Еще раз о безопасности веб-браузера (часть 5)

Опубликовано: 7 Апреля, 2023

  • Еще раз о безопасности веб-браузера (часть 2)
  • Еще раз о безопасности веб-браузера (часть 3)
  • Еще раз о безопасности веб-браузера (часть 4)
  • Еще раз о безопасности веб-браузера (часть 7)

Введение

В части 1 этой серии мы обсудили важность безопасности веб-браузера и некоторые проблемы, связанные с безопасностью, которые являются общими для всех или многих популярных сегодня браузеров. Во второй части мы говорили о некоторых конкретных механизмах безопасности, встроенных в Internet Explorer, и о том, как они реализованы. В части 3 мы рассмотрели, как настроить IE для обеспечения максимальной безопасности. В части 4 мы рассмотрели, как сделать то же самое с Google Chrome. На этот раз мы рассмотрим специальные функции, которые Google предоставляет корпоративным администраторам в своем Chrome для бизнеса.

Google Chrome для бизнеса

Chrome для бизнеса можно развернуть на всех трех популярных клиентских операционных системах: Windows, Linux или Mac. Google предоставляет загружаемый файл MSI, который можно использовать для автономной установки. Вы можете загрузить его с веб-сайта Google.

MSI можно развернуть с помощью System Center Configuration Manager (SCCM) или других средств автоматического развертывания, или его можно создать с помощью сценария с помощью команды:

Обратите внимание, что на корпоративных компьютерах (в домене), даже если Chrome уже установлен пользователем, браузер все равно будет придерживаться политик.

Chrome для бизнеса в Windows

В сети на базе Windows Server вы можете использовать групповую политику для управления настройками Chrome, такими как установка общей домашней страницы для всех пользователей, отключение автоматических обновлений, принудительное использование настроек специальных возможностей, включение обхода брандмауэра для удаленного доступа, управление файлами cookie, плагинами. и настройки JavaScript, блокировка изображений и многое другое.

Параметры групповой политики, связанные с безопасностью

Некоторые из наиболее важных параметров групповой политики для тех, кто занимается безопасностью, включают следующее:

  • RemoteAccessHostFirewallTraversal — это значение REG_DWORD, с помощью которого вы можете разрешить удаленным клиентам обнаруживать и подключаться к компьютеру, если они разделены брандмауэром. Если вы хотите, чтобы компьютер разрешал подключения только от клиентов в локальной сети, вам необходимо отключить эту политику. Он включен по умолчанию.
  • RemoteAccessHostDomain — это значение REG_SZ, с помощью которого вы можете настроить требуемое доменное имя хоста для хостов удаленного доступа. Включение этого параметра ограничивает совместное использование узлов учетными записями, зарегистрированными в этом домене, и пользователи не могут изменить имя домена узла. По умолчанию любая учетная запись может использоваться для совместного использования хостов.
  • RemoteAccessHostRequireTwoFactor — это значение REG_DWORD, с помощью которого вы можете потребовать, чтобы пользователи предоставили код двухфакторной аутентификации для доступа к удаленному хост-компьютеру. По умолчанию для аутентификации на узлах удаленного доступа используется определяемый пользователем персональный идентификационный номер (ПИН-код).
  • RemoteAccessHostRequireCurtain — это значение REG_DWORD, с помощью которого вы можете отключить физические устройства ввода/вывода главного компьютера во время удаленных подключений. По умолчанию локальные и удаленные пользователи могут взаимодействовать с общим хостом.

Существует также ряд настроек, которые позволяют указать, как Chrome будет обрабатывать различные типы контента. Это включает:

  • Настройка файлов cookie по умолчанию
  • DefaultImagesSetting
  • Настройка плагинов по умолчанию
  • DefaultPopupsSetting
  • Настройка геолокации по умолчанию
  • Настройка JavaScript по умолчанию

Последнее особенно важно, поскольку разрешение запуска JavaScript может представлять угрозу безопасности. Функция песочницы Chrome улучшит это, но вы можете запретить веб-сайтам запускать JavaScript, установив значение этой политики на «2». По умолчанию JavaScript разрешен, и пользователи могут изменить настройки в графическом интерфейсе.

В дополнение к параметрам по умолчанию существуют политики, с помощью которых можно точно настроить параметры. Например, с помощью политик CookiesAllowedForUrls и CookiesBlockedForUrls вы можете определить определенные URL-адреса для сайтов, которым вы хотите разрешить установку файлов cookie, или тех, которым вы хотите запретить установку файлов cookie. Вы можете сделать то же самое для отображения изображений на веб-сайтах, разрешив JavaScript для определенных сайтов и т. д.

Политику ExtensionInstallBlacklist можно использовать для указания расширений браузера Chrome, которые пользователям не будет разрешено устанавливать, а если расширения из списка уже установлены на компьютере, они будут удалены. Вы можете пойти еще дальше и использовать значение «*», чтобы добавить в черный список все расширения, за исключением тех, которые вы специально внесли в белый список. Как вы могли догадаться, существует также политика ExtensionInstallWhitelist, в которой вы можете указать разрешенные расширения. Вы даже можете принудительно установить определенные расширения с помощью политики ExtensionInstallForcelist.

Еще один полезный набор политик позволяет администраторам создавать контролируемых (управляемых) пользователей. Эта возможность включена по умолчанию на потребительских устройствах, но отключена на корпоративных устройствах (однако ее можно включить с помощью политики SupervisedUsersEnabled ).

Вы также можете контролировать, могут ли пользователи показывать сохраненные пароли в виде обычного текста. Это опция в браузере Chrome, которая вызвала споры. Когда пользователь переходит в Настройки | Показать дополнительные настройки | Пароли и формы | Управляйте сохраненными паролями, Chrome перечисляет сохраненные пароли, и пользователь может нажать кнопку «Показать», чтобы отобразить конкретный пароль в виде простого текста. Очевидно, что это может представлять угрозу безопасности, поскольку неавторизованный пользователь может сесть за разблокированный компьютер и просмотреть пароли. Параметры групповой политики диспетчера паролей можно использовать, чтобы запретить пользователям отображать пароли с помощью политики PasswordManagerAllowShowPasswords или даже полностью запретить им сохранять пароли с помощью политики PasswordManagerEnabled.

Как уже отмечалось, существует множество других параметров Chrome, которые можно настроить с помощью групповой политики. Вы можете найти полный список с подробной информацией о том, как настроить каждый здесь.

Вы можете установить обязательные или рекомендуемые политики. Обязательные настройки находятся в разделе реестра HKEY_LOCAL_MACHINE, а рекомендуемые настройки — в разделе реестра HKEY_LOCAL_USER.

Административные шаблоны

Шаблоны ADM и ADMX доступны для загрузки с сайта Google. Вы можете скачать их в ZIP-файле здесь.

Процедура импорта шаблонов зависит от того, используете ли вы версии ADM или ADMX. Чтобы импортировать шаблоны ADM:

  1. Перейти к началу | Запустите и введите gpedit.msc, чтобы открыть консоль редактора групповой политики.
  2. На левой панели перейдите в раздел Политика локального компьютера | Конфигурация компьютера | Административные шаблоны и щелкните правой кнопкой мыши
  3. Выберите «Добавить/удалить шаблоны».
  4. В мастере добавьте chrome.adm
  5. В Политике локального компьютера должна появиться папка Google/Chrome | Конфигурация компьютера | Папка административных шаблонов

Чтобы импортировать шаблоны ADMX:

  1. Скопируйте файл chrome.admx в следующую папку: %SystemRoot%PolicyDefinitions.
  2. Скопируйте соответствующие языковые папки (например, en-US) в ту же папку.
  3. Папка Google/Chrome должна появиться в Политике локального компьютера | Конфигурация компьютера | Папка административных шаблонов

Chrome для бизнеса на Linux и Mac

Чтобы развернуть Chrome (или Chromium) в Linux, вы можете настроить два типа политик. Те, что находятся в каталоге /etc/opt/chrome/policies/managed, будут обязательными для пользователей. Те, что находятся в каталоге /etc/opt/chrome/policies/recommended, будут доступны и рекомендованы, но не обязательны. Вам нужно будет установить разрешения для файлов, чтобы пользователи не могли перезаписать ваши политики. Вы можете использовать те же политики, что и показанные выше, в списке групповых политик, доступных для Windows. Имена файлов имеют расширение.JSON.

Чтобы развернуть Chrome или Chromium в сети Macintosh, вам необходимо установить инструменты администрирования сервера для вашей версии OS X, а затем подключиться к машине в диспетчере рабочих групп с учетной записью администратора. Выберите пользователя, нажмите Настройки | Подробности и проверьте, включен ли Chrome в список приложений, которыми вы можете управлять. Если нет, вам нужно добавить его в список. Чтобы добавить новую политику, нажмите «Новый ключ», затем «Новый элемент» и выберите нужное значение для политики.

Общие сведения о политиках и параметрах политики

Чтобы узнать, какие политики Chrome были включены и применены к машине, откройте браузер Chrome и введите chrome://policy в адресной строке. Политики, применяемые в настоящее время, будут перечислены.

Обратите внимание, что вы можете устанавливать политики как для устройств, так и для пользователей. Те, которые установлены для текущего пользователя, будут говорить либо «Устройство», либо «Машина» (в зависимости от того, используете ли вы Chrome на устройстве Chrome или на компьютере с Windows, Linux или Mac. Те, которые установлены для пользователей, будут говорить «Применяется кому: Текущий пользователь».

Политики компьютера имеют приоритет над другими типами политик и применяются ко всем пользователям компьютера или устройства. Политики пользователей применяются к определенным пользователям, когда пользователь входит в систему на компьютере (Windows и Mac), и имеют приоритет над политиками профилей. Политики профиля Chrome устанавливаются администраторами через консоль администратора (а не через объект групповой политики). Их также называют облачными политиками пользователей. Если политики на разных уровнях конфликтуют, вступает в силу политика «более высокого уровня».

Резюме

Google Chrome для бизнеса позволяет вам управлять настройками браузера Chrome с помощью групповой политики так же, как вы можете управлять настройками Internet Explorer. Это упрощает развертывание и управление Chrome в корпоративной среде. В части 6 мы рассмотрим, как лучше всего настроить Mozilla Firefox, Apple Safari и Opera для максимально безопасного просмотра.

  • Еще раз о безопасности веб-браузера (часть 2)
  • Еще раз о безопасности веб-браузера (часть 3)
  • Еще раз о безопасности веб-браузера (часть 4)
  • Еще раз о безопасности веб-браузера (часть 7)