本文详细介绍了如何通过组策略实现Google Chrome的白名单配置,以限制访问特定域名,并禁用IE浏览器和其他软件安装。主要内容包括:设置Chrome为默认浏览器,配置磁盘缓存,禁用自动更新,创建站点白名单,配置代理服务器,以及利用AppLocker禁止软件安装。同时,文中还探讨了禁用IE的多种方法,以及防止系统异常的风险评估。
一、背景
应客户需求工单,对特定域名需进行白名单配置,且主要针对chrome浏览器,除白名单外所有网址禁止访问;域名类似如下:
*.telexpress.com
*.wubidz.cn
*.dazima.cn
*.pampers.com.cn
*.olay.com.cn
二、需求分析
1)上述白名单域名并没有对应明确的IP地址;而生产环境对网络限制主要通过外部NSX-edge逻辑防火墙;而其是根据IP地址和协议端口来进行规则匹配的;因此,无法再NSX-edge侧进行需求实现;
2)利用chrome admx或adm模板进行域名控制,但这种情况只能限制google浏览器本身,实际验证用户仍可使用其他浏览器正常访问网络;
3)在上述基础上,需禁用IE浏览器,通过域策略配置–安全里–软件使用限制,可禁用IE;实际验证用户配置中配置代理,server2016针对IE10实际效果无效。
4)IE禁用后,用户还可以使用其他浏览器安装;域策略里禁用常用浏览器程序,通过域策略—系统—禁止软件运行;但实际效果不佳,因此,该方法未效。
5)基于以上考虑,禁用用户安装软件,但生产环境中域用户都具备本地管理员权限,因此,限制domain users效果不佳,通过域策略—计算机配置—安全–应用程序控制–限制软件执行或安装,实际验证效果不佳;注:具备power users组权限的用户就具备安装软件的权利,也可考虑限制该权限。限制everyone用户强制执行有风险,实际验证会导致用户终端和ad中系统程序无法执行,导致系统黑屏无法正常加载启动。
6)综上:chrome限制域名不能访问百度,禁用下载,设置为默认浏览器,IE禁用;其他软件不安装,用户无法通过网络进行软件下载安装,从而实现需求;
遗留问题:用户仍可通过文件夹重定向和USB传入浏览器安装包,进行正常网络访问。
三、需求实现落地过程
1)Google Chrome组策略的ADM / ADMX模板:
http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip或
https://download.csdn.net/download/ximenjianxue/18650496
同一目录中有一个chrome.reg文件。它包含可以
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
