Dans ce guide, je vais vous montrer comment créer une stratégie de groupe (GPO) pour le navigateur Firefox dans Active Directory. Cela vous permettra de définir des politiques de navigation d'entreprise pour tous les utilisateurs du navigateur Firefox Enterprise, comme l'autorisation, le blocage ou la mise en liste blanche de certaines extensions.
Si vous avez configuré Chrome Enterprise ou Edge Enterprise dans un environnement d'entreprise, la procédure est assez similaire. Téléchargez les fichiers ADMX et ADML, ajoutez-les au dossier PolicyDefinitions de votre contrôleur de domaine, créez une GPO et appliquez-la à un ordinateur cible.
Cependant, la configuration de la possibilité de bloquer toutes les extensions (à l'exception des extensions approuvées) est beaucoup plus difficile. Vous ne pouvez pas simplement coller l'ID de l'extension dans les paramètres comme vous pouvez le faire avec Chrome/Edge ; vous devez coller un code json parfaitement formaté dans les paramètres de la politique.
Je n'ai pas pu trouver de guide pas à pas ou de guide sur la façon de procéder correctement, alors j'ai décidé d'en écrire un moi-même au fur et à mesure de la mise en place.
J'espère que cela vous aidera, et allons-y !
Configuration de votre environnement de test
Avant de commencer, vous devez d'abord créer une OU spécifique dans l'AD pour tester ces nouvelles politiques. Sinon, vous risquez d'appliquer des changements non désirés aux navigateurs de vos collaborateurs existants.
- Connectez-vous à votre contrôleur de domaine.
- Ouvrez "Active Directory Users and Computers"
- Faites un clic droit sur un dossier existant > "New Organization Unit" et donnez-lui un nom.
Vous devrez ensuite déplacer votre ordinateur (ou un ordinateur de test) dans cet OU. Ainsi, lorsque vous créerez la GPO "Paramètres de Firefox", elle ne sera appliquée qu'à cet ordinateur. Une fois le test terminé, vous pouvez déplacer la stratégie de groupe dans le OU de vos ordinateurs principaux et replacer l'objet ordinateur de test dans son OU respective.
Pour ce guide, mon OU s'appelle "firefox_tester". Une fois l'objet ordinateur déplacé dans l'OU, ouvrez CMD sur l'ordinateur de test et exécutez :
Étape 1 : Installer Firefox Enterprise
Avant de pouvoir appliquer des politiques de sécurité sur un navigateur Mozilla Firefox, vous devez installer Firefox Enterprise. Il est gratuit et peut être téléchargé à partir d'ici.
Après l'installation, redémarrez votre ordinateur.
Étape 2 : Télécharger les fichiers ADMX et ADML de Firefox
Ensuite, nous devons télécharger les fichiers .admx/.adml à partir d'ici : https://github.com/mozilla/policy-templates/releases
Copiez les fichiers extraits sur le bureau de votre contrôleur de domaine.
Étape 3 : Copier les fichiers dans le dossier PolicyDefinitions
Partie 1 : Copier le fichier firefox.admx
Repérez le fichier firefox.admx. Ensuite, naviguez jusqu'à C:\Windows\PolicyDefinitions sur le contrôleur de domaine et faites-y glisser le fichier.
Étape 4 : Ouvrir l'Éditeur de politique du groupe pour tester
Si tout s'est bien passé jusqu'à présent, vous devriez être en mesure d'ouvrir le "Group Policy Management" à partir du DC, de faire un clic droit sur n'importe quelle politique existante pour la modifier et la développer :
Policies > Administrative Templates > Firefox
Installer l'addon Query AMO
Comme je l'ai mentionné au début, l'établissement d'une liste blanche ou d'une liste noire, ou l'autorisation et le blocage d'extensions (appelées Addons dans Firefox) est beaucoup plus difficile avec Firefox qu'avec Edge ou Chrome. Mais voici la marche à suivre.
Avant de bloquer ou d'autoriser, vous avez besoin de deux éléments d'information : l'ID de l'extension et l'adresse email/l'identifiant unique. Vous ne trouverez pas ces informations sur la page d'accueil de l'extension. La seule façon de les obtenir est d'installer un addon Firefox appelé Query AMO (addons.mozilla.org).
Depuis votre ordinateur de test, ouvrez Firefox Enterprise et accédez à l'adresse suivante : https://github.com/mkaply/queryamoid/releases/.
Sous la dernière version, cliquez sur le lien "query_amo_addon" pour l'installer.
Recherche d'un addon
Une fois ajouté, vous pouvez maintenant vous rendre dans la boutique de modules complémentaires de Mozilla et rechercher une extension. Je vais utiliser Bitwarden pour cet exemple.
Sur la page de téléchargement du module "Bitwarden", cliquez sur "addon Query AMO". Il devrait afficher les deux éléments d'information dont vous avez besoin pour l'étape suivante :
Création d'une GPO pour le navigateur Firefox
Pour cette étape, ouvrez "Group Policy Management" sur votre contrôleur de domaine. Naviguez jusqu'à l'OU de test que vous avez créée à l'étape 1 (la mienne s'appelait firefox_tester).
Faites un clic droit sur l'OU > "Créer une GPO sur ce domaine et la lier ici...". Donnez-lui un nom comme "Firefox_GPO". Ensuite, développez les Stratégies > Modèles d'administration > Firefox > Extensions.
Après chaque changement ou modification de politique, vous devrez effectuer un "gpupdate /force" sur l'ordinateur de test et fermer/ouvrir Firefox.
Bloquer toutes les extensions
Sous "Extension Management", ajoutez ceci :
{
"*": {
"blocked_install_message": "Please email [email protected] if you think an extension should be unblocked.",
"install_sources": ["about:addons","https://addons.mozilla.org/"],
"installation_mode": "blocked",
"allowed_types": ["extension"]
}
}
Bloquer toutes les extensions - Autoriser certaines
Si vous souhaitez empêcher les utilisateurs d'installer des extensions, à l'exception de celles approuvées par le service informatique, voici ce que vous devez faire. Les utilisateurs pourront ainsi télécharger et installer eux-mêmes l'extension.
Activez "Extension Management policy". Sous les options, collez ceci (Cela bloquera tout, mais permettra aux utilisateurs de télécharger Bitwarden).
{
"*": {
"blocked_install_message": "Please email [email protected] if you think an extension should be unblocked.",
"install_sources": ["about:addons","https://addons.mozilla.org/"],
"installation_mode": "blocked",
"allowed_types": ["extension"]
},
"{446900e4-71c2-419f-a6a7-df9c091e268b}": {
"installation_mode": "allowed",
"install_url": "https://addons.mozilla.org/firefox/downloads/latest/bitwarden-password-manager/latest.xpi"
}
}
Bloquer toutes les extensions + Forcer l'installation de certaines extensions
Si vous souhaitez forcer l'installation de certains addons, remplacez "allowed" par "force_installed" dans le code ci-dessus.
Installation forcée - sans blocage
Remarque : Vous ne pouvez pas utiliser le code ci-dessus pour bloquer toutes les extensions, puis utiliser en même temps la politique "Extensions to Allow" ci-dessous. Vous devez spécifier les extensions autorisées dans le code ci-dessus, ce qui rend la politique "Extensions to Install" nulle.
Si vous souhaitez forcer l'installation d'extensions approuvées, sans bloquer d'autres extensions, activez la stratégie "Extensions to Install" et désactivez la stratégie de gestion des extensions si vous en avez créé une.
Ensuite, il suffit de coller le chemin d'accès au fichier .xpi :
Personnalisation de la politique
Si vous souhaitez forcer l'installation de certaines extensions mais autoriser le téléchargement d'autres par l'utilisateur final, voici ce que vous devez utiliser. Cet exemple concerne Bitwarden, Ublock, Lastpass et Privacy Badger.
Notez que les parenthèses ont dû être supprimées lorsque les adresses électroniques ont été utilisées.
{
"*": {
"blocked_install_message": "Please email [email protected] if you think an extension should be unblocked.",
"install_sources": ["about:addons","https://addons.mozilla.org/"],
"installation_mode": "blocked",
"allowed_types": ["extension"]
},
"{446900e4-71c2-419f-a6a7-df9c091e268b}": {
"installation_mode": "allowed",
"install_url": "https://addons.mozilla.org/firefox/downloads/latest/bitwarden-password-manager/latest.xpi"
},
"[email protected]": {
"installation_mode": "force_installed",
"install_url": "https://addons.mozilla.org/firefox/downloads/latest/ublock-origin/latest.xpi"
},
"[email protected]": {
"installation_mode": "force_installed",
"install_url": "https://addons.mozilla.org/firefox/downloads/latest/lastpass-password-manager/latest.xpi"
},
"jid1-MnnxcxisBPnSXQ@jetpack": {
"installation_mode": "allowed",
"install_url": "https://addons.mozilla.org/firefox/downloads/latest/privacy-badger17/latest.xpi"
}
}
Points à retenir
Je recommande d'ajouter TOUTES les extensions que vous souhaitez approuver/refuser en une seule fois.
Pourquoi ?
Parce que si vous bloquez toutes les extensions sauf celles qui sont autorisées, l'addon Query AMO ne fonctionnera pas et indiquera qu'il est bloqué. Cela signifie qu'il sera très difficile d'obtenir les informations dont vous avez besoin pour autoriser, bloquer ou forcer l'installation de futures extensions. Je n'ai pas encore trouvé comment autoriser l'addon Query AMO.
Une solution de contournement consisterait à installer Firefox sur un ordinateur distinct qui ne recevra pas cette stratégie, afin d'obtenir l'identifiant de l'extension et l'adresse électronique/l'identifiant unique.
Conclusion
J'espère que vous avez trouvé ce guide utile ! Comme je l'ai dit, j'ai été assez surpris de ne pas trouver un guide utile qui m'explique comment faire dans un environnement d'entreprise.
L'étape suivante consiste à configurer le reste des règles de Firefox Enterprise, comme la désactivation de la synchronisation, du remplissage automatique et de l'enregistrement dans le coffre-fort des mots de passe de Firefox. Ensuite, à l'aide de l'outil de déploiement que vous utilisez, vous pouvez créer un paquet "Installer Firefox Enterprise". N'oubliez pas de redémarrer les ordinateurs d'extrémité après l'avoir installé partout.
N'hésitez pas à me faire savoir si vous avez des questions dans les commentaires ci-dessous, ou si vous avez trouvé un moyen d'autoriser l'addon Query AMO.