Enterprise Policy Generator

kann man den wert identity.sync.tokenserver.uri als Richtline festlegen?

Der Enterprise Policy Generator ist seit eh und jeh sehr interessant.

Mittlerweile scheint es den Enterprise Policy Generator 7.3 zu geben:
* Enterprise Policy Generator 7.3 für Firefox veröffentlicht

Laut einem X Beitrag scheint es auch schon eine (Vorab?) Version von der 8`er Version zu geben:
*

Alfredo534 am besten eine PN an Sören Hentzschel schreiben

Zitat von Chris23tr

Alfredo534 am besten eine PN an Sören Hentzschel schreiben

Danke. Die PN ist soeben raus.

Ist diese Tage in meiner Beta gelandet, müsste ich unter Linux testen, da unter Windows alles über die Gruppenrichtlinien läuft. Ist ganz schön viel geworden.

Mir stellt sich da eine, vielleicht auch mehrere Fragen

Der Generator bietet die Option, bestimmte Chiffren abzuschalten, da steht zwar TLS vor, im about:config jedoch unter security.ssl. Welchen Einfluss haben Einstellungen zu TLS zu SSL/SSL3?

Als ich damals, 8 Jahre her, zwischenzeitlich Chromium genutzt habe, ist das mal hier aufgekommen, schwache oder unsichere Chiffren abzuschalten, so auch in Firefox. Damit hatte ich jedoch einige Problem, auch später bei neuerlichen Tests, etliche Server zu erreichen.

Wo ich grad noch stutze ist:

Standardanwendungen für das Öffnen von Dateien, Protokollen und MIME-Typen festlegen

Weil es unter Website-Einstellungen steht. Bei "Protokollen" kann ich das nachvollziehen, aber bei Dateiendungen, die auf ein Programm festgelegt werden, ist das doch eher eine Sache des OS? Ich kann unter Linux nicht die identische Einstellung wie Windows eintragen. Also alles eher Client-seitig für mich.

Danke für die Erklärung. Ja, das mit der Kategorie hätte ich auch nicht sagen können, es wäre woanders deplatziert gewesen. Zu mehr bin ich noch nicht gekommen, aber ich habe einiges vorhin beim Überflug und kurzem Anklicken gesehen, was ich übernehmen wollen würde.

Das habe ich mir erstellen lassen, einiges zum Testen, anderes, weil ich es selbst so nutze.

{
  "policies": {
    "AutofillAddressEnabled": true,
    "DNSOverHTTPS": {
      "Enabled": false,
      "Fallback": true
    },
    "DisableBuiltinPDFViewer": true,
    "DisableDefaultBrowserAgent": true,
    "DisableFeedbackCommands": true,
    "DisableFirefoxStudies": true,
    "DisableProfileImport": true,
    "DisableProfileRefresh": true,
    "DisableSetDesktopBackground": true,
    "DisableTelemetry": true,
    "DontCheckDefaultBrowser": true,
    "EnableTrackingProtection": {
      "BaselineExceptions": true,
      "Category": "strict",
      "Cryptomining": true,
      "EmailTracking": true,
      "Fingerprinting": true,
      "SuspectedFingerprinting": true,
      "Value": true
    },
    "ExtensionUpdate": false,
    "FirefoxHome": {
      "Highlights": false,
      "Pocket": false,
      "Search": true,
      "SponsoredPocket": false,
      "SponsoredTopSites": false,
      "TopSites": false
    },
    "FirefoxSuggest": {
      "ImproveSuggest": false,
      "SponsoredSuggestions": false,
      "WebSuggestions": false
    },
    "GenerativeAI": {
      "Enabled": false,
      "LinkPreviews": false,
      "TabGroups": false
    },
    "HttpsOnlyMode": "enabled",
    "IPProtectionAvailable": false,
    "ManualAppUpdateOnly": true,
    "NetworkPrediction": false,
    "OfferToSaveLoginsDefault": true,
    "PictureInPicture": {
      "Enabled": false
    },
    "Preferences": {
      "browser.aboutConfig.showWarning": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.compactmode.show": {
        "Status": "locked",
        "Type": "boolean",
        "Value": true
      },
      "browser.search.openintab": {
        "Status": "user",
        "Type": "boolean",
        "Value": true
      },
      "browser.search.update": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.tabs.closeWindowWithLastTab": {
        "Status": "locked",
        "Type": "boolean",
        "Value": false
      },
      "browser.tabs.groups.enabled": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.urlbar.maxRichResults": {
        "Status": "user",
        "Type": "number",
        "Value": 15
      },
      "browser.urlbar.suggest.trending": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      }
    },
    "PromptForDownloadLocation": true,
    "Proxy": {
      "AutoLogin": true,
      "Locked": true,
      "Mode": "none",
      "SOCKSVersion": 4,
      "UseHTTPProxyForAllProtocols": true,
      "UseProxyForDNS": false
    },
    "SearchBar": "separate",
    "SearchSuggestEnabled": false,
    "ShowHomeButton": false,
    "SkipTermsOfUse": true,
    "VisualSearchEnabled": false,
    "WindowsSSO": false
  }
}

Firefox 149 Portable. Unter Windows werden die "preferences" nicht übernommen, zB

browser.compactmode.show

browser.tabs.closeWindowWithLastTab

Die anderen vermutlich auch nicht. trendingsearch auch nicht, das Häkchen ist gesetzt in den Einstellungen.

HTTPS-Modus only ist nicht aktiviert, SkipTermsOfUse - bei einem neuen Profil kommt dennoch ein Hinweisfenster, vielleicht denke ich an was anderes.

Was unter Windows nicht wirklich funktioniert hat, ergibt unter Linux gar nichts, ausser:

Die Datei liegt unter /etc/firefox/policies/ und wird auch erkannt, denn ohne gibt es keine "Fehler".

Linux ist Ubuntu 25.10 mit Firefox aus Snap (Standard).

Was mir fehlt wäre "DisablePocket": true,
In Firefox 140 esr gibt es den Pocket Button nicht mehr, allerdings, so meine ich, war der in einer Version aus 2025 noch vorhanden. Oder Firefox ist schlau und weiss, dass es Pocket nicht mehr gibt und zeigt den gar nicht mehr an. Ich denke, letzteres, weil Firefox 115 esr den definitiv auch nicht mehr anzeigt, und da gab es Pocket noch. Gut, dann braucht es auch keine Policy mehr dazu.

Wegen Linux, ich denke, die Fehlermeldung ist eindeutig. Die Frage ist nur, wie ich das ändern kann, wenn das denn ein zentraler Ort sein soll. Ich konnte bei Dolphin auch nur mit Adminrechten dort hin und das musste ich auch erst mal anleiern mit dolphin --sudo

Ich kann ohne adminrechte aber dort reinsehen, aber nichts öffnen. Es wird sogar genau so beschrieben mit jenem Ordner:

Laut bugzilla-Ticket soll das gelöst sein, aber tut hier nicht. Tut auch in den anderen genannten Pfaden nicht.

Ok, ist ein Lese-Berechtigungsproblem.

Suchbegriff und Anfrage im duck.ai chat

ubuntu firefox "/etc/firefox/policies/" missing rights

Die Suche war unbefriedigend, aber im Chat gab es folgende Anweisung, das Problem scheint bekannt zu sein.

Verzeichnis erstellen: sudo mkdir -p /etc/firefox/policies
(ich hatte es mit Dolphin erstellt)

Set ownership and permissions (recommended)

sudo chown root:root /etc/firefox/policies
sudo chmod 755 /etc/firefox/policies
sudo chown root:root /etc/firefox/policies/policies.json
sudo chmod 644 /etc/firefox/policies/policies.json

In Dolphin sieht das so aus.

Die Änderung muss für Sonstige auf Nur Anzeige möglich gestellt werden. Unter "Erweiterte..." findet man die Matrix zu chmod, das ist wie bei FTP früher, sind die gleichen Flags.

Bis auf einen Fehler zu "IPProtectionAvailable" wurde alles übernommen im about:config, auch die "Preferences" stehen drin, die unter Windows verweigert werden. Die werden tatsächlich übernommen und zT gesperrt gegen Änderungen.

Das sind spezielle Anlaufschwierigkeiten hier bei Linux, man folgt Anweisungen und Tipps, und muss nachbessern in Teilen. So auch zB unter Windows, weil ich Dateizugriff auf Mint haben wollte, SMB muss dafür installiert werden unter Linux - von Linux auf Windows gar keine Probleme.

In kurz: eine JSON in jenen Ordner werfen und das war es, funktioniert nur bedingt.

Danke für den Test, ich hab einen Verdacht, weil ich eben noch was gegengeprüft habe. nope, falsch gedacht.

herrje, bin ich blöd. Ich hab in meiner Portable einen Order distribution als Vorlage für alle Füllungen, siehe Bild

Man sollte das JSON auch in den richtigen Ordner kopieren

@Sören,

Anpassungsidee für zukünftige Enterprise Policy Generator Versionen:

Die Cipher Suites in etwa folgender Reihenfolge und Kenntlichmachung der Sicherheitskategorie anordnen. Dann können auch Nutzer die sich nicht mit Ciphern auskennen, vlt. trotzsdem eine sinnvolle Wahl treffen.

Die Cipher-Suites lassen sich nach Sicherheit in Gruppen einteilen, basierend auf TLS-Version, Key-Exchange (PFS-fähig oder nicht), Verschlüsselungsmodus (AEAD wie GCM/ChaCha20 vs. CBC), Schlüssellänge und bekannten Schwachstellen.
Höchste Sicherheit: TLS 1.3 (AEAD, PFS integriert)

In Zukunft werden da sicher vlt. als Post Quantum Cipher oder TLS 1.4 Cipher bezeichnete dazu kommen. Zur Standardisierung gibt es da wohl seit geraumer Zeit bereits Beiträge durch NIST. Aktuell sieht die Situation für mich wie folgt aus:

Höchste Sicherheit: Diese Gruppe nutzt ausschließlich TLS 1.3 mit integriertem Forward Secrecy (PFS) durch eingebaute Ephemeral-Key-Exchange-Mechanismen und moderne AEAD-Verschlüsselung (GCM oder ChaCha20). Sie sind resistent gegen bekannte Angriffe wie BEAST, Lucky Thirteen oder Padding Oracle und bieten die stärkste Quantensicherheit.

TLS_AES_128_GCM_SHA256 (Firefox 138+, Firefox ESR 128.10+)
TLS_AES_256_GCM_SHA384 (Firefox 138+, Firefox ESR 128.10+)
TLS_CHACHA20_POLY1305_SHA256 (Firefox 138+, Firefox ESR 128.10+)

Hohe Sicherheit: TLS 1.2 (ECDHE, AEAD, PFS)

TLS 1.2 mit ECDHE (ECDH mit Ephemeral Keys für PFS), AEAD-Modi (GCM/ChaCha20) und starken Schlüsseln (AES-128/256, SHA256/384). Diese bieten hervorragende Sicherheit, sind aber etwas anfälliger für Implementierungsfehler als TLS 1.3, da CBC-Fallbacks möglich sind.

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Mittlere Sicherheit: TLS 1.2 (ECDHE, CBC, PFS)

TLS 1.2 mit ECDHE (PFS), aber veraltetem CBC-Modus (AES-128/256, SHA1/SHA256). CBC ist anfällig für Padding-Oracle-Angriffe (Lucky Thirteen) und erfordert strenge Implementierungen; SHA1 schwächt die Integrität.

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Niedrige Sicherheit: TLS 1.2 (DHE, CBC, PFS)

TLS 1.2 mit DHE (Ephemeral Diffie-Hellman für PFS), aber schwachem RSA-Auth und CBC-Modus. DHE ist langsamer und potenziell anfälliger für Logjam-Angriffe bei schwachen DH-Gruppen; CBC-Probleme persistieren.

TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Unsicher: TLS 1.2 (RSA, AEAD/CBC, kein PFS)

TLS 1.2 mit statischem RSA-Key-Exchange (kein PFS, ermöglicht Session-Wiederaufnahme-Angriffe). Selbst mit AEAD (GCM) oder CBC fehlt Ephemerality; RSA-only ist gegen zukünftige Key-Kompromittierungen vulnerabel.

TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

Kritisch unsicher: TLS 1.2 (RSA, 3DES, kein PFS)

TLS 1.2 mit 3DES (56-Bit-Sicherheit, Sweet32-Birthday-Attacke) und statischem RSA (kein PFS). Vollkommen veraltet, aktiv angreifbar und sollte sofort deaktiviert werden.

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Aus meiner Sicht, wäre es 2026-05 für den Normalnutzer sinnvoll beim Firefox, alle älteren Cipher als die folgenden zu sperren. Eventuell wäre so etwas in der Art auch im Enterprise Policy Generator als Empfehlung, Vorlage o.ä. sinnvoll.

Im Firefox alles andere sperren bis auf die folgenden Cipher:

Höchste Sicherheit: TLS 1.3 (AEAD, PFS integriert)

TLS_AES_128_GCM_SHA256 (Firefox 138+, Firefox ESR 128.10+)
TLS_AES_256_GCM_SHA384 (Firefox 138+, Firefox ESR 128.10+)
TLS_CHACHA20_POLY1305_SHA256 (Firefox 138+, Firefox ESR 128.10+)

Hohe Sicherheit: TLS 1.2 (ECDHE, AEAD, PFS):

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Zitat von Sören Hentzschel

Danke für den Vorschlag. Ich habe basierend darauf eine Gruppierung vorgenommen. Allerdings
...

So sieht das jetzt aus:

Das gefällt mir wirklich sehr gut.
Ich halte diese Gruppierung für wirklich hilfreich.
Besten Dank

@ Sören,

Wünsche bzgl. der nächsten Version des Enterprise Policy Generators.

Zu einem bestimmten Bereich hast du mir einmal freundliche Weise folgende Erklärung geschrieben:

Zitat

Speichern → Damit kann die auf der linken Seite vorgenommene Konfiguration gespeichert werden, sodass du diese zu einem beliebigen Zeitpunkt später erneut laden und ggf. anpassen kannst, ohne alles neu konfigurieren zu müssen.

Laden → Das Gegenstück zum Speichern. Alle gespeicherten Konfigurationen werden darüber aufgelistet und können geladen werden. Über den Dialog können gespeicherte Konfigurationen auch gelöscht oder exportiert werden. Der Export erlaubt es, die Konfiguration für den Enterprise Policy Generator auch auf anderen Geräten zu nutzen.

Hierbei wünsche ich mir eine wie auch immer geartete Erklärung, wie vlt. etwa folgende:

"Speichern" ersetzen durch: "Speichern im Enterprise Policy Generator" oder "Speichen Addon intern" oder "Speichern im EPG" o.ä.
"Laden" ersetzen durch: "Laden aus Enterprise Policy Generator" oder "Laden aus Addon" oder "Laden aus EPG" o.ä.

Zitat

Download [policies.json] → Nach der Konfiguration auf der linken Seite wird auf der rechten Seite der Button zur Generierung der Richtlinien gedrückt. Dann erscheint die Ausgabe für die Datei policies.json und unter anderem auch die Download-Option. Die macht nichts anderes, als den Inhalt, der darüber steht, als Datei policies.json abzuspeichern. Dann muss die Datei nur noch an den richtigen Ort kopiert werden. Wo dieser ist, wird zu Beginn der rechten Seite erklärt.

"Download policies.json"
Diesen Punkt kann ich so versehen. Würde ihn jedoch evtl. als "policies.json lokal speichern" verständlicher finden. Aber das ist vlt. nicht wichtig und auch eher nur eine Geschmacksfrage.

Zitat

Importieren [Import Konfiguration]→ Dort kann die Konfiguration, die zuvor exportiert worden ist, neu importiert werden. Nach dem Import steht die Konfiguration über den Dialog zum Laden von Konfigurationen zur Verfügung.

Bei diesem Punkt "Import Konfiguration" habe ich noch nie heraus bekommen, wie man damit etwas tun kann. Wenn man diesen Punkt aufruft, bekommt man ein Menü, wo man eine Datei "*.policy" auswählen könnte, wenn man eine solche hätte. Wenn ich unter Debian eine Suche über mein System laufen lasse, sieht es mir nicht so aus, als ob ich eine solche irgend wo hätte die etwas mit einem Firefox zu tun hat. Ich habe zwar ein paar solche Dateien, die jedoch vmtl. etwas mit Java zu tun zu haben scheinen.

Auch habe ich sonst keine sachdienlichen Hinweise gefunden, wo ich eine solche Datei herbekommen könnte. Meine Vermutung wäre, das ich hier eine policys.json Datei laden können sollte. Dies scheint jedoch nicht der Fall zu sein.