757
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''Die Verwendung von Firefox kann Ihre IT-Sicherheit beeinträchtigen. Wir möchten Sie auf die Gefahren aufmerksam machen, bevor Sie Firefox verwenden - lesen Sie hierzu den Abschnitt [[Mozilla Firefox#Sicherheitsüberlegungen|#Sicherheitsüberlegungen]]'''. Abhängig von Ihren Sicherheitsanforderungen, der Organisationsgröße und -kultur und dem Vertrauen in Ihre Endbenutzer empfehlen wir Ihnen sogar, Firefox möglicherweise überhaupt nicht zu verwenden!
'''Eine Randnotiz: ''' Firefox ist der Standard-Web-Browser, der ausgeliefert und unterstützt wird. Andere Browser sind jedoch ebenfalls verfügbar, siehe hier: [[Browser|BrowserChromium]]
== Basiskonfiguration ==
=== Proxyeinstellungen ===
Die Proxy-Einstellungen stimmen hier mit den Einstellungen überein, die Sie bei der Konfiguration von Firefox über den nativen Einstellungsdialog haben würden. Wenn Sie den Proxy-Typ auf "System" festlegen, erbt diese Verbindung von den [[NetzwerkNetzwerkkonfiguration#Proxyeinstellungen|Proxyeinstellungen auf Systemebene]].
Beachten Sie, dass der Citrix Receiver eine eigene Proxy-Konfiguration besitzt, aber die Konfigurationseinstellungen von Firefox erben kann. Weitere Informationen finden Sie unter [[Citrix Receiver Konfiguration#Proxyeinstellungen|Citrix Receiver Konfiguration #Proxyeinstellungen]].
=== NoTouch: Speichern Sie alle Benutzeränderungen in Firefox ===
Die Deaktivierung des NoTouch-Schreibschutzes ist einfach: Auf der Registerkarte Verbindungsoptionen gibt es den Parameter <code>Allow in-application configurationErlaube Konfiguration innerhalb der Applikation</code>. Dieser Parameter ist standardmäßig auf "offaus" gestellt. Wenn Sie "Save alwaysimmer speichern" einstellen speichert NoTouch alle vorgenommenen Änderungen wie Lesezeichen, Verlauf, Cookies und Cache dauerhaft.
Diese Einstellung ist gut für einen oder nur wenige vertrauenswürdige Benutzer. Wir empfehlen dies nicht für ein öffentliches Terminal. Ein ausgefeilterer Ansatz wird unten gegeben:
=== Erstellen Sie ein benutzerdefiniertes Firefox-Profil ===
Das Erstellen eines benutzerdefinierten Firefox-Profils ist einfach:
# Gehen Sie geben als Systemadministrator in die lokale Konfiguration des NoTouch OS ein. Auf der Registerkarte <code>Connection optionsVerbindung</code> → <code>"Ihre Verbindung"</code> gibt es den Parameter <code>Allow in-application configurationErlaube Konfiguration innerhalb der Applikation</code>. Dieser Parameter ist standardmäßig auf "offaus" gestellt. Wenn Sie "Save alwaysimmer speichern" einstellen speichert NoTouch alle vorgenommenen Änderungen wie Lesezeichen, Verlauf, Cookies und Cache dauerhaft.
# Jetzt können Sie alle gewünschten Änderungen vornehmen, Sie können sogar Firefox-Erweiterungen installieren (Administratormodus).
# Wenn Sie fertig sind, beenden Sie Firefox und gehen Sie zurück in die NoTouch-Konfiguration und ändern Sie die Einstellung "Allow in-application configurationErlaube Konfiguration innerhalb der Applikation" auf "read-onlynur lesen". Ab jetzt wird Ihre Konfiguration bei jedem Firefox-Start angewendet, aber alle vorgenommenen Änderungen werden nicht gespeichert (Benutzermodus).
=== Verteilen Sie das Firefox-Profil via NoTouch Center ===
NoTouch unterstützt [https://www.java.com/de/ Java]. Genauer gesagt: NoTouch enthält typischerweise eine Version der Java Runtime Environment, die Java-Anwendungen, Java WebStart und, auf dieser Seite relevant, über Mozilla Firefox, Java Applets ausführen kann. Nicht alle NoTouch-Imagess enthalten Java, da es groß und nicht so häufig verwendet wird. Wenn Ihr System über Java verfügt, sehen Sie es in der '''about: plugins'''-Liste. Java-Applets funktionieren sofort.
==PDF==
Wenn Sie auf eine PDF-Datei klicken, startet NoTouch xpdf, einen kostenlosen und schnellen PDF-Viewer.
== Sicherheitsüberlegungen ==
Bei VDI-Verbindungen, wie RDP, Citrix, VMware usw., findet fast keine Interaktion zwischen Anwendungen innerhalb des Benutzerdesktops und NoTouch statt. Das Ausführen eines lokalen Browsers ist anders, es ist in der Tat eine lokale Anwendung, die lokal den Code ausführt! Firefox ermöglicht es Ihren Benutzern, Linux-Anwendungen, Konfigurationsdateien herunterzuladen und somit das System zu modifizieren, Malware, Spyware, Keylogger zu installieren. Ja, typische Windows-Malware wie der Win32-Code funktioniert nicht, daher schlagen die meisten Standardangriffe fehl, aber Sie können sich nicht darauf verlassen.
Kurz gesagt, wir empfehlen Ihnen dringend '''filternde Proxy-Server''' zu installieren oder '''Firefox auf ein Citrix Web-Portal oder ähnliches zu beschränken'''. (siehe [[Mozilla Firefox#URL-basierte Sperrszenarien|#URL-basierte Sperrszenarien]])
NoTouch verfügt über mehrere Mechanismen, um dauerhafte Änderungen durch den Benutzer oder eine vom Benutzer geladene schädliche Software zu verhindern. Diese Mechanismen sind nicht unzerstörbar, aber sie bieten einen angemessenen Schutz gegen gewöhnliche Angriffe. Es gibt zwei mögliche Angriffsszenarien:
* Ein lokaler, böswilliger Benutzer mit physischem Zugriff auf den Computer kann die Linux-Sicherheitsmechanismen überlisten, da Firefox mehr Interaktion mit dem System bietet als ein normaler VDI-Client
* Ein lokaler Benutzer könnte eine vorbereitete Website öffnen, die eine Sicherheitslücke in Firefox ausnutzt
Beide Angriffe könnten dazu führen, dass Keylogger installiert werden (denken Sie daran, dass es auf dem Thin Client keine Benutzerdokumente gibt, die gestohlen werden können, so dass das wertvollste Gut wahrscheinlich die Tastatureingaben des Benutzers sind).
Um die Risiken so gering wie möglich zu halten, schlagen wir vor:
* Verwenden Sie mindestens NoTouch 2.38.191. Frühere Versionen implementierten keine Privilegientrennung, also Firefox, und so hatte der potenziell böswillige lokale Benutzer eine große Kontrolle über das System (im Gegensatz zu anderen Linux-Systemen kann selbst der Root das Betriebssystem-Image in NoTouch nicht verändern).
* Öffentliche Stationen, wie z. B. Empfangsterminals, sollten in einem separaten Subnetz mit gefilterter Internet- oder Serverkonnektivität untergebracht sein, aber keinen Zugriff auf das Unternehmensnetzwerk haben und regelmäßig neu installiert oder sogar PXE-gebootet werden.
* Firmenstationen, etwa für Endbenutzer, die das Internet nutzen dürfen, sollten hinter einem filternden Proxy-Server platziert werden (wie es bei Windows-PCs ohnehin der Fall sein sollte). Wenn PCs von anderen Benutzern (z. B. nicht gesperrte Arbeitsplätze) genutzt werden können, kann ein gewisses Restrisiko nicht ausgeschlossen werden (wie bei Windows-PCs).
== Aktualisieren von Firefox ohne das Betriebssystem-Image zu aktualisieren ==
Dieser Aktualisierungsmechanismus gilt nur für x86 NoTouch Desktop und nicht für ARM-basierte RX-HDX Thin Clients.
NoTouch-Versionen funktionieren immer mit dem neuesten verfügbaren Firefox-Browser zum Zeitpunkt ihrer Veröffentlichung. Das bedeutet, dass Sie beim Herunterladen eines neuen, aktualisierten NoTouch OS-Images auch einen neuen, aktualisierten Firefox-Browser erhalten. Firefox-Updates kommen jedoch häufig vor. Vielleicht möchten Sie den Firefox-Browser selbst aktualisieren, ohne das gesamte NoTouch OS-Image zu aktualisieren. Ab NoTouch OS 2.40.400 können Sie Firefox selbst aktualisieren:
# Laden Sie das "Linux 32-bit tar.bz2" Firefox-Packet von der offiziellen Mozilla ESR-Download-Seite herunter https://www.mozilla.org/en-US/firefox/organizations/all/
#* '''Hinweis:''' Gegenwärtig benötigt NoTouch Ende 2016/ Anfang 2017 die Firefox 45 ESR-Pakete (Extended Support Release). Diese verfügen über alle Sicherheitsaktualisierungen, sind jedoch kompatibler.
#* Beachten Sie, dass Sie frühere Versionen als 45 erhalten können, wenn Sie von der normalen Mozilla-Webseite downgraden müssen (zum Zeitpunkt des Schreibens ist dies https://www.mozilla.org/en-US/firefox/all/)
# Platzieren Sie es - ohne jegliche Änderung - auf einem Webserver in Ihrer Organisation. Wenn Sie keine haben, siehe [[Hosting von Dateien (VA)|Hosting files (VA)]] and [[Hosting von Dateien (NTC)|Hosting files (NoTouch Center)]]
# Navigieren Sie zu den "Extension" -Parametern und suchen Sie nach dem Parameter "Firefox URL". Geben Sie die URL ein, die zu dieser Datei führt.
# Starten Sie den Client neu.
Fehlerbehebung: Öffnen Sie auf dem Client oder über dessen Weboberfläche die Konfiguration, klicken Sie auf "Debug information" und dann auf "Cache". Dort sehen Sie Fehlermeldungen und Statusinformationen.
Anmerkungen:
* Dieser Mechanismus benötigt sowohl lokalen Speicherplatz als auch Arbeitsspeicher, der die Paketgröße überschreitet. Dies funktioniert nur, wenn Sie genug RAM und Festplatten / Flash-Speicher zur Verfügung haben. Es wird wahrscheinlich nicht mit älteren Thin Clients mit Platzbeschränkung und weniger als 1 GB Flash oder RAM funktionieren.
* Diese Methode funktioniert ab Januar 2016 mit Mozilla Firefox-Paketen. Wenn Mozilla einmal beschließt, ihr Paketformat zu ändern, funktioniert diese Methode möglicherweise nicht mehr.
== URL-basierte Sperrszenarien ==
=== Kein Internet, nur Intranet oder Connection Broker ===
Wenn Sie möchten, dass Ihre Benutzer interne Websites aber überhaupt nicht das freie Internet verwenden können, gibt es einen einfachen Trick, der ohne Add-Ons oder Proxy-Server funktioniert. Dies ist nützlich für Personen, die den Browser nur für die Citrix Webschnittstelle und vielleicht einige andere bekannte interne URLs verwenden möchten.
# Gehen Sie in die Firefox-Konfiguration und geben Sie nicht vorhandene HTTP- und HTTPS-Proxy-Server an, z.B. <font color=blue>1.1.1.1</font>
# Fügen Sie Ihre bekannten guten URLs dem Parameter "Kein Proxy für diese Lokationen" hinzu. Dies kann Ihre gesamte Intranet-Domain sein, zum Beispiel <font color=blue>.intranet.mycompany.com</font>, oder nur der Hostname unseres Connection-Brokers (Citrix / VMware / etc. Host)
# Setzen Sie den Parameter "Voreinstellungen sperren" auf "ein", um zu verhindern, dass Benutzer den gefälschten Proxy-Server deaktivieren.
Diese Methode ist so einfach wie effektiv. Ihre erlaubten URLs funktionieren und alle anderen enden mit einer Fehlermeldung.
=== Internet erlauben, aber kein obszönes oder illegales Material ===
In diesem Fall empfehlen wir Ihnen, einen filternden Proxy-Server zu verwenden. Da die Definition von obszön je nach Kultur unterschiedlich ist und die Definition von illegal von Gesetzes wegen variiert, ist es unmöglich, sie auf einem Thin Client zu lösen.
[[Category:NoTouch OS]] [[Category:Serververbindungen]]
[[en:Mozilla Firefox]]