Administración de nuestro Active Directory: Políticas de Grupo para Internet Explorer 9
|
Roberto Di Lello Consultor Senior en Servicios Profesionales en el área de IT. Microsoft Certified Trainer (MCT) y es MVP (Most Valuable Professional) en Directory Services 2009, 2010 y 2011. Microsoft Certified System Engineer (MCSE), Microsoft Certified System Administrator: Messaging (MCSA+M) y Microsoft Certified Technology Specialist (MCTS) |
Junio 2012 |
|---|---|
Hace tiempo vengo escribiendo cada vez mas de políticas, y de su importancia en nuestro Active Directory; y de como nos facilitan las cosas al momento de administrar, mantener y asegurar nuestra arquitectura de Directory Services.
Hoy vamos a hablar de las políticas de grupo, pero asociadas a un producto, en este caso al Internet Explorer 9.
.png "JJ135051.AEDB12AE2048B78E498AE5DA30D6F873(es-es,MSDN.10).png")
Además de las utilidades y facilidades que nos brindan, cabe recordar (y para quienes no lo sabes) que por medio de ellas podemos controlar la configuración de Internet Explorer 9 (y, también, de sus versiones anteriores) de un modo seguro y centralizado para todo nuestro Active Directory.
Anteriormente, con el IE8 (Internet Explorer podíamos configurar casi 1500 opciones de configuración para controlar la configuración del explorador web. Por ejemplo, podíamos regular el acceso a las opciones de configuración de las Opciones de Internet, definir las zonas de seguridad y agregar o quitar sitios web de una zona de seguridad. En IE9, tenemos esas opciones, pero además se agregan nuevas configuraciones de la directiva de grupo para poder administrar las nuevas características del producto.
Disponemos de:
- Plantillas administrativas, que las podemos usar para administrar las directivas basadas en el Registro para cientos de valores de configuración de Internet Explorer 9, incluidas las opciones de seguridad.
- Mantenimiento de Internet Explorer, que podemos utilizar esta extensión para prestablecer y administrar ciertos valores de configuración de Internet Explorer 9 (incluida la interfaz de usuario y la configuración de la conexión) en nuestro dominio.
Ahora que pasa si no tenemos una arquitectura con Active Directory? Bueno, si no usamos (habría que ver si no seria una buena practica y un buen momento para adoptar uno) podríamos usar el administrador de perfiles de IEAK para configurar y actualizar ciertos valores y preferencias de la configuración del explorador después de la implementación. En la sección “Mas Información” les dejos los links correspondientes.
Para los que no conocen nada aun. Les recomiendo ver las otras notas que escribí sobre Políticas de Grupo (Group Policies). Pero en resumen, con las políticas de grupo podemos administrar los valores de configuración de los equipo y de los usuario. Para crear y editar las GPO, utilizamos la consola de administración de las directivas de grupo (GPMC). Por medio de esta consola, asociamos la GPMC para conectar las GPO a los sitios seleccionados de Active Directory, a los dominios y a las unidades organizativas (OUs).
Por ejemplo, al usar la directiva de grupo para configurar Internet Explorer 9, podemos configurar un valor una vez y forzar ese valor en muchos equipos de forma centralizada, minimizando de esta forma los errores que podamos cometer.
También, podríamos configurar los valores de seguridad de Internet Explorer en un GPO que conectemos al dominio (por ejemplo), y la directiva de grupo puede aplicar estos valores en todos los equipos del dominio, y los usuarios que no inicien sesión en sus equipos como administradores no podrán cambiar estos valores.
Otro ejemplo, podría ser configurar un GPO para que se aplique solamente en un grupo de seguridad específico dentro de nuestra organización.
Pero, hay que tener cuidado, y no hay que tomarlo a la ligera. Ya que a medida que agreguemos complejidad a nuestras políticas estaremos también agregando complejidad a la administración de nuestra arquitectura. Ya que todas las políticas que tenga en mi dominio conviven, algunas tienen prioridad sobre otras y puede dificultarse al momento de implementarlas si son muchas.
Con la Consola de Group Policy Mananegement Console (GPMC) podremos administrar todas los GPOs, los filtros WMI y los permisos relacionados con las directivas de grupo. Es una interfaz grafica (GUI) muy fácil de seguir y es intuitiva. Con ella podremos hacer varias cosas, como ser:
- Importar y exportar GPOs.
- Copiar y pegar GPOs.
- Realizar copias de seguridad y restaurar GPOs.
- Modelado de las directivas de grupo, nos permite simular la información del RSoP (Resultant Set of Policies) para planificar la implementación de la directiva de grupo antes de implementarla en nuestro entorno de producción.
- Y varias cosas más…
.png "JJ135051.53151B8E46316F372A923996990FF083(es-es,MSDN.10).png")
Volviendo a hacer referencia a Internet Explorer, disponemos de una guía de referencia que nos servirá para evaluar todas las políticas referidas a este producto; la misma la podemos bajar del site de Microsoft (dejo el link en la sección “Más Información”). En este documento vemos el nombre de cada una de las directivas, y una breve descripción de su funcionamiento.
Lo que debemos hacer es instalar la nueva plantilla administrativa relacionada con el Internet Explorer 9, esto es un archivo .ADMX que se encuentra en la siguiente ubicación:
.png "JJ135051.710444485091D359B7ED8ABD19E321BE(es-es,MSDN.10).png")
El archivo en cuestión se llama inetres.admx. Internet Explorer 9 también instala un archivo de idioma para la plantilla administrativa (archivo ADML), con el archivo inetres.adml en %WinDir%\PolicyDefinitions\LCID.
Algunas de las políticas nuevas son las siguientes:
Policy name |
Policy path |
Prevent Deleting Download History |
Windows Components\Internet Explorer\Delete Browsing History |
Disable add-on performance notifications |
Windows Components\Internet Explorer |
Enable alternative codecs in HTML5 media elements |
Windows Components\Internet Explorer\Internet Control Panel\Advanced settings\Multimedia |
Allow Internet Explorer 8 Shutdown Behavior |
Windows Components\Internet Explorer |
Install binaries signed by MD2 and MD4 signing technologies |
Windows Components\Internet Explorer\Security Features\Binary Behavior Security Restriction |
Automatically enable newly installed add-ons |
Windows Components\Internet Explorer |
Turn off Managing SmartScreen Filter |
Windows Components\Internet Explorer |
Prevent configuration of top result search in the Address bar |
Windows Components\Internet Explorer\Internet Settings\Advanced settings\Searching |
Prevent Deleting ActiveX Filtering and Tracking Protection data |
Windows Components\Internet Explorer\Delete Browsing History |
Go to an intranet site for a single word entry in the Address bar |
Windows Components\Internet Explorer\Internet Settings\Advanced settings\Browsing |
Show tabs below Address bar |
Windows Components\Internet Explorer\Toolbars |
Prevent users from bypassing SmartScreen Filter’s application reputation warnings about files that are not commonly downloaded from the Internet |
Windows Components\Internet Explorer |
Disable Browser Geolocation |
Windows Components\Internet Explorer |
Turn off ability to pin sites |
Windows Components\Internet Explorer |
Turn on ActiveX Filtering |
Windows Components\Internet Explorer |
Tracking Protection Threshold |
Windows Components\Internet Explorer\Privacy |
Turn off Tracking Protection |
Windows Components\Internet Explorer\Privacy |
Use Policy List of Quirks Mode (KB982063 added this policy to Internet Explorer |
Windows Components\Internet Explorer\Compatibility View |
También podríamos migrar nuestras políticas de IE8 a IE9, para migrarlos debemos verificar las opciones de configuración descritas en la siguiente tabla ya que no están disponibles en la versión de IE9 pero si en las anteriores:
Policy name |
Policy path |
Allow installation of desktop items |
Windows Components\Internet Explorer\Internet Control Panel\Security Page\(All Zones) |
Do not collect InPrivate Filtering data |
Windows Components\Internet Explorer\Privacy |
Moving the menu bar above the navigation bar |
Windows Components\Internet Explorer |
Prevent Deleting InPrivate Filtering data |
Windows Components\Internet Explorer\Delete Browsing History |
Prevent Internet Explorer Search box from displaying |
Windows Components\Internet Explorer |
Software channel permissions |
Windows Components\Internet Explorer\Internet Control Panel\Security Page\(All Zones) |
Turn off page transitions |
Windows Components\Internet Explorer\Internet Control Panel\Advanced settings\Browsing |
También se modificó el texto en casi toda la configuración de la directiva. Por ejemplo, la frase "Barra de notificación" reemplaza a la frase "Barra de información". No obstante, estos cambios no deben afectar las GPO existentes. Podremos ver el nuevo texto automáticamente después de actualizar los archivos inetres.admx e inetres.adml en la carpeta local PolicyDefinitions o en el almacén central de la directiva de grupo, como vimos anteriormente. Asimismo, la configuración que estaba en la carpeta Windows Components\Internet Explorer\InPrivate ahora está en Windows Components\Internet Explorer\Privacy.
Espero que les sea de interés.
.png "JJ135051.10A644B6AAE65F80D0CE0BAA5E245CA6(es-es,MSDN.10).png")
Tengamos en cuenta que nuestro equipo toma las plantillas que se encuentran en esta dirección, ósea que el nuevo .ADMX se instala automáticamente al instalar IE9 en el equipo que tiene instalado de GPMC. Sino, para crear objetos de la directiva de grupo (GPO) en el dominio según esta nueva configuración, tendríamos dos opciones:
Instalar las Herramientas de administración remota del servidor (RSAT) en un equipo que ejecute Windows 7 e Internet Explorer 9. Ya hemos hablado de este set de herramientas antes (les dejo el link al final de la nota). Si tenemos estas implementadas solo deberíamos activar la característica “Herramientas de administración de la directiva de grupo y use la Consola de administración de la directiva de grupo (GPMC)” para editar los objetos de la directiva de grupo en el dominio.
Sino, copiamos los archivos ADMX y ADML en el almacén central de la directiva de grupo y, a continuación, editamos los objetos de la directiva de grupo en el dominio de manera habitual.