welche ToDos bzgl. Firefox auf neuen Windows Terminalsever 2016/2019 installieren / bzw. frage zu automatischen Updates

  • Firefox-Version
    Firefox 85 ohne ESR
    Betriebssystem
    Server 2016 Terminalserver

    Guten Morgen,


    a) ist dies richtig?

    Es ist zunächst OK, wenn Firefox ESR auf einem 15 Mann Terminalserver (Server 2016 und 2019) installiert wird und automatische Updates deaktiviert werden. (und dann alle paar Woche manuell installiert werden)

    (Die Frage kommt deshalb: 2-3 Poweruser nutzen selbst installierte Zertifikate und nach Firefox Updates ist ja manchmal leeres Profil, wenn man keine entsprechenden Vorkehrungen trifft soweit ich weiß. (bzw. wenn man kein ESR auf dem alten Terminalserver hatte)

    b)

    Sonstige ToDos nach Firefox ESR Installation wüßte ich aktuell nicht. (ausser automatische updates ausschalten)

    Firefox über GPO als Standardbrowser ist zunächst nicht geplant.

    Die Userberechtigungen dürfen default/liberal bleiben, weil es sich z.B. nicht um eine Schulklasse handelt und der Endkunde auch "freiheiten" schriftlich bestätigt hat.

    c)

    Wenn man Firefox ohne ESR auf einem Terminalserver installiert hat und sich wundert warum nach Firefox Updates "ein leeres Profil ist" dann ist das "by design " vollkommen normal.

    Man muss dann nur sein altes Profil wieder als Profil-Standard setzen oder?
    (
    und schon sind Zertifikate etc. wieder da)

    https://support.mozilla.org/de/kb/wiederhe…ten-nach-update

    https://support.mozilla.org/de/kb/wiederhe…us-altem-profil

    Auszug: Wenn Firefox ohne Ihre Lesezeichen, Passwörter, gespeicherte Tabs und andere benutzerdefinierten Einstellungen startet, prüfen Sie, ob Ihre Daten in einem anderen Benutzerprofil abgelegt wurden. Das kann passieren, da Firefox ab Version 67 nach einem Update ein neues dedicated profile for each Firefox installation erstellt und damit startet.

    d)

    automatische Firefox kann man auch wie folgt leicht am Terminalserver deaktivieren oder?

    automatische Firefox Updates deaktivieren:

    https://www.chip.de/news/Mit-Regis…_151468820.html

    Öffnen Sie RegEdit und navigieren Sie zu "HKEY_LOCAL_MACHINE" und dort zu "Software\Policies". Legen Sie darunter über das Kontextmenü einen neuen Schlüssel namens "Mozilla" und spendieren Sie ihm noch einen zusätzlichen Unterschlüssel "Firefox". Dort legen Sie dann einen neuen "DWORD-Wert (32 Bit)" an und nennen diesen "DisableAppUpdate".

    Setzen Sie den Wert auf "1". Übrigens müssen Sie 32-Bit-DWORD auch dann auswählen, wenn Sie auf einem 64-Bit-Windows unterwegs sind. Nach einem Firefox-Neustart navigieren Sie in die Einstellungen. Dort sollte bei Updates jetzt "Updates von Ihrem System-Administrator deaktiviert" stehen.

    2 Mal editiert, zuletzt von lancomuserx (20. Februar 2021 um 08:36)

  • Hallo,

    a) ist dies richtig?

    Es ist zunächst OK, wenn Firefox ESR auf einem 15 Mann Terminalserver (Server 2016 und 2019) installiert wird und automatische Updates deaktiviert werden. (und dann alle paar Woche manuell installiert werden)

    Sicherheits-Updates (und die meisten Firefox-Updates sind Sicherheits-Updates) sind immer umgehend bei Verfügbarkeit einzuspielen. Das heißt nicht, dass du mit Veröffentlichung sofort den Computer einschalten und die neue Version installieren musst, aber spätestens wenn das automatische Update für alle Nutzer eintrifft, gehört das Update auch installiert. Und da sprechen wir dann von maximal ein paar Tagen und nicht von Wochen. Natürlich, wenn alle paar Wochen bei dir bedeutet: nach Kalender alle vier Wochen, und wenn dieser Zeitpunkt direkt nach Veröffentlichung der neuen Versionen ist, sind alle paar Wochen gut, aber nicht wenn die Aussage eine Unregelmäßigkeit impliziert. Und auf Updates außer der Reihe musst du auch reagieren. Also nur nach Kalender funktioniert bei einem Browser nicht. Dafür ist diese Komponente des Systems zu sicherheitskritisch.

    (Die Frage kommt deshalb: 2-3 Poweruser nutzen selbst installierte Zertifikate und nach Firefox Updates ist ja manchmal leeres Profil, wenn man keine entsprechenden Vorkehrungen trifft soweit ich weiß. (bzw. wenn man kein ESR auf dem alten Terminalserver hatte)

    Ein Firefox-Profil wird durch ein Firefox-Update niemals beschädigt. Wenn das Profil nach einem Update "leer" ist, dann gab es entweder bereits vor dem Update ein Problem oder die Update-Methode ist zu hinterfragen. Aber unter normalen Umständen passiert das nicht. Teste die Verteilung der Updates gründlich und denke an regelmäßige Backups, die es so oder so geben sollte, dann gibt es auch keinen Grund, die Verteilung von Updates aus diesem Grund zu verzögern.

    b)

    Sonstige ToDos nach Firefox ESR Installation wüßte ich aktuell nicht. (ausser automatische updates ausschalten)

    Firefox über GPO als Standardbrowser ist zunächst nicht geplant.

    Die Userberechtigungen dürfen default/liberal bleiben, weil es sich z.B. nicht um eine Schulklasse handelt und der Endkunde auch "freiheiten" schriftlich bestätigt hat.

    Was auf deiner persönlichen Aufgabenliste steht, kann dir hier niemand beantworten, das musst alleine du wissen. Aber auch hier nochmal der Hinweis, weil du die Abschaltung der automatischen Updates erwähnst: Das darf nur bei regelmäßiger, gleichzeitig flexibler und vor allem zuverlässig und stets zeitnaher Auslieferung überhaupt ein Gedanke sein. Ich rate ausdrücklich davon ab. Mir fällt kein sinnvoller Grund für die Abschaltung der automatischen Browser-Updates ein. Risiko und Aufwand werden durch die manuelle Auslieferung von Updates signifikant erhöht. Damit tust du niemandem einen Gefallen, auch dir nicht.

    Wenn man Firefox ohne ESR auf einem Terminalserver installiert hat und sich wundert warum nach Firefox Updates "ein leeres Profil ist" dann ist das "by design " vollkommen normal.

    Man muss dann nur sein altes Profil wieder als Profil-Standard setzen oder?

    Nein, das ist kein Stück normal und würde mit automatichen Updates jedenfalls nicht passieren. Wenn das bei dir so ist und du eine Lösung gefunden hast, die für dich funktioniert, mag das zwar okay sein, aber die Update-Methode ist dann vielleicht doch zu hinterfragen. Ein Update sollte einfach nie ein neues Profil zur Folge haben.

    d)

    automatische Firefox kann man auch wie folgt leicht am Terminalserver deaktivieren oder?

    automatische Firefox Updates deaktivieren:

    https://www.chip.de/news/Mit-Regis…_151468820.html

    Eine grundsätzliche Regel: Dir geht es hier um die Verteilung von Software, wir sprechen also von einem professionellen Umfeld. Da solltest du niemals einen Artikel von chip.de als Grundlage nehmen, unabhängig davon, ob konkret dieser Tipp korrekt ist oder nicht. Dafür schreibt diese Seite Tag für Tag viel zu viel Blödsinn.

    Ob dieser Tipp so stimmt, kann ich dir nicht beantworten, da ich macOS nutze und es da sowas wie die Registry (zum Glück!) nicht gibt, es gibt mit der Datei policies.json aber auch einen Weg, der plattformübergreifend funktioniert und kein Eingriff in die Registry erfordert. Ich habe eine Firefox-Erweiterung geschrieben, welche bei der Erstellung dieser Datei hilft:

    https://addons.mozilla.org/de/firefox/add…licy-generator/

  • Ein Firefox-Problem wird durch ein Firefox-Update niemals beschädigt.

    Hallo Sören :)

    das soll sicher "Ein Firefox-Profil" heißen.

    solltest du niemals einen Artikel von chip.de als Grundlage nehmen, unabhängig davon, ob konkret dieser Tipp korrekt ist oder nicht. Dafür schreibt diese Seite Tag für Tag viel zu viel Blödsinn.

    :thumbup:

    Ansonsten FACK.

    Gruß Ingo