Group Policy – Google Chrome

A) Giới thiệu

Chrome là một trong các trình duyệt được nhiều người sử dụng để lướt web. Nếu các máy tính trong công ty của bạn có sử dụng Chrome, bạn cần phải đưa ra một số chính sách để quản lý nó một cách bảo mật và an toàn khi người dùng sử dụng trình duyệt này.

Chrome Policies là một template do Google đưa ra, hỗ trợ cấu hình và quản lý Chrome trong môi trường domain. Chrome Policies là một file dạng ADM và ADMX chứa các Settings cho bạn cấu hình. Người quản trị chỉ cần tải về và add vào Group Policy là có thể sử dụng được.

Bao gồm 132 chính sách từ cơ bản tới nâng cao.

B) Triển khai

Mô hình :

• Bài lab bao gồm cấu hình policy cho phép tự động cài đặt Chrome và các Settings trong hình trên
• Máy Client : đặt IP, join domain
• Máy AD : nâng cấp domain, triển khai policy tự động cài Chrome và các policy cấu hình Chrome.

Tải về :

• Google Chrome installer (.msi) : link
• Google Update Policies : link
• Chrome Policies : link

Thực hiện :

 

1. Sau khi join domain cho máy Client, ta vào Active Directory Users and Computers (ADUC) để tạo một user tên là “nhanvien1”

 

 

 

• Khai báo username

2. Vào Group Policy và tạo một chính sách cho domain huypd.com

• Đặt tên cho Policy

3. Cấu hình Software Installation cho phép cài đặt Google Chrome

• Bạn tạo thư mục Software và copy file google chrome .msi vào thư mục này –> Chuột phải chọn Properties để tiến hành Share thư mục

• Thực hiện Share với quyền Full Control

• Sao đó ta vào Policy để cấu hình Software Installation –> User Configuration –> Software Settings –> Software Installation

• Khi báo đường dẫn thư mục software bằng đường dẫn mạng “\\172.1.1.1\Software”

• Chọn Advanced để cấu hình nâng cao

• Chọn Assigned –> chọn dấu “Install this application at logon” và “ Uninstall this application when it falls….” để khi người dùng login vào máy tính sẽ tự động cài Chrome và sẽ tự động xóa khi bạn gỡ chính sách này ra khỏi GPO

 

4. Thêm mẫu template Google Update và Chrome Policies vừa tải về vào chính sách.

• Vào Computer Configuration –> Policies –> Administrative Template –> Chuột phải chọn Add/Remove Templates.

• Thực hiện khai báo đến template có đuôi .adm vừa tải về

 

• Lúc này sau khi add vào bạn vào đường dẫn sau để kiểm tra “Computer Configuration –> Policies –> Administrative Templates –> Classic Administrative Template –> Google “ ,lúc này có 3 thư mục để bạn cấu hình

5. Thực hiện cấu hình policy

• Ở thư mục “Google Update –> Preferences” là nơi cấu hình thời gian tự động kiểm tra phiên bản Google Chrome và update phiên bản mới theo định kỳ (mặc định là 1400phút)

• Google Update –> Applications –> Thư mục này cho phép Enable/Disable một số ứng dụng mà Google

• Thư mục “Google –> Google Chrome” là nơi cấu hình các Settings của Chrome

Sau đây là mô tả các chính sách trong bài lab :

• Enable Autofill : tính năng cho phép tự động điền vào các form thông tin nhờ vào thông tin trước đó mà người dùng khai báo (chẳng hạn : username, email address, credit card, address).
• Enable bookmark bar : cấu hình cho phép hiển thị thanh bookmark bar.
• Enable Safe browsing : bật tính năng Google Safe Browsing, là một dịch vụ cho phép nhận dạng các nội dung chứa malware hoặc nội dung lừa đảo (Phishing).
• Set Chrome as Default Browser : cấu hình cho phép Chrome trở thành trình duyệt mặc định trong hệ thống.
• Force Safe Search : Safe Search là tính năng lọc các nội dung người lớn (adult content) khi người dùng search.
• Show home button on toolbar : hiển thị nút Home trên trình duyệt.
• Incognito mode availability : incognito là tính năng cho phép người dùng duyệt web một cách riêng tư, thường thì tính năng này rất nguy hiểm do nó qua mặt được hệ thống, thường chính sách này được disable.
• Block third party cookies : chính sách cho phép tắt việc lưu trữ các thông tin trong cookies sang một domain khác.
• Disable Saving browser history  : xóa lịch sử duyệt web.
• Allow sign in to chrome : cho phép/từ chối việc người dùng sử dụng gmail của mình để đăng nhập Chrome. Gmail của người dùng thường chứa các thông tin, bookmark và history.
• Block access to a list of URLs : là chính sách cho phép bạn khai báo ngăn chặn các website (thường các website lừa đảo, malware, nội dung xấu). Khai báo bằng cách nhập tên website vào (VD: tuoitre.vn, vnexpress.net).
• Configure the home page URL : chính sách này nằm trong thư mục “Home Page”, cấu hình trang web mặc định cho nút Home.
• Action on startup : có 3 hành động “Open a list of URLs”, “Open New Tab Page”, “Restore the last session”, chính sách này cho phép hành động khi khởi động Chrome. Nếu bạn cấu hình “Open a list of URLs” thì hãy thực hiện chính sách phía dưới.
• URLs to open on startup : khai báo website sẽ mở khi khởi động Chrome. “Vd : huypd.wordpress.com”.
• Continue running background apps when Google Chrome is closed : cho phép/ ngăn chặn những ứng dụng của Chrome như Toolbar, Extensions khi bạn tắt Google Chrome. Thường thì chọn Disable cho chính sách này.
• Configure the list of force-installed extensions : chính sách này nằm trong thư mục “Extensions”. Chính sách cho phép bắt buộc cài một số extensions cho Google Chrome.

Sau này là hướng dẫn cấu hình cho chính sách “Configure the list of force-installed extensions”

• Vào đường dẫn “Google –> Google Chrome –> Extensions”. Click vào chính sách và chọn Enable –> Show

Công thức :  [Extension IDs];https://clients2.google.com/service/update2/crx 

• Để lấy được số Extension IDs, bạn vào website tải Extensions của Google Chrome tại đây. Sau đó bạn search hoặc lựa một Extension, tiếp theo click vào extension đó thì sẽ hiện ra web như bên dưới. Nhìn vào đường dẫn trang web, bạn sẽ xác định số Extension ID bắt đầu từ dấu “/” và kết thúc ở dấu “?”

6. Cập nhật chính sách và qua máy client kiểm tra chính sách

• Máy AD và Client đều thực hiện chính sách “gpupdate /force”

• Đăng nhập user nhanvien1 trên máy Client và test

• Không cho phép chạy Incognito cũng như website mặc định khi startup

• Extension cũng được cài đặt và mặc định không cho phép người dùng tác động vào

 

Ngoài ra còn rất nhiều chính sách khác trong Google Chrome Policy.