico gruppo di Utenti e/o di Computer
Una volta applicata, la policy è valida anche quando i computer non sono connessi alla rete aziendale
Group Policy chain & inheritanceData una struttura AD l’ordine di applicazione delle Group Policy è il seguente:
1. Policy configurate localmente nel computer (gpedit.msc)
2. Policy del Sito AD3. Policy del Domino AD4. Policy della Organizational Unit di livello più alto5. (Policy delle Organizational Units di livello intermedio)6. Policy della Organizational Unit che contiene gli
account (Computer e User)
Le GPO applicate per ultime prevalgono, ma vanno considerate:
Eventuali policy “enforced” (ex “no-override”);Eventuali impostazioni di “block inheritance”Eventuali filtri WMI impostatiEventuali filtri su Utenti, Computer, Gruppi
Group Policy Settings: Computer e UserOgni Group Policy ha due gruppi di
impostazioni:ComputerUser
I settings applicati al ComputerSono validi per qualsiasi utente che utilizzerà quel computer a cui è applicata la policy
I settings applicati all’UtenteVerranno applicati su ogni computer su cui farà logon l’utente a cui la policy si applica
Principali Group Policy Settings per Internet Explorer 8.0
I Group Policy Settings per Internet Explorer
1300 Settings complessivi100 Nuovi Settings dedicati ad Internet Explorer 8.0
http://technet.microsoft.com/en-us/library/cc985351.aspx
Internet Explorer Zones – 1Zone Standard:
Intranet Internet Trusted SitesRestricted SitesLocal Machine
Come configuro il mapping dei siti con le zone?Internet Control Panel > Security Page
Site to Zone Assignment ListTurn on automatic detection of the IntranetIntranet Sites: Include all network paths (UNCs)Intranet Sites: Include all Sites that bypass the proxy server
Internet Explorer Zones – Analisi URL
<protocol>://<IP,FQDN,…>
http://www.microsoft.comhttp://myintranethttps://myintranet
mailto:[email protected]:192.168.103.77+type=i
p ftp://myftp
URL
Network Protocol LockdownConsente di limitare le funzionalità accessibili da alcuni protocolli di rete
local://file://shell://hcp:// ftp:// callto://ldap://…
Le applicazioni installate possono estendere la lista dei protocolli attivi su ciascuna macchina
Internet Explorer Zones – 2Per limitare le funzionalità di questi protocolli si utilizzano le Zone del Network Protocol Lockdown:
Locked-Down IntranetLocked-Down InternetLocked-Down Trusted SitesLocked-Down Restricted SitesLocked-Down Local Machine
Mapping Network Protocol Lockdown
Viene valutata la Zona a cui appartiene il Sito/IP/Indirizzo
Internet Control Panel > Security Page > Site to Zone Assignment List
Per quella Zona, viene analizzata la lista dei protocolli “Locked Down”
Internet Control Panel > Security Features > Network Protocol Lockdown > Restricted Protocols per Security Zone
Viene applicata la policy corrispondenteInternet Control Panel > Security Page > Zone Locked-Down
<protocol>://<IP,FQDN,…>
URL
GPO Setting Principali - ComputerGPO > Computer Configuration > Administrative Templates > Windows Components > Internet Explorer
Accellerators – disabled, enabled, add customCompatibility View – choose default rendering modeDelete browsing History – block deleting IE historyInternet Control Panel – locks down IE configurationInternet Control Panel > Security Page – detailed configuration of Zones (Internet, Intranet, Trusted Sites…) and Websites
GPO Setting Principali - ComputerSecurity Features > Add-On Management – Manage Add-ons and its configurationSecurity Features > Consistent Mime HandlingSecurity Features > Mime Sniffing Safety FeatureSecurity Features > Local Machine Zone Lockdown Sec.Security Features > Restrict ActiveX InstallSecurity Features > Restrict File Download (non user initiated)
GPO Setting Principali - UtenteGPO > User Configuration > Windows Settings > Internet Explorer Maintenance
Connection > Proxy SettingsConnection > User Agent StringURLs > Favorites and Links: add custom favorites
GPO Setting Principali - UtenteGPO > User Configuration > Administrative Templates > Windows Components > Internet Explorer
Accellerators – disabled, enabled, add customAdministrator Approved Controls – enable ActiveXCompatibility View – choose default rendering modeDelete browsing History – block deleting IE historyInternet Control Panel – locks down IE configurationInternet Control Panel > Security Page – detailed configuration of Zones (Internet, Intranet, Trusted Sites…) and Websites
GPO Setting Principali - UtenteSecurity Features > Add-On Management – Manage Add-ons and its configurationSecurity Features > Consistent Mime HandlingSecurity Features > Mime Sniffing Safety FeatureSecurity Features > Local Machine Zone Lockdown Sec.Security Features > Restrict ActiveX InstallSecurity Features > Restrict File Download (non user initiated)
Group Policy Preferencesper Internet Explorer 8.0
Cosa sono le Group Policy Preferences?Sono delle impostazioni, configurabili nei
computer degli utenti, di cui però non viene fatto l’enforcment
Possono essere applicate una sola vota, senza refresh
Sono utilizzabili ad esempio per sostituire gli script di logon nel mappare unità di rete o nel configurare la baseline del sistema operativo
Possono essere utilizzate per la configurazione base di Internet Explorer
GP Preferences - Group Policy Settings
Group Policy Preferences
Group Policy Settings
Enforcement•Preferences are not enforced.•User interface is not disabled.•Can be refreshed or applied once.
•Settings are enforced.•User interface is disabled.•Settings are refreshed.
Flexibility
•Easily create preference items for registry settings and files.• Import individual registry settings or entire registry branches.
•Adding requires application support and creating administrative templates.•Cannot create policy settings to manage files or folders.
Local Policy •Not available in local Group Policy. •Available in local Group Policy.
Awareness •Supports non-Group Policy–aware applications.
•Requires Group Policy–aware applications.
Storage
•Original settings are overwritten.•Removing the preference item does not restore the original setting.
•Original settings are not changed.•Stored in registry policy branches.•Removing setting restores original settings.
Targeting and Filtering
•Targeting is granular, with a user interface for each type of targeting item.•Supports targeting at the individual preference item level.
•Filtering is based on Windows Management Instrumentation (WMI) and requires writing WMI queries.•Supports filtering at a GPO level.
User Interface•Provides a familiar, easy-to-use interface for configuring most settings.
•Provides an alternative user interface for most policy settings.
In conclusioneIn ambito aziendale è possibile mettere in sicurezza in modo centralizzato la configurazione del browser e la navigazione in Internet
Le Group Policy consentono di configurare le impostazioni del browser e dei controlli aggiuntivi per gli utenti e i computer aziendali
L’enforcment delle policy avviene in qualsiasi momento, garantendo la sicurezza degli utenti dentro e fuori la rete aziendale
© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
http://blogs.technet.com/italy
