„Co jsou to podniková pravidla a proč by mě měla zajímat?“

Podniková pravidla, známá zejména ve formě Group Policy přítomných na operačních systémech Windows od verze Pro výše jsou fenoménem, na něhož je uživateli počítačů pohlíženo dvojí optikou – administrátoři na ně zpravidla nahlížejí jako na neocenitelnou funkci správy počítačů, která jim umožňuje vynutit pravidla a zásady uživatelem nepřekročitelné; uživatelé je naopak většinou považují za obtěžující funkcionalitu, která je omezuje ve kde čem.

Pro nezasvěcené, Group Policy (GPO) je funkce umožňující centrální správu předvoleb určujících chování systému, či aplikací. Jedná se o funkci vyhrazenou výhradně OS Windows, uživatelé alternativních systémů jsou tak ochuzeni a jsou nuceni tuto funkcionalitu nahrazovat externím řešením, které je ne vždy dostatečně komplexní, funkční, či dokonce dostupné, případně decentralizovaně nastavovat pravidla v jednotlivých systémových komponentech či aplikacích.

Podniková pravidla mohou na první dobrou působit dojmem čehosi, co je využitelné pouze ve firemním prostředí a co domácí uživatel nevyužije a neocení. Nevyužije, protože mnohdy ani nemůže – nejčastější edicí Windows v domácnostech je Home, která GPO absentuje; neocení, protože proč by se sám omezoval, že. Nutno zmínit, že podniková pravidla nejsou pouze o omezování uživatele, ale také například o vynucení bezpečnostních mechanismů, které by bylo jinak snadné deaktivovat a ohrozit tak uživatelské zařízení. Mimo to často umožňují konkrétní aplikaci uživatelsky „ohnout“, tedy vypnout nežádoucí funkcionality, které uživatele obtěžují. Jako konkrétní případ uvedu postranní panel Bingu a Copilota v Microsoft Edgi. Jak je tedy vidno, tak i domácí uživatel může pro podniková pravidla najít využití.

Nyní se dostáváme ke kamenu úrazu. Popisuji tu možnosti, které mohou podniková pravidla uživateli nabídnout, ale zároveň jedním dechem dodávám, že v domácnostech většinově užívaná edice je nepodporuje. Spoustu aplikací a samotný systém si tak pomocí těchto pravidel neohnete. Co se však týče webových prohlížečů, dnes snad nejpoužívanějšího softwaru, existuje jiná cesta, jak v nich podniková pravidla vynutit.

Alternativa ve formě konfiguračního souboru

Konkrétně se jedná o využití souboru policies.json. Jeho použití je možné jak ve Firefoxu, tak v prohlížečích založených na Chromiu, přičemž jeho primární výhodou je multiplatformnost – můžete jej použít jak na Windows, tak na macOS či Linuxu a všude tak aplikovat stejná nastavení. Jelikož osobně používám Firefox a jelikož je v něm tvorba politik díky jednomu nástroji, který si představíme, poměrně uživatelsky přívětivá, vyzkoušíme si podniková pravidla nastavit právě v něm.

Hlavním gró je vytvoření a nakonfigurování souboru policies.json ve složce distribution. Ta se nachází v instalačním adresáři Firefoxu, jehož umístění je na každém systému jiné. Pro jeho zjištění zadáme do adresního řádku about:support a odentrujeme. Zobrazí se nám stránka s technickými údaji, přičemž zajímat nás bude položka Binární soubor aplikace, která odkazuje na umístění spustitelného souboru Firefoxu. V mém případě se jedná o /usr/lib64/firefox. Otevřeme-li si tuto složku, najdeme zde podsložku distribution – pokud zde není, vytvoříme si ji.

Poznámka.: V případě Firefox ESR provozovaném na Linuxu mi tento postup nefungoval a bylo nutné policies.json nakopírovat také do složky /etc/firefox/policies.

Interní stránka about:support zobrazující instalační adresář. Zdroj: vlastní

Při tvorbě podnikových pravidel jsou vesměs dvě varianty, jak je vytvořit – ručně na základě oficiální dokumentace nebo skrze generátor.
První možnost je činností poměrně pracnou a náchylnou k nefunkčnosti skrze možné chyby v syntaxi, jichž se může neznalý uživatel dopustit. Holt, JSON parser je nekompromisní.
Druhá varianta spočívající v použití neoficiálního doplňku Enterprise Policy Generator je naopak velice snadná, rychlá a uživatelsky srozumitelná, přívětivá a intuitivní. Netřeba tak diskutovat o tom, kterou z variant si ukážeme.

Generátor podnikových pravidel

Po instalaci doplňku vstoupíme do jeho rozhraní přes menu doplňků, které se nachází na hlavní liště. Otevře se nám velice přehledné rozhraní, přičemž ihned vidíme pravidla, která můžeme nastavit. Ta jsou rozdělena do kategorií podle toho, co nastavují. Najdeme zde tak kategorie

• blokování přístupu k interním stránkám (about:config, about:addons, about:support,…)

• vypnutí jednotlivých funkcí (Pocket, čtečka PDF, anonymní režim, nástroje pro vývojáře,…)

• přizpůsobení (tvorba výchozích záložek, úprava vyhledávacích modulů, správa rozšíření,…)

• nastavení sítě (blokování webů, DoH, proxy server, DNS prefetching,…)

• nastavení soukromí (Rozšířená ochrana před sledováním, mazání cache po ukončení prohlížeče,…)

• nastavení zabezpečení (povolení/zakázání správce hesel, vynucení konkrétní verze TLS, punycode,…)

• nastavení aktualizací a sběru dat (zakázání aktualizací, nastavení adresy pro aktualizace, zakázání telemetrie,…)

• ostatní pravidla (hardwarová akcelerace, našeptávač v adresním řádku, vyskakovací okna,…)

Rozhraní addonu Enterprise Policy Generator. Zdroj: vlastní

Jak je vidno, možnosti nastavení jsou široké. U každé předvolby je políčko sloužící k jejímu zafajfknutí – seznam si tak projdeme a zaškrtneme vše, oč máme zájem. Specificky se podíváme na možnost vynucení instalace addonu, respektive zakázání možnosti jeho vypnutí, či odinstalace. Tu najdeme pod položkou Manage the installation and uninstallation of add-ons.

Předvolba nám umožňuje globální nastavení pro všechna rozšíření, případně pro individuální rozšíření. Do kolonky rozšíření je v první řadě nutné zadat jeho ID. Pokud máte rozšíření nainstalováno, jeho ID naleznete na interní stránce about:debugging.

Zobrazení ID doplňku na stránce about:debugging. Zdroj: vlastní

Pakliže ho nainstalované nemáte, doporučuji jej nainstalovat a ID výše zmíněným způsobem vyhledat, protože ostatní cesty jsou poněkud krkolomné. Předvolba dále umožňuje vybrat preferovaný scénář:

• instalace doplňku ze strany uživatele je povolena

• instalace doplňku ze strany uživatele je zakázána, přičemž již nainstalovaný doplněk bude odebrán

• doplněk je automaticky nainstalován, uživatel jej nemůže odebrat, ale může ho zakázat

• doplněk je automaticky nainstalován, uživatel jej nemůže ani odebrat, ani zakázat

Vybereme čtvrtou možnost a do dalšího řádku vložíme URL adresu, z níž se doplněk instaluje. V praxi tak navštívíme stránku doplňku v katalogu Firefox Addons, jejíž adresu do rozhraní doplňku nakopírujeme.

Blokace odstranění a zakázání doplňků v EPG. Zdroj: vlastní

Nyní již zbývá pouze kliknout na tlačítko Generate Policies, které nám vyplivne souhrn našich nastavení v JSON formátu. Doplňek umožňuje soubor policies.json vyexportovat, kteréžto možnosti využijeme, případně také uložit zvolenou konfiguraci pro další editaci v rozhraní generátoru.

Možná podoba vygerovaného policies.json souboru. Zdroj: vlastní

Posledním krokem je nakopírování policies.json do výše zmíněné složky distribution a následný restart Firefoxu. Zda-li se nastavená pravidla aplikovala zjistíte na interní stránce about:policies, na níž najdete výčet aktivovaných pravidel a jejich navolených hodnot. Funkčnost si ověříme na uBlock Origin, u něhož jsem zakázali deaktivaci a odstranění. Jak je vidět na následujícím screenshotu, uBlock odebrat ani zakázat nejde.

Konfigurovaný neodstranitelný uBlock v rozhraní about:addons. Zdroj: vlastní

Závěrem pouze zmíním, že podniková pravidla nejsou pouze záležitostí podniků a jak je vidno, mohou nalézt smysluplné využití i na osobních zařízeních.

Zaujala vás možnost nakonfigurovat si prohlížeč pomocí podnikových pravidel? Jakou s nimi máte zkušenost? Dejte vědět v komentářích.