Tooprogram.ru

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Политика безопасности google

Настройка Google Chrome с помощью ADMX шаблонов групповых политик

В этой статье мы познакомимся с административными шаблонами групповых политик, предоставляемых компанией Google, которые позволяют централизованно управлять настройками браузера Chrome в домене Active Directory. Использование ADMX шаблонов GPO для Chrome существенно упрощает развертывание и использование этого браузера в корпоративной сети. Также рассмотрим несколько типовых задач настройки параметров браузера Google Chrome на компьютерах пользователей с помощью GPO .

Установка административных (ADMX) шаблонов административных политик для Chrome

Чтобы вы могли управлять параметрами Chrome через групповые политики, вы должны скачать и установить специальный набор административных шаблонов GPO для Google Chrome.

  1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 7 Мб);
  2. В архиве находятся 3 каталога:
    • chromeos (административные шаблоны для Chromium);
    • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
    • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).

После того, как вы установили административные шаблоны групповых политик для браузера Google Chrome, вы можете перейти к настройке параметров Chrome на компьютерах пользователей.

Данные административные шаблоны содержат порядка 300+ различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.

Настройка параметров Chrome через GPO

Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration) :

  • Google Chrome – пользователи (и даже локальный администратор) не могут изменить настройки Chrome на своем компьютере, заданные в этой секции GPO (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере);
  • Google Chrome — Настройки по умолчанию (пользователи могут менять) (Default Settings (users can override)) – рекомендуемые настройки браузера, которые пользователи могут изменить.

Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:

  • Сделать Chrome браузером по умолчанию Set Goggle Chrome as Default Browser;
  • Set disk cache directory — путь к диковому кэшу Chrome (как правило это “ $GoogleChromeUser Data ”);
  • Set disk cache size – размер кэша Chrome на диске (в байтах);
  • Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “ $GoogleChromeUser Data ”;
  • Managed Bookmarks – управление закладками браузера;
  • Отключение авто обновления Chrome: Allow Installation: Disable и Update Policy Override: Enable, в поле Policy указать Updates Disable;
  • Добавить сайты в список доверенных — Policies HTTP Authentication ->Authentication server whitelist;
  • Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication ->Kerberos Delegation Server Whitelist и Authentication Server Whitelist;
  • Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
  • Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile: Enabled;
  • Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows);
  • Изменим местоположение папки для загрузки: Set download directory: c:tempdownloads.

(Обратите внимание, что каталог $ соответствует папке в профиле пользователя % username%AppDataLocal , а $ — %username%AppDataRoaming ).

Настройка прокси сервера и домашней страницы в Google Chrome из GPO

Настроим прокси-сервер: нас интересует раздел политик Google Chrome -> Proxy Server :

  • адрес прокси сервера: ProxyServer — 192.168.1.123:8080
  • список исключений для прокси: ProxyBypassList — http://www.corp.ru,192.168.*, *.corp.ru

Установим домашнюю страницу: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URL– https://winitpro.ru/

Осталось назначить политику браузера Chrome на нужный контейнер (OU) Active Directory. Примените групповую политику к клиенту, выполнив на нем команду gpupdate
/force , вызвав удаленное обновление политики или перезагрузив компьютер.

Запустите Chrome на клиенте и убедитесь, что в его настройках применились параметры, заданные в GPO (в примере на скриншоте пользователь не может изменить назначенные администратором значения).

Если вы запретили пользователям менять определенные параметры Chrome, в окне настроек браузера появится сообщение “This settings is enforced by your administrator” (Некоторые параметры отключены администратором).

А на странице настроек отображается “Your browser is managed by your organization”.

Чтобы отобразить все настройки Google Chrome, которые заданы через GPO, перейдите в браузере по адресу Chrome://policy (здесь отображаются параметры, заданные через реестра или admx файлы шаблонов GPO).

Установка расширений Chrome через GPO

С помощью ADMX шаблонов вы можете установить определенные расширения (Extensions) Google Chrome у всех пользователей домена. Например, вы хотите автоматически установить расширение AdBlock всем пользователям. Откройте страницу настроек расширений chrome://extensions и установите нужно расширение.

Теперь нужно получить идентификатор расширения (ID) и URL, с которого производится обновление.

Идентификатор расширения Google Chrome можно найти в параметрах самого расширения в (должен быть включен режим разработчика – Developer mode).

По идентификатору нужно найти папку расширения в профиле пользователя C:Users%Username%AppDataLocal GoogleChromeUser DataDefaultExtensions<тут_id>.

В появившемся каталоге найдите и откройте файл manifest.json и скопируйте содержимое строки update_url. Скорее всего там будет https://clients2.google.com/service/update2/crx .

Теперь в консоли редактора GPO перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions. Включите политику Configure the list of force-installed extensions.

Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.

После применения политики на компьютерах пользователя все указанные расширения Chrome будут установлены в «тихом» режиме без взаимодействия с пользователем.

Управление доступом к данным

Мы реализовали эффективные и удобные средства управления конфиденциальностью данных в аккаунтах Google. Благодаря им каждый пользователь может выбирать подходящие ему настройки конфиденциальности и управлять тем, какую информацию мы собираем и как ее используем в своих сервисах.

Управляйте использованием ваших данных в сервисах Google

Управляйте данными в вашем аккаунте Google

В аккаунте Google вы можете проверять свои данные и изменять настройки конфиденциальности и безопасности. Мы создали простые и удобные инструменты, такие как «Панель инструментов» и «Мои действия», благодаря которым вы можете контролировать информацию о своих действиях в наших сервисах. А «Отслеживание действий» и «Настройки рекламных предпочтений» позволяют включать и выключать сбор и использование ваших данных.

Обновите настройки конфиденциальности всего за несколько минут

Укажите, какие данные может собирать Google, обновите общедоступную информацию профиля или сведения, которыми вы делитесь с друзьями, и выберите рекламные предпочтения. Вы можете изменить эти параметры в любое время и даже настроить регулярные напоминания о них.

Простые элементы управления позволяют указать, какие данные должны сохраняться

Мы собираем данные, чтобы улучшать свои сервисы, например предлагать вам более удобные маршруты на Google Картах и быстрее находить для вас полезную информацию. В настройках отслеживания действий вы можете запретить сбор информации с устройств, отключить передачу истории поиска, местоположений и других данных.

Контролируйте, какие данные хранятся в вашем аккаунте, в разделе «Мои действия»

В разделе «Мои действия» хранится история ваших поисковых запросов, просмотра страниц и контента в сервисах Google. Для вашего удобства мы добавили функции поиска по теме, дате и названию сервиса. Вы можете навсегда удалить из истории определенную информацию или даже выбранные разделы целиком.

Проверяйте свои данные в Личном кабинете Google и управляйте ими

Данные о сервисах Google, которыми вы пользуетесь, и вашу информацию в каждом из них можно посмотреть в специальном разделе аккаунта Google. Вы можете проверить, какие действия вы выполняли в наших сервисах за последний месяц, посмотреть статистику по вашим письмам, документам и фотографиям, а также получить справку по настройкам Gmail.

Экспорт данных из аккаунта

Вы всегда можете скачать фотографии, письма, контакты и даже закладки, хранящиеся в аккаунте Google. Эта функция пригодится, если вы не хотите потерять свои данные или собираетесь перенести их в другой сервис.

Данные можно скачивать из сервисов Google, таких как Google Фото, Диск, Календарь, Google Play Музыка и Gmail, в разных форматах или напрямую экспортировать их в Dropbox, Microsoft OneDrive, Box и другие сторонние приложения или сервисы.

Выбирайте, какие основные персональные данные будут доступны другим

Вы можете управлять своими персональными данными, такими как имя, адрес электронной почты, номер телефона и т. п. Это поможет другим пользователям находить вас в таких сервисах Google, как Hangouts, Gmail и Фото.

Выбирайте, какую информацию Google может использовать для персонализации рекламы

В настройках рекламных предпочтений легко контролировать, какие из ваших данных используются для персонализации рекламы. К таким данным относится информация, которую вы указали в своем аккаунте Google, сведения о ваших интересах, которые мы получили из истории посещений сайтов, и о взаимодействиях с рекламой наших партнеров.

Мы используем данные о ваших действиях для подбора рекламы, но вы можете это контролировать. Например, если вы смотрели на YouTube обзор недавнего матча или искали в Google Поиске ближайшие стадионы, мы сделаем вывод, что вы любитель футбола. А если нам известно, что вы посетили сайт нашего рекламного партнера, то мы можем показать вам рекламу, связанную с содержанием этого сайта.

Вы можете указать, какие именно из ваших данных мы можем использовать для персонализации рекламы (возраст, пол, предполагаемые интересы или предыдущие взаимодействия с рекламодателями), и посмотреть подробные сведения о том, почему учитывается та или иная информация. Вы также можете полностью отключить персонализацию. В этом случае реклама по-прежнему будет вам показываться, но она будет менее актуальной для вас.

Конфиденциальное посещение сайтов в режиме инкогнито

Представьте, что вы собираетесь купить в Интернете подарок близкому человеку и не хотите, чтобы он случайно узнал об этом из истории поиска. Откройте браузер Chrome и выполните поиск в режиме инкогнито. В результате информация о ваших поисковых запросах и посещенных сайтах не сохранится в результатах поиска.

Настройки безопасности Google

Может казаться, что корпорациям вроде Google не нужны личные данные простого россиянина. Однако инцидент с вызовом Марка Цукерберга в суд показал, что объем собираемой информации колоссален, и может напрямую повлиять на жизнь пользователя. Благо настройки безопасности Гугл позволяют защитить свою конфиденциальность.

Степень интеграции платформы Google в жизнь пользователей огромна. Поисковики и браузеры, почта, мобильные ОС, соцсети, рекламные площадки… Каждый, кто использует интернет и мобильные телефоны так или иначе передает личную информацию на сервера компании.

Зачем компании собирают личные данные

Главная причина – реклама.

Рынок интернет-рекламы растет с каждым годом – по результатам первых девяти месяцев 2018 года он составил более 140 млрд руб в России.

Если раньше сбор интересующей пользователя информации происходил лишь на основе его поисковых запросов, сегодня для этого используются все средства: анализ электронных писем, местонахождения, сообщений в мессенджерах, соцсетях и т.д.

Какие данные собирает Хром

Хром от Google по умолчанию передает много личной информации. При этом в браузере Google есть возможность расширенной настройки безопасности, для запрета отслеживания данных, о чем мало кто догадывается.

Политика конфиденциальности Гугл предусматривает сбор следующей информации пользователя:

  • Местонахождение;
  • Тип устройства;
  • Ip-адрес;
  • Запросы в поисковиках;
  • История посещений сайтов;
  • Взаимодействие с рекламой;
  • Просмотр видео;
  • Cookies.

Если у пользователя есть аккаунт Google, то дополнительно анализируется:

  • Сообщения в Gmail;
  • Email адреса и контакты;
  • Календарь;
  • Файлы на Google диске;
  • Личные данные: Имя; пол; дата рождения; номер телефона; страна проживания; адрес проживания.

  1. Зайти в аккаунт в хроме;
  2. Открыть настройки браузера;
  3. Нажать «Перейти в настройки аккаунта»;
  4. В разделе данные и персонализация отключить сохранение действий в интернете для каждого пункта;
  5. В том же разделе нажать «изменить настройки конфиденциальности (иконка синего щита);
  6. В каждом из пунктов выключить отслеживание:
    • GooglePhoto;
    • Гугл+;
    • Отключить персонализацию рекламы.

  • Ручная настройка каждого браузера, то есть, вам нужно обойти каждый компьютер и собственноручно задать все требуемые настройки, что займет у вас немало времени;
  • Создать элементы предпочтения системного реестра предпочтений групповой политики. Этот вариант существенно упрощает вам работу, так как все настройки будут заданы на контроллере домена в виде объекта групповой политики. Здесь есть лишь один недостаток, вы должны знать все разделы и параметры реестра, которые имеют отношение к работе данного браузера;
  • Воспользоваться административными шаблонами, предоставляемыми компанией Google. Этот способ является наиболее удобным, так как при помощи административного шаблона вы можете менять нужные вам настройки, не задумываясь о местоположении того или иного параметра в системном реестре.

В этой статье мы с вами рассмотрим метод выполнения централизованной настройки веб-браузера Google Chrome при помощи административных шаблонов, предоставляемых компанией Google.

Настройка браузера средствами GPO

Настройку браузера средствами групповой политики можно разделить на несколько этапов, а именно: создание объекта групповой политики, загрузка и размещение административного шаблона, настройка параметров политики импортированного административного шаблона, а также распространение созданного вами объекта групповой политики вашим пользователям. Для того чтобы выполнить все указанные выше действия, следуйте следующим инструкциям:

  1. Откройте оснастку «Управление групповой политикой». В отобразившейся оснастке, в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO «Google Chrome»;
  2. Так как в сети вашей организации может быть (даже должно быть) несколько контроллеров домена, настраиваемые административные шаблоны должны быть расположены в центральном хранилище, то есть в отдельной папке, размещенной в %SYSVOL%, которая будет содержать все требуемые файлы ADMX и ADML. После того как будет настроено центральное хранилище, при открытии оснастки «Редактор управления групповыми политиками» будут загружаться все административные шаблоны не из хранилища локального компьютера, а именно из центрального хранилища.

На контроллере домена создайте корневую папку для центрального хранилища – «%SystemRoot%sysvoldomainpoliciesPolicyDefinitions». После этого в папке «PolicyDefinitions» создайте подпапку для каждого дополнительного языка, который будет использоваться при распространении групповой политики. Например, файлы языковых ресурсов ADML для русского языка изначально находятся в папке «%SystemRoot%PolicyDefinitionsru-RU». Соответственно, папку с таким же названием вам нужно создать в центральном хранилище.

Следующим шагом будет копирование файлов административных шаблонов из хранилища локального компьютера в центральное хранилище. Для этого откройте командную строку и выполните следующую команду:

В данном случае, эта команда будет выглядеть следующим образом:

После этого выполните следующую команду для копирования файлов языковых ресурсов. В моем случае, это будут команды:

Откройте браузер, перейдите на страницу http://www.chromium.org/administrators/policy-templates и загрузите архив с административными шаблонами. После того как загрузка будет завершена, распакуйте архив и поместите содержимое папки «admx» в папку с административными шаблонами на контроллере домена, а именно в папку центрального хранилища «%SystemRoot%sysvoldomainpoliciesPolicyDefinitions». Центральное хранилище с административным шаблоном для Google Chrome показано ниже:

Рис. 1. Папка центрального хранилища

  • В оснастке «Управление групповой политикой» выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню выберите команду «Изменить»;
  • В оснастке «Редактор управления групповыми политиками», в дереве консоли разверните узел Конфигурация пользователяПолитикиАдминистративные шаблоныGoogle и выберите узел «Google Chrome». Здесь, в 10 дочерних узлах, вы можете найти все параметры политики, которые имеют отношение к данному браузеру. Собственно, значения параметров этих политик мы и будем изменять:

    Рис. 2. Узел «Google Chrome» редактора управления групповыми политиками

    Прежде всего, зададим принудительное отображение кнопки «Главная» на панели инструментов браузера. Для этого откройте параметр политики «Отображать кнопку «Главная страница» на панели инструментов» и установите переключатель на опцию «Включить», как показано на следующей иллюстрации:

    Рис. 3. Отображение кнопки «Главная страница» на панели инструментов браузера

  • Теперь установим папку по умолчанию для загрузок, отключим режим инкогнито, включим функцию живого поиска, автозаполнение, печать, а также укажем принудительное удаление данных сайта при закрытии браузера. Для указания всех этих настроек используются шесть параметров политики:
    • Откройте параметр политики «Включить режим инкогнито» и установите переключатель на опцию «Отключить»;
    • Затем откройте параметр политики «Включить живой поиск» и в отобразившемся диалоговом окне установите переключатель на опцию «Включить»;
    • Перейдите к диалоговому окну свойств параметра политики «Включить автозаполнение» и установите переключатель на опцию «Включить»;
    • Откройте диалоговое окно свойств параметра политики «Включить печать» и также установите переключатель на опцию «Включить»;
    • Перейдите к параметру политики «Удалять данные сайта при закрытии браузера» и в диалоговом окне свойств параметра установите переключатель на опцию «Включить»;
    • Откройте диалоговое окно свойств параметра политики «Выбор каталога для загрузки» и укажите какую-то папку, отличную от папки, заданной браузером по умолчанию. Например, папку «%UserProfile%DownloadsChrome»:

    Рис. 4. Установка папки для загрузки по умолчанию

  • Далее следует настроить начальную страницу, главную страницу, а также отключить диспетчер паролей. Для этого измените значения следующих параметров политик:
    • Перейдите в узел «Диспетчер паролей» и откройте диалоговое окно свойств параметра политики «Включить диспетчер паролей». В отобразившемся диалоговом окне установите переключатель на опцию «Отключить»;
    • Перейдите в узел «Главная страница» и в диалоговом окне свойств параметра политики «Настройка URL домашней страницы» установите переключатель на опцию «Включить». В соответствующем текстовом поле введите URL-адрес, например, http://sales.biopharmaceutic.com, как показано ниже:

      Рис. 5. Настройка URL-адреса главной страницы

      Перейдите в узел «Начальные страницы» и откройте диалоговое окно свойств параметра политики «URL, открывающиеся при запуске». Здесь, установите переключатель на опцию «Включить» и для указания адресов нажмите на кнопку «Показать». В отобразившемся диалоговом окне «Вывод содержания» введите несколько URL-адресов. Например, как показано на следующей иллюстрации:

      Рис. 6. Добавление URL-адресов, открывающихся при запуске браузера

      В этом же узле откройте диалоговое окно свойств параметра политики «Действие при запуске», установите переключатель на опцию «Включить» и из раскрывающегося списка «Действие при запуске» выберите команду «Открыть список URL», как показано ниже:

      Рис. 7. Выбор действия при запуске браузера

  • Теперь следует привязать объект GPO к подразделению, содержащему учетные записи пользователей из отдела продаж. Закройте оснастку «Редактор управления групповой политики» и свяжите созданный объект групповой политики. Для этого, в дереве консоли оснастки «Управление групповой политикой» выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК». Разверните контейнер «Продажи» и выберите связанный объект групповой политики. Перейдите на вкладку «Таблица» и так как в текущем объекте групповой политики настраивались только те параметры, которые расположены в узле «Конфигурация компьютера», из раскрывающегося списка «Состояние GPO» выберите команду «Параметры конфигурации компьютера отключены». В диалоговом окне с предупреждением нажмите на кнопку «ОК». На вкладке «Область», в группе «Фильтры безопасности» удалите группу прошедшие проверку и добавьте к фильтру безопасности группу «Продажи».
  • Проверим, применились ли настроенные параметры. Выполните вход на компьютер с установленным браузером Google Chrome под учетной записью пользователя Михаил Талогаев, учетная запись которого расположена в подразделении «Продажи», а также является членом глобальной группы безопасности «Продажи». При открытии браузера сразу открылись 3 вкладки с указанными в одном из параметров групповой политики сайтами. Также сразу можно заметить, что на панели инструментов появилась кнопка «Главная страница». Открыв параметры браузера, сразу в глаза бросается строка с текстом «Некоторые параметры отключены администратором» и заметно, что для некоторых параметров установлены значения, указанные в объекте GPO. Окно браузера отображено на следующей иллюстрации:

    Рис. 8. Окно браузера Google Chrome

    Заключение

    В этой статье было рассказано об осуществлении централизованной настройки браузера Google Chrome средствами групповой политики. Вы узнали о том, как можно создать центральное хранилище административных шаблонов в домене Active Directory, а также был подробно описан процесс настройки параметров браузера Google Chrome при помощи предустановленного административного шаблона, который предоставляет Google.

    Читать еще:  Как снять защиту с книги
    Ссылка на основную публикацию
    Adblock
    detector