Управление Google Chrome через групповые политики (GPO)

Обновлено 17.12.2019

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. В прошлой статье мы с вами устранили проблему со звуком в Windows 10. Сегодня я хочу вас научить массовому управлению и настройке браузера Google Chrome в домене Active Directory с помощью групповых политик GPO. Благодаря этому вы будите экономить время на рядовую настройку, но и сможете подбирать индивидуальные конфигурации под каждый отдел или пользователя.

Постановка задачи

Так как у вас есть развернутая инфраструктура Active Directory на базе Windows Server 2019 или по ниже, то у вас есть возможность централизованного управления компьютерами с помощью групповых политик. На текущий момент исходя из статистики браузеров, Google Chrome является самым популярным во всем мире и в большинстве организаций он установлен браузером по умолчанию. Вы как системный администратор просто обязаны уметь его администрировать под разные ситуации выдвигаемые бизнесом, и благо что это возможно сделать из привычного вам инструмента.

Ниже мы с вами научимся:

1. Скачивать и устанавливать шаблон групповых политик (ADMX) для Google Chrome
2. Создавать политику управления Google Chrome
3. Применять политику управления Google Chrome

Загрузка шаблона политики Google Chrome

После того, как браузер Chrome установлен на корпоративных компьютерах ваших пользователей, вы можете использовать предпочитаемые локальные инструменты для применения политик на этих устройствах. Используя групповую политику Windows или предпочитаемый инструмент конфигурации для Mac или Linux. Чтобы помочь с настройкой политики, Google предоставляет ADMX шаблоны, которые вы можете легко установить и обновить. ADMX шаблон - это по сути набор правил, которые могут изменять настройки реестра на компьютерах

Вы можете установить политики на уровне устройства, которые будут применяться независимо от того, используют ли пользователи браузер Chrome или входят в какую-либо учетную запись. Вы можете установить политики уровня пользователя, которые применяются при входе определенных пользователей на устройство. Вы можете применять политики, которые пользователи не могут изменять.

Первое, что вы должны сделать, это загрузить шаблон ADM и ADMX. Скачать архив вы можете по официальной ссылке:

На выходе у вас будет zip архив, который вы должны распаковать. Внутри архива будет три папки:

• chromeos - шаблоны для управления операционной системой chromeos
• common - В данной папке будут файлы с описаниями всех настроек
• windows - сами шаблоны ADM и ADMX для управления Google Chrome в Active Directory

Файлы chrome_policy_atomic_groups_list и chrome_policy_list покажут вам полное содержимое.

Вот пример содержимого:

Еще хочу обратить внимание на то, что в папке policy_templates\windows\examples есть файл chrome.reg. В chrome.reg содержится пример для настройки реестра, вы его можете импортировать, как и с локального компьютера, так и через групповые политики.

Импортирование административного шаблона Google Chrome

Далее если вы планируете использование шаблона Google Chrome в Active Directory, то вы должны импортировать файлы ADM и ADMX в ваше хранилище административных шаблонов GPO, которое должны создать заранее, в противном случаем вам придется использовать папку C:\Windows\PolicyDefinitions на каждом компьютере, согласитесь, что это не самый умный вариант, бегать по всем и копировать туда политику, еще я покажу про локальное импортирование через оснастку GPMC.

Напоминаю, что в централизованном хранилище есть папка:

Далее вы берете и копируете в нее папки из:

• • policy_templates\windows\admx папки en-US, ru-RU,файлы chrome.admx и google.admx

• C:\policy_templates\windows\adm папки en-US, ru-RU

В результате этой манипуляции у вас должны появиться шаблоны управления Google Chrome.

Если у вас нет централизованного хранилища групповых политик, то вы можете сделать импортирование шаблонов. Откройте оснастку "Управление групповой политикой", сделать это лучше всего через вызов окна "Выполнить" ведя в нем gpmc.msc.

Далее нам необходимо создать новую групповую политику, для этого выберите нужное подразделение в вашей иерархии Active Directory, кликните по OU правым кликом и выберите пункт "Создать объект групповой политики в этом домене и связать его".

Задаем ее именование, в моем примере это будет "Управление политиками Chrome", у вас будет исходя из ваших стандартов.

Переходим к редактированию созданной политики.

Напоминаю, что политики можно применять на пользователя и на компьютер, но это не принципиально куда вы их будите импортировать. Откройте:

Щелкаем по ним правым кликом и выбираем пункт "Добавление и удаление шаблонов", это и есть импорт административных шаблонов.

У вас откроется окно "Добавление и удаление шаблонов", через кнопку "Добавить" выберите ваш ADM шаблон. Я выбрал русскую версию.

Далее у вас в списке появится ваш шаблон. Обращаю внимание, что в рамках одного объекта GPO вы без перезаписи не сможете подгрузить два ADM шаблона.

Обратите внимание, что у вас в административных шаблонах появился раздел "Классические административные шаблоны (ADM)" и под папка Google. В этой папке будет два вида настроек:

• Google Chrome - которые конечный пользователь не сможет изменить
• Google Chrome - Настройки по умолчанию (пользователи могут менять). Это можно сравнить с рекомендательными настройками.

На этом импорт административного шаблона по настройке и управлению браузером Google Chrome через средства групповых политик, можно считать завершенным.

Настройка политики по управлению параметрами Chrome через GPO

Тестировать я все политики буду на тестовой виртуальной машине с Windows 10. На данной тестовой системе есть браузер Google Chrome версия 79.0.3945.79 (Официальная сборка), (64 бит), на нем мы и будем производить эксперименты.

Раздел Google Cast

Google Cast - это собственный протокол, разработанный Google, который позволяет мобильным устройствам и персональным компьютерам запускать и контролировать воспроизведение потокового аудио/видео на совместимом устройстве, например цифровой мультимедийный проигрыватель подключенный к телевизору высокой четкости или домашней аудио системе.

• Включить Google Cast - Если выбрано значение "Включено" или правило не задано, пользователи смогут запускать Google Cast из меню приложения и контекстных меню страницы, а также с помощью элементов управления на сайтах с поддержкой Cast или через значок Cast на панели инструментов (если он есть). Если выбрать значение "Отключено", функция Google Cast будет отключена.

• Показывать значок Google Cast - Если выбрано значение "Включено", значок Google Cast будет виден на панели инструментов или в дополнительном меню и пользователи не смогут удалить этот значок. Если выбрано значение "Отключено" или политика не задана, пользователи смогут закрепить или удалить значок через его контекстное меню. Если для политики EnableMediaRouter выбрано значение "Отключено", то значок Google Cast будет скрыт.

Раздел HTTP-аутентификация

Данный раздел, раньше назывался "Правила для HTTP-аутентификации" в его состав входят:

• Поддерживаемые протоколы аутентификации - данная настройка позволяет выбрать, какие схемы HTTP-аутентификации будут поддерживаться браузером Google Chrome. Среди возможных значения basic, digest, ntlm и negotiate. Можно указать несколько значений через запятую.Если правило не настроено, используются все четыре схемы.

• Отключить поиск записи CNAME при запросе на аутентификацию Kerberos - Указывает, создано ли название SPN Kerberos на основе канонического имени DNS или является оригинальным. Если этот параметр включен, поиск CNAME не выполняется, а название сервера используется в том виде, в каком оно было указано. Если он отключен, каноническое название сервера будет определяться с помощью поиска CNAME.

• Включить нестандартный порт в имя SPN Kerberos - данный параметр позволяет задать нестандартный порт в созданное название SPN Kerberos. Если этот параметр активен и указан нестандартный порт (то есть любой порт, кроме 80 или 443), будет включен в созданное название SPN Kerberos. Если этот параметр неактивен, в созданном названии SPN Kerberos порт не указывается.

• Белый список аутентификации сервера - Если просто, то это настройка для сквозной аутентификации SSO в в Google Chrome. созданное название SPN Kerberos. Если этот параметр активен и указан нестандартный порт (то есть любой порт, кроме 80 или 443), он будет включен в созданное название SPN Kerberos. Если этот параметр неактивен, в созданном названии SPN Kerberos порт не указывается.

• Белый список серверов Kerberos для передачи прав - Так же нужен для SSO. Определяет серверы, которым Google Chrome предоставляет учетные данные пользователей. Допускается указание названий серверов через запятую и использование подстановочных знаков (*). Если это правило не задано, Google Chrome не будет передавать учетные данные пользователя серверам, в том числе находящимся в сети интранет.

• Встречные запросы базовой аутентификации HTTP - Управляет отображением на странице всплывающих окон с запросами базовой аутентификации HTTP для стороннего вложенного содержания. Как правило, эта функция отключена в целях защиты от фишинга. Если это правило не настроено, эта функция также отключена, и стороннее вложенное содержание не может выводить запросы базовой аутентификации HTTP.

Раздел Legasy Browser Support

Данный раздел необходим для настройки устаревших версий браузера, тут есть вот такие настройки:

• Запуск альтернативного браузера для сайтов из списка - Это правило определяет, с помощью какой команды открывать URL в альтернативном браузере. Если правило не настроено, используется браузер по умолчанию конкретной платформы: Internet Explorer для Windows и Safari для macOS. В Linux запустить альтернативный браузер в этом случае не получится. Если задано значение ${ie}, ${firefox}, ${safari} или ${opera}, будет запущен соответствующий браузер, если он установлен. Параметр ${ie} доступен только для Windows, а ${safari} – только для Windows и macOS X. Если в качестве значения в правиле указан путь к файлу, этот файл будет использоваться как исполняемый.

• Параметры командной строки для альтернативного браузера - Это правило определяет параметры командной строки для запуска альтернативного браузера. Если правило не настроено, в качестве параметра командной строки передается только URL. Если в правиле задан список строк, каждая из них передается в альтернативный браузер как отдельный параметр командной строки. В Windows параметры разделяются пробелами. В macOS и Linux параметры с пробелами могут обрабатываться как один параметр.Если элемент списка содержит переменную ${url}, то вместо нее будет подставлен URL открываемой страницы. Если в элементах списка нет переменной ${url}, URL появится в конце командной строки. Переменные среды расширены. В Windows значение переменной среды ABC передается символом %ABC%. В macOS X и Linux значение переменной среды ABC передается символом ${ABC}.

• Путь для запуска Chrome из альтернативного браузера - Это правило определяет, с помощью какой команды открывать URL в Google Chrome при переключении из Internet Explorer. Если надстройка "Поддержка альтернативного браузера" для Internet Explorer не установлена, это правило действовать не будет. Если правило не настроено, Internet Explorer автоматически определяет путь к исполняемому файлу Google Chrome при запуске Google Chrome из Internet Explorer. Если правило настроено, оно будет использоваться для открытия Google Chrome при запуске Google Chrome из Internet Explorer. Кроме того, для правила можно указать путь к исполняемому файлу или добавить переменную ${chrome}, чтобы папка, в которой установлен браузер Chrome, определялась автоматически.

• Параметры командной строки для перехода из альтернативного браузера - Это правило определяет параметры командной строки для запуска Google Chrome из Internet Explorer. Если надстройка "Поддержка альтернативного браузера" для Internet Explorer не установлена, это правило действовать не будет. Если правило не настроено, Internet Explorer будет передавать Chrome только URL в качестве параметра командной строки.Если в правиле задан список строк, они будут разделены пробелами и переданы в Chrome как параметры командной строки. Если элемент списка содержит переменную ${url}, то вместо нее будет подставлен URL открываемой страницы. Если в элементах списка нет переменной ${url}, URL появится в конце командной строки. Переменные среды расширены. В Windows в название переменной среды %ABC% подставляется ее значение ABC.

• Задержка перед запуском альтернативного браузера (в миллисекундах) - Это правило определяет длительность ожидания перед запуском альтернативного браузера (в миллисекундах). Если правило не настроено или для него задано значение "0", Chrome будет запускать определенные URL сразу в альтернативном браузере. Если для правила задано числовое значение, оно будет определять количество миллисекунд, в течение которых Chrome будет показывать сообщение, а затем открывать альтернативный браузер.

• Включить функцию "Поддержка альтернативного браузер" - Данное правило настраивает в Google Chrome включение поддержки альтернативного браузера. Если правило не настроено или для него задано значение false, Chrome не будет запускать определенные URL в альтернативном браузере. Если указано значение true, Chrome будет открывать некоторые URL в альтернативном браузере (например, Internet Explorer). Для настройки этой функции используются правила из группы "Legacy Browser support". Функция используется вместо расширения "'Legacy Browser Support'". Настройки, заданные для расширения, будут перенесены в эту функцию, но мы настоятельно рекомендуем использовать вместо них правила Chrome. Это позволит обеспечить лучшую совместимость в будущем.

• URL XML-файла, содержащего список URL, которые должны загружаться в альтернативном браузере
• URL XML-файла, содержащего список URL, которые никогда не должны открываться в другом браузере
• Оставлять открытой последнюю вкладку в Chrome
• Сайты, которые должны открываться в альтернативном браузере
• Сайты, которые никогда не должны открываться в другом браузере
• Использовать правило SiteList из Internet Explorer для расширения "Поддержка альтернативного браузера"

Настройка главной и домашней страницы Google Chrome через GPO

• Отображать кнопку "Главная страница" на панели инструментов - Отображает кнопку главной страницы на панели инструментов Google Chrome. Если этот параметр включен, кнопка всегда отображается; если он отключен, кнопка никогда не отображается. Когда этот параметр включен или выключен, пользователи не могут изменить его значение в Google Chrome. Если он не задан, пользователи могут сами выбрать, отображать ли кнопку главной страницы.

Откроем на тестовой виртуальной машине браузер Google Chrome, найдите меню "Настройки", кстати обратите внимание, что чуть ниже вам сообщат, что Chrome теперь управляется вашей организацией, это и есть указание на групповую политику.

Во внешнем виде у вас будет заблокирована опция "Показать кнопку главная страница" и значок на то, что управляется через групповую политику на уровне организации.

• Настройка URL домашней страницы - Настраивает URL главной страницы по умолчанию в Google Chrome и запрещает пользователям изменять его. Главная страница открывается при нажатии соответствующей кнопки. Страницы, открывающиеся при запуске браузера, определяются правилом RestoreOnStartup.

В качестве главной страницы можно указать определенный URL или использовать страницу быстрого доступа. В последнем случае это правило действовать не будет. Если вы включите эту настройку, пользователи не смогут изменить URL главной страницы в Google Chrome, но у них будет возможность установить вместо нее страницу быстрого доступа. Если правило не настроено, пользователи могут самостоятельно выбирать главную страницу (при условии, что не действует правило HomepageIsNewTabPage).

Я для тестирования назначу адрес своего блога http://pyatilistnik.org. Напоминаю, что это адрес сайта при нажатии на кнопку главная страница и выключить правило "Сделать страницу быстрого доступа главной". Обновим групповую политику на клиентской Windows 10 и проверим настройку.

• Сделать страницу быстрого доступа главной - Настраивает тип главной страницы по умолчанию в Google Chrome и запрещает пользователям менять ее настройки. В качестве главной страницы можно выбрать определенный URL или страницу быстрого доступа. Если этот параметр включен, в качестве главной страницы всегда используется страница быстрого доступа, а заданный URL главной страницы игнорируется. Если этот параметр отключен, страница быстрого доступа будет открываться, только когда в качестве URL главной страницы указан путь chrome://newtab.

Когда этот параметр включен или отключен, пользователи не могут выбирать тип главной страницы в Google Chrome. Если значение не установлено, пользователи могут самостоятельно выбрать, устанавливать ли страницу быстрого доступа в качестве главной страницы. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Настройка URL страницы быстрого доступа - Настраивает используемый по умолчанию URL страницы быстрого доступа и запрещает пользователям его изменять.
  Страница быстрого доступа появляется, когда пользователь открывает новую вкладку или окно. Это правило не определяет, какие страницы открываются при запуске браузера. Для этого применяется правило RestoreOnStartup. Однако если страница быстрого доступа используется в качестве главной или стартовой страницы, это правило также распространяется и на них. Если правило не задано или URL не указан, используется страница быстрого доступа, установленная по умолчанию. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

Раздел диспетчер паролей

• Включить сохранение паролей - Если параметр включен, пользователи могут сохранять пароли в Google Chrome, чтобы они автоматически вводились при следующем входе на сайт. Если параметр отключен, пользователям нельзя сохранять новые пароли, но по-прежнему разрешается использовать уже сохраненные. Если правило включено или отключено, пользователи не могут изменить или перезаписать его в Google Chrome. Если правило не настроено, сохранение паролей разрешено, но пользователи могут отключить эту функцию. С точки зрения безопасности я советую запрещать пользователям сохранять пароли в виду возможной компрометации. Уверяю вас, что будут возмущенные сотрудники, но их всегда можно спроваживать в отдел информационной безопасности.

• Включить проверку учетных данных на утечку - Это абсолютно новая функция, которая была реализована в Google Chrome 79. Это правило позволяет принудительно включить или отключить в Google Chrome проверку утечки учетных данных. Учтите, что даже когда для этого правила задано значение True, оно не будет действовать, если отключен Безопасный просмотр (с помощью правила или пользователем). Чтобы принудительно включить Безопасный просмотр, используйте правило SafeBrowsingEnabled.
  Если это правило включено или отключено, пользователи не смогут изменить или переопределить его в Google Chrome. Если правило не настроено, то проверка утечки учетных данных разрешена, но пользователь может ее отключить.

Раздел настройки безопасности просмотра

Данный раздел позволяет задать через групповые политики некоторые политики безопасности в Chrome:

• Включить безопасный просмотр - Включает функцию безопасного просмотра в Google Chrome и запрещает пользователям менять эту настройку. Если правило включено, безопасный просмотр будет всегда активен. Если правило отключено, безопасный просмотр будет всегда неактивен. Если правило включено или отключено, пользователи не смогут изменить или перезаписать настройку "Включить защиту от фишинга и вредоносного ПО" в Google Chrome.
  Если значение не задано, безопасный просмотр будет включен, но пользователь сможет изменить эту настройку.

• Включает передачу расширенных отчетов Безопасного просмотра -  Google Chrome и запрещает пользователям менять этот параметр. Расширенные отчеты, включающие содержимое страниц и системную информацию, отправляются на серверы Google. Это помогает распознавать опасные приложения и сайты. Если задано значение True, система будет создавать и отправлять отчеты в случае необходимости (например, при появлении межстраничного предупреждения об опасности). Если задано значение False, система не будет отправлять отчеты. Если задано значение True или False, пользователи не смогут изменить этот параметр. Если значение не задано, пользователи смогут решать, отправлять отчеты или нет, и менять этот параметр.

• Настраивает список доверенных доменов для режима безопасного просмотра - Опасные ресурсы (например, фишинговые или ресурсы с вредоносным или нежелательным ПО) не будут проверяться в режиме безопасного просмотра, если URL будет содержать один из доменов, указанных в этом списке. Файлы, скачанные из этих доменов, не будут проверяться службой защиты загрузок. Если URL страницы будет содержать один из доверенных доменов, служба защиты паролей не будет следить за повторным использованием паролей. Если этот параметр включен, доверенные домены не будут проверяться в режиме безопасного просмотра.Если параметр не установлен или отключен, функция безопасного просмотра будет по умолчанию проверять все ресурсы. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Тригер, при котором будет получено предупреждение от защиты паролем - Правило позволяет управлять триггером, при срабатывании которого пользователь получает предупреждение от службы защиты паролей о повторном вводе пароля на подозрительном сайте. Для определения пароля, нуждающегося в защите, можно использовать правила PasswordProtectionLoginURLs и PasswordProtectionChangePasswordURL. Если задано значение PasswordProtectionWarningOff, предупреждения не появляются. Если задано значение PasswordProtectionWarningOnPasswordReuse, предупреждение от службы защиты паролей появляется, когда пользователь повторно вводит пароль Google на сайте, не внесенном в белый список. Если задано значение PasswordProtectionWarningOnPhishingReuse, предупреждение от службы защиты паролей появляется, когда пользователь повторно вводит пароль Google на фишинговом сайте. Если значение не задано, служба защиты паролей будет контролировать только пароли Google. Пользователи могут изменить эту настройку самостоятельно.

• Настроить список веб страниц для входа в корпоративный аккаунт, на которых сервис защиты паролей должен записывать цифровой отпечаток пароля - Настраивает список URL для входа в корпоративный аккаунт (только для протоколов HTTP и HTTPS). На этих страницах будет регистрироваться цифровой отпечаток пароля для определения повторного ввода. Чтобы цифровые отпечатки паролей корректно сохранялись в Google Chrome, страницы входа должны соответствовать требованиям, перечисленным в инструкции по адресу https://www.chromium.org/developers/design-documents/create-amazing-password-forms. Если правило включено, цифровой отпечаток будет сохранен в службе защиты паролей для определения повторного ввода пароля на странице входа. Если значение не установлено или правило отключено, цифровые отпечатки будут сохраняться в службе защиты паролей только на странице https://accounts.google.com. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Настроить URL страницы смены пароля - Настраивает URL для смены пароля (только для протоколов HTTP и HTTPS). Служба защиты паролей перенаправляет пользователей на указанную страницу, чтобы изменить пароль после появления предупреждения в браузере. Чтобы Google Chrome корректно сохранил новый цифровой отпечаток, страница смены пароля должна соответствовать требованиям, перечисленным на странице https://www.chromium.org/developers/design-documents/create-amazing-password-forms. Если правило включено, служба защиты паролей перенаправляет пользователей на указанный URL, чтобы изменить пароль после появления предупреждения в браузере. Если правило отключено или не настроено, служба защиты паролей перенаправляет пользователей на страницу https://myaccount.google.com. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

Раздел настройки контента

• Настройки файлов cookie по умолчанию - Позволяет разрешить или запретить хранение локальных данных. Правило можно задать для всех сайтов. Если вы выберете вариант "Хранить файлы cookie до конца сеанса", учтите следующее: когда Google Chrome работает в фоновом режиме, сеанс не завершается даже после того, как закрываются все окна. Подробную информацию вы найдете в описании правила BackgroundModeEnabled. Если вы не настроите DefaultCookiesSetting, будет действовать правило AllowCookies и пользователи смогут самостоятельно изменить его значение.
• Настройка изображений по умолчанию
• Контроль использования исключений для небезопасного контента
• Настройка JavaScript по умолчанию - Определяет, могут ли сайты запускать JavaScript. Поддержку JavaScript можно разрешить или запретить для всех сайтов. Если это правило не настроено, действует правило AllowJavaScript, но пользователи могут самостоятельно изменить его значение.
• Настройка по умолчанию для Flash - Позволяет разрешить или запретить автоматический запуск плагина Flash на всех сайтах. Плагин Flash можно настроить так, чтобы контент запускался при нажатии. Автоматический запуск плагина Flash разрешен только в доменах, перечисленных в правиле PluginsAllowedForUrls. Чтобы разрешить его на всех сайтах, добавьте в список доменов http://* и https://*. Если правило не настраивать, пользователь сможет сделать это самостоятельно.
• Настройки всплывающих окон по умолчанию - Позволяет запретить или разрешить всплывающие окна на всех сайтах. Если это правило не настроено, действует правило BlockPopups и пользователи могут самостоятельно изменить его значение.
• Настройка уведомлений по умолчанию - Позволяет указать, каким сайтам разрешено отображать уведомления на рабочем столе. По умолчанию можно разрешить показ уведомлений, запретить его или настроить вывод запроса пользователю каждый раз, когда сайт должен показать уведомление. Если это правило не настроено, действует правило AskNotifications и пользователи могут самостоятельно изменить его значение.
• Настройка географического положения
• Контроль использования Web Bluetooth API
• Контроль использования WebUSB API
• Автоматический выбор клиентских сертификатов для сайтов
• Разрешить файлы cookie на этих сайтах - Правило позволяет задать список шаблонов URL для сайтов, которым разрешено сохранять файлы cookie. Если это правило не настроено, для всех сайтов используется глобальное значение по умолчанию на основе правила DefaultCookiesSetting (если оно настроено, в противном случае – на основе пользовательской конфигурации). Также рекомендуем ознакомиться с правилами CookiesBlockedForUrls и CookiesSessionOnlyForUrls. Шаблоны URL в этих трех правилах не должны конфликтовать, поскольку ни одно из правил не имеет приоритета.
• Блокировать файлы cookie на этих сайтах - Правило задает список шаблонов URL для сайтов, которым запрещено сохранять файлы cookie. Если это правило не настроено, для всех сайтов используется глобальное значение по умолчанию на основе правила DefaultCookiesSetting (если оно настроено, в противном случае – на основе пользовательской конфигурации).  Также рекомендуем ознакомиться с правилами CookiesAllowedForUrls и CookiesSessionOnlyForUrls. Шаблоны URL в этих трех правилах не должны конфликтовать, поскольку ни одно из правил не имеет приоритета.
• Файлы Cookie, сохраненные с URL из списка, удаляются после окончания сеанса
• Разрешить показ изображений на этих сайтах
• Блокировать изображения на этих сайтах
• Разрешение небезопастного контента на текущих сайтах
• Блокировка небезопастного контента на текущих сайтах
• Разрешить JavaScript на этих сайтах
• Блокировать JavaScript на этих сайтах
• Использование ранее применяющегося для файлов cookie с атрибутом SameSite по умолчанию
• Вернуться к ранее применявшемуся поведению атрибута Samesite для файлов cookie на этих сайтах
• Разрешить запуск плагина Flash на этих сайтах
• Заблокировать плагин Flash на этих сайтах
• Разрешить всплывающие окна на этих сайтах
• Блокировать всплывающие окна на этих сайтах
• Разрешить уведомления на этих сайтах
• Блокировать уведомления на этих сайтах
• Автоматически разрешать этим сайтам подключение к USB-устройствам с предоставленными идентификаторами поставщика продукта
• Разрешить WebUSB на этих сайтах
• Блокировать WebUSB на этих сайтах

Раздел обмен сообщениями с оригинальными приложениями

• Создание черного списка для хостов обмена сообщениями с оригинальными приложениями - Позволяет настроить черный список для хостов обмена сообщениями с оригинальными приложениями. Указанные в нем хосты не будут загружаться. В черный список, в котором указана звездочка (*), включаются все хосты, за исключением явно добавленных в белый. Если это правило не настроено, Google Chrome будет загружать все установленные хосты.
• Создание белого списка для хостов обмена сообщениями с оригинальными приложениями - Позволяет настроить белый список для хостов обмена сообщениями с оригинальными приложениями. Указанные в нем хосты будут исключены из черного списка.  Если в черном списке указана звездочка (*), в него включаются все хосты. Будут загружаться только те из них, которые перечислены в белом списке. По умолчанию загрузка всех хостов разрешена, но если применяется правило, согласно которому все они входят в черный список, это правило можно переопределить, настроив белый.
• Разрешить установку хостов обмена сообщениями с оригинальными приложениями на уровне пользователей (без разрешения администратора) - Разрешает установку хостов обмена сообщениями с оригинальными приложениями на уровне пользователей. Если параметр включен, Google Chrome разрешает использование установленных на уровне пользователей хостов обмена сообщениями с оригинальными приложениями. Если параметр отключен, Google Chrome будет использовать для обмена сообщениями с оригинальными приложениями только те хосты, которые установлены на уровне системы. Если правило не настроено, Google Chrome разрешает использование хостов обмена сообщениями с оригинальными приложениями на уровне пользователей.

Раздел печать

Далее у нас есть управление печатью Google Chrome через групповые политики, вот пункты из соответствующего раздела:

• Включить печать - Разрешить печать в Google Chrome и запретить пользователям менять эту настройку. Печать возможна, если этот параметр включен или не задан. Если он отключен, пользователи не могут печатать из Google Chrome. Печать будет запрещена в меню "Настройки", расширениях, приложениях JavaScript и т. д. Исключение составляют плагины, отправляющие задания на печать в обход Google Chrome. Например, в контекстном меню некоторых приложений Flash имеется пункт "Печать" – на такие случаи это правило не распространяется.
• Включить прокси-сервер Google Cloud Print - Google Chrome может действовать в качестве прокси-сервера между виртуальным принтером Google Cloud Print и обычными принтерами, подключенными к компьютеру. Если этот параметр включен или не настроен, пользователи могут включить прокси-сервер виртуального принтера, войдя в аккаунт Google. Если этот параметр отключен, пользователи не могут включить прокси-сервер, и принтеры на этом компьютере нельзя будет использовать как Google Cloud Print. Так, что если у вас вдруг не работает принтер в Windows или он ушел в автономную работу, я вам советую проверить данную настройку.
• Разрешить отправку документов на виртуальный принтер Google Cloud Print - Разрешает Google Chrome передавать задания печати на виртуальный принтер Google Cloud Print. ОБРАТИТЕ ВНИМАНИЕ: это правило относится только к поддержке Google Cloud Print в Google Chrome и не запрещает пользователям отправлять на печать документы с сайтов. Если этот параметр включен или не задан, пользователи могут отправлять документы на Google Cloud Print из диалогового окна печати Google Chrome. Если он отключен, отправлять документы на Google Cloud Print из диалогового окна печати Google Chrome нельзя.
• Отключить предварительный просмотр - Открывать системное диалоговое окно печати вместо окна предварительного просмотра. Когда этот параметр установлен, Google Chrome открывает системное окно вместо встроенного окна предварительного просмотра при печати страницы. Если параметр не установлен или задано значение false, при печати будет открываться окно предварительного просмотра.
• Печатать колонтитулы - Определяет возможность выбора печати колонтитулов в диалоговом окне печати. Если правило не задано, пользователь выбирает, печатать ли колонтитулы. Если правило отключено (False), в диалоговом окне печати нет возможности выбора и пользователь не может изменить эти настройки. Если правило активно (True), печать колонтитулов выбрана в диалоговом окне печати и пользователь не может изменить эти настройки.
• Правила выбора принтера по умолчанию - Переопределяет правила выбора принтера по умолчанию в сервисе "Google Chrome". Это правило определяет, как выбирается принтер по умолчанию в сервисе "Google Chrome", когда в профиле впервые запускается печать. Если правило настроено, Google Chrome выполнит поиск принтера, соответствующего всем указанным атрибутам, и установит его в качестве принтера по умолчанию. Если подходящих принтеров несколько, будет выбран тот, что был обнаружен первым. Если правило не настроено или подходящий принтер не найден вовремя, по умолчанию используется встроенный принтер PDF. Если он недоступен, принтер по умолчанию выбран не будет. Принтеры, подключенные к сервису "Google Cloud Print", относятся к типу ""cloud"", а все остальные – к типу ""local"". Если значение в поле не указано, то при поиске учитываются все допустимые значения этой категории. Например, если не указан тип подключения, будет выполнен поиск всех принтеров – как облачных, так и обычных. Формат регулярных выражений должен соответствовать синтаксису JavaScript RegExp. Регистр имеет значение.
• Использовать системный принтер по умолчанию - Эта настройка обязывает Google Chrome использовать в режиме предварительного просмотра системный принтер по умолчанию, а не последний выбранный принтер. Если это правило отключено или не настроено, все задания печати, открытые в режиме предварительного просмотра, будут по умолчанию отправляться на последний выбранный принтер. Если правило настроено, задания печати, открытые в режиме предварительного просмотра, будут отправляться на системный принтер по умолчанию.

Раздел поисковая система

• Включить поисковую систему по умолчанию
• Название поисковой системы по умолчанию
• Ключевое слово для поисковой системы по умолчанию
• URL поиска для поисковой системы по умолчанию
• URL используемой по умолчанию поисковой системы для запроса подсказок
• Значок поисковой системы по умолчанию
• Кодировки поисковой системы по умолчанию
• Список дополнительных URL для поисковой системы по умолчанию
• Параметр функции поиска изображений для поисковой системы по умолчанию
• Показ URL страницы быстрого доступа в поисковой системе
• Параметры запросов POST к URL-адресу для поиска
• Параметры для запросов POST к URL-адресу поиска приложений
• Параметры для запросов POST к URL-адресу поиска изображений

Раздел прокси-сервер

Ранее я вам уже описывал процесс запрета на изменение настроек прокси-сервера и там мы так же использовали групповые политики на уровне системы и Internet Explorer, тут в административном шаблоне Google Chrome есть свой раздел по управлению Proxy.

• Выбрать способ настройки прокси сервера - Правило позволяет задать прокси-сервер, используемый Google Chrome, и запрещает пользователям менять его настройки. Это правило действует, только если не настроено ProxySettings. Если вы решите отказаться от использования прокси-сервера и всегда устанавливать прямое соединение, все остальные параметры будут проигнорированы. Если вы выберете применение системных настроек прокси-сервера, все остальные параметры будут проигнорированы. Если вы выберете автоопределение прокси-сервера, все остальные параметры будут проигнорированы. Если вы хотите настроить прокси-сервер вручную, его параметры можно указать в правилах "Адрес или URL прокси-сервера" и "Список правил для игнорирования прокси-сервера". ARC-приложениям будет доступен только HTTP-прокси с наивысшим приоритетом. Если вы предпочитаете использовать PAC-скрипт, укажите его URL в правиле "URL файла PAC прокси-сервера". Подробная информация приведена на следующей странице:https://www.chromium.org/developers/design-documents/network-settings#TOC-Command-line-options-for-proxy-sett. Если параметр включен, Google Chrome и ARC-приложения будут игнорировать все настройки прокси-сервера, указанные с помощью командной строки. Если правило не настроено, пользователи смогут выбрать параметры прокси-сервера самостоятельно.
• Адрес или URL прокси-сервера - Позволяет указать URL прокси-сервера. Это правило действует, только если не задано ProxySettings, а в разделе "Выбрать способ настройки прокси-сервера" указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.
• URL файла PAC прокси-сервера -  Позволяет указать URL файла PAC прокси-сервера. Это правило действует, только если не задано ProxySettings, а в разделе "Выбрать способ настройки прокси-сервера" указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.
• Правила игнорирования прокси-сервера - Google Chrome будет игнорировать любые прокси-серверы для хостов, перечисленных в этом списке. Это правило действует, только если не задано ProxySettings, а в разделе "Выбрать способ настройки прокси-сервера" указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.

Раздел расширения

• Настройка черного списка расширений
• Настройка белого списка расширений
• Создать белый список приложений и расширений, устанавливаемых принудительно
• Настроить источники для устранения расширений, приложений и пользовательских скриптов
• Разрешенные типы приложений и расширений
• Позволяет управлять расширениями

Раздел удаленный доступ

Если кто-то не знает, но с помощью Google Chrome можно свободно подключаться по RDP к другому компьютеру, и настройку данной политики можно так же осуществить в данном административном шаблоне.

• Настроить обязательные доменные имена для клиентов удаленного доступа
• Включить обход брандмауэра для хоста удаленного подключения
• Настроить доменные имена для хостов удаленного доступа
• Настройка префикса TalkGadget для хостов удаленного доступа
• Блокирование хостов для удаленного доступа
• Включает/Выключает аутентификацию без PIN-кода для хостов удаленного доступа
• Позволяет использовать аутентификацию Gnubby для хостов удаленного доступа
• Разрешить использование серверов ретрансляции хостами удаленного доступа
• Ограничить диапазон портов UDP, используемых хостами удаленного доступа

Раздел устаревшие правила

• Включить обход брандмауэра для клиента удаленного доступа
• Выбор обязательного домена для клиентов удаленного доступа
• Настройка имени домена для хостов удаленного доступа
• Включение двухфакторной аутентификации для хостов удаленного доступа
• Разрешить пользователям просматривать пароли в диспетчере паролей
• Выбрать способ настройки прокси-сервера
• Разрешить использование ненадежных алгоритмов для проверки целостности при установке и обновлении расширений
• URL живого поиска для поисковой системы по умолчанию
• Параметр контролирующий размещение поискового запроса для поисковой системы по умолчанию
• Параметры для запросов POST к URL адресу живого поиска
• Настройка MediaSteam по умолчанию
• Включает поддержку контролируемых профилей
• Позволить пользователям включать расширенную отчетность безопасного просмотра
• Включить предварительное определение сети
•  Отключение протокола SPDV
• Отключить протоколы URL
• Включить поддержку HTTP/0.9 для портов. не заданных по умолчанию
• Включить JavaScript
• Включить режим инкогнито
• Принудительное использование безопасного поиска
• Позволяет принудительно включить безопасный режим на Youtube
• Включить автозаполнение
• Список неактивных подключаемых модулей
• Определить список включенных плагинов
• Указать список плагинов, доступных пользователю
• Отключение поиска плагинов
• Разрешить вход в Google Chrome
• Включить прежнюю процедуру входа с веб-авторизацией
• Удаление данных сайта при закрытии браузера
• Отключить инструменты разработчика
• Включить живой поиск
• Автозапуск плагинов, требующих авторизацию
• Запрет на появление рекламы приложений на быстрой странице быстрого доступа
• URL корпоративного интернет магазина
• Разрешить сертификаты без расширения subjectAlternativeName
• Включить обязательный вход в Google Chrome
• Минимальная версия TLS для отката
• Включить наборы шрифтов RC4 в TLS
• Включить наборы шрифтов DHE в TLS
• Скрыть данные в URL (https://) для PAC-скриптов
• Адреса или шаблоны имен хостов, которые будут считаться безопасными
• Токен Регистрации облачного правила на компьютере
• Разрешить сайтам одновременно открывать всплывающее окно и переходить на новую страницу

Общие настройки Google Chrome

• Принудительное прерывание при злоупотреблении доверием
• Настройки для сайтов с навязчивой рекламой - Эта настройка позволяет заблокировать навязчивую рекламу на сайтах. Если для правила выбрано значение 2, навязчивая реклама будет заблокирована. Если для правила SafeBrowsingEnabled задано значение False, блокировка рекламы не будет работать. Если для правила выбрано значение 1, навязчивая реклама не будет блокироваться. Если правило не задано, используется значение 2.
• Удаление истории просмотров и загрузки браузера. Для примера я задал эту настройку в Google Chrome, в итоге у меня пропала возможность удалять историю посещений и загрузок.

• Разрешить игру в динозавра - это есть такая пасхалка-игра, когда у вас нет интернета. При желании вы можете ее выключить и уже не лицезреть динозавра.

• Разрешить вызов окна выбора файлов - Открывает доступ к локальным файлам на компьютере, разрешая Google Chrome показывать окна выбора файлов. Если этот параметр включен, пользователи могут открывать окна выбора файлов в обычном режиме. Если параметр отключен и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и предполагается, что пользователь нажал кнопку "Отмена" в окне выбора файлов. Если этот параметр не задан, пользователи могут открывать окна выбора файлов в обычном режиме.

• Разрешить запуск устаревших плагинов
• Позволяет показывать всплывающие окна во время выгрузки страницы
• Отправка синхронных запросов XHR при закрытии страницы
• Определение доменов с правом доступа G Suite
• Включить дополнительные страницы с сообщениями об ошибках
• Всегда открывать PDF-файлы во внешнемприложении
• Региональные настройки приложения
• Включение или отключение функции захвата аудио
• URL, которым доступ к аудиозаписывающим устройствам представляется без запроса
• Разрешить использование тестовой среды для аудио
• Включить автозаполнение адресов
• Включить автозаполнение кредитных карт
• Разрешить автоматическое воспроизведение видео
• Разрешить автоматически воспроизводить видео на страницах из белого списка шаблонов URL
• Продолжить фоновое выполнение приложений после закрытия google Chrome
• Блокировать сторонние файлы cookie
• Включить панель закладок
• Разрешить добавлять людей через диспетчер пользователей
• Включает гостевой режим в браузере
• Принудительное включение гостевого режима в браузере
• Разрешить отправлять запросы в службу времени Google
• Настройки входа в браузере
• Встроенный клиент DNS - Определяет, используется ли в Google Chrome встроенный клиент DNS. Если задано значение True, встроенный клиент DNS используется (при наличии). Если задано значение False, встроенный клиент DNS не используется. Если правило не настроено, встроенный клиент DNS будет по умолчанию включен для устройств macOS, Android (если не включен персональный DNS-сервер или VPN) и Chrome OS. При этом пользователи смогут изменить эту настройку с помощью chrome://flags или флага командной строки.
• Отключить проверку сертификатов для списка хешей subjectPublicKeyinfo
• Отключить проверку сертификатов для устаревших центров сертификации
• Отключение проверки сертификатов для определенных сайтов
• Правило определяет, включать ли инструмент очистки Chrome в Windows - Если правило отключено, инструмент очистки Chrome не будет запускаться для сканирования системы, обнаружения нежелательного ПО и проведения очистки. Ручной запуск инструмента из chrome://settings/cleanup также будет отключен. Если правило включено или не настроено, инструмент очистки Chrome будет периодически запускаться для сканирования системы и присылать пользователю запросы на удаление нежелательного ПО при его обнаружении. Ручной запуск инструмента из chrome://settings будет включен. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Правило настраивает передачу отчетов из Инструмента очистки Chrome в Google
• Включение функции вызова по нажатию
• Включить обязательную регистрацию в сервисе для управления облачными делами
• Токен регистрации облачного правила на компьютере
• Разрешить переопределять правило платформы при помощи облачного правила Google Chrome
• Включить предупреждение системы безопасности для флагов командной строки
• Разрешить обновление компонентов Google Chrome
• Приоритет устаревшей версии CORS перед новой реализацией CORS
• Смягчение проверки CORS в новой реализации CORS
• Сделать Google Chrome браузером по умолчанию
• Установить ограничение на использование инструментов разработчика
• Отключение поддержки API трехмерной графики
• Запрет переходов со страницы предупреждений безопасного просмотра
• Запрет создания скриншотов
• Установка каталога кеша на диске - Определяет на диске каталог, где Google Chrome будет хранить кешированные файлы. Если политика задана, Google Chrome будет использовать указанный каталог независимо от того, установил пользователь флажок "--disk-cache-dir" или нет. Чтобы избежать потери данных или других ошибок, эта политика не должна указывать на корневой каталог тома или каталог, используемый для других целей, поскольку Google Chrome управляет его содержимым. Список поддерживаемых переменных приведен здесь: https://www.chromium.org/administrators/policy-list-3/user-data-directory-variables. Если политика не задана, будет выбран каталог кеша по умолчанию, но пользователь сможет изменить его с помощью параметра командной строки "--disk-cache-dir
• Задать объем кеша в байтах
• Включить ограничение скачивания - Определяет, скачивание каких типов файлов будет полностью заблокировано в Google Chrome. При этом у пользователей не будет возможности переопределить данный параметр. Если вы настроите это правило, Google Chrome будет блокировать скачивание файлов выбранного типа, и пользователи не смогут обойти предупреждения системы безопасности. Когда выбран вариант "Блокировать опасные скачивания", разрешено скачивание всех файлов за исключением тех, которые помечены предупреждением Безопасного просмотра.

Когда выбран вариант "Блокировать потенциально опасные скачивания", разрешено скачивание всех файлов за исключением тех, которые помечены предупреждением Безопасного просмотра о том, что они являются потенциально опасными. Когда выбран вариант "Блокировать все скачивания", запрещено скачивание любых файлов. Когда выбран вариант "Блокировать скачивание вредоносных файлов", разрешено скачивание всех файлов за исключением тех, которые Безопасный просмотр с высокой долей уверенности распознал как компоненты вредоносного ПО. В отличие от блокировки файлов, опасных для скачивания, в данном случае принимается во внимание не тип файла, а хост. Если это правило не настроено или выбран вариант "Специальных ограничений нет", к скачиваемым файлам будут применяться обычные ограничения в сфере безопасности, основанные на результатах анализа, который выполняет Безопасный просмотр. Ограничения применяются к скачиванию, если оно инициировано содержимым веб-страницы или командой контекстного меню "Сохранить данные по ссылке". Ограничения не распространяются на сохранение или скачивание страницы, открытой в данный момент, а также на сохранение контента в формате PDF из настроек печати.

• • Включить или отключить возможность изменения закладок
  •  Включить устаревшие функции веб-платформы на ограниченное время
  • Включить проверки OCSP/CRL в режиме онлайн
  • Разрешает управляемым использовать Enterprise Hardware Platform API
  • Показывать флажок "запускать всегда" в диалоговом окне внешнего протоколов
  • Временный профиль
  • Позволяет принудительно включить безопасный поиск google
  • Принудительно запускать сетевой код в процессе браузера
  • Выбор минимального обязательного уровня безопасного режима для Youtube
  • Разрешить полноэкранный режим
  • Имя хостов, для которых не нужно проверять использование механизма HSTS
  • Использовать аппаратное ускорение при наличии
  • Удалить интернет-магазин со страницы быстрого доступа и панели запуска приложений
  • Импорт данных для автозаполнения форм из браузера по умолчанию при первом запуске
  • Импорт закладок из браузера, используемого по умолчанию, при первом запуске
  • Импорт истории просмотров из браузера, используемого по умолчанию, при первом запуске
  • Импорт сведений о домашней странице из браузера, используемого по умолчанию
  • Импорт сохраненных паролей из браузера, используемого по умолчанию
  • Импорт сведений о поисковых системах из браузера, используемого по умолчанию
  • Доступность режима инкогнито
  • Включить изоляцию для определенного сайта
  • Управляемые закладки
  • Максимальное количество одновременных подключений к прокси-серверу
  • Максимальная задержка извлечения после аннулирования политики
  • Разрешить Google Cast подключаться к устройствам Google Cast на всех IP-адресах
  • Включить в отчеты данные об использовании и сбоях
  • Включить предварительное определение сети
  • Адреса или шаблоны имен хостов, которые будут считаться безопасными
  • Разрешить мини-группы правил
  • Разрешить объединять правила со словарями из разных источников
  • Разрешить объединять правила, содержащие списки значений, из нескольких источников
  • Частота обновлений политики пользователя
  • Показать коммерческие материал, занимающие всю вкладку
  • Всегда указывать место скачивания
  • Настройки прокси-сервера
  • Разрешить использование протокола QUIC
  • Уведомлять пользователя. о том что рекомендуется или требуется перезапустить браузер
  • Задать период времени для уведомлений об обновлениях
  • Включить Render Code Integrity
  • Настроить обязательное выполнение онлайн-протоколов OCSP/CRL для локальных якорей доверия

• Определяет, какой аккаунт Google можно назначить основным в Google Chrome
• Указать каталог для перемещаемого профиля
• Разрешить создание перемещаемых копий данных для профиля сервиса Google Chrome
• Применить настройки Flash ко всему контенту
• Разрешить переход со страницы предупреждения SSL
• Позволяет задать минимально допустимую версию SSL
• Включить режим безопасного просмотра для надежных источников
• Управлять фильтрацией контента только для взрослых SafeSites
• Отключить сохранение истории браузера
• 
• Включить поисковые подсказки
• URL и домены, которым разрешена автоматическая проверка электронных ключей
• Включить функцию "Общий буфер обмена"
• Показ ярлыков приложений в панели закладок
• Разрешить поддержку Signed HTTP Exchange (SXG)
• Включить изоляцию для всех сайтов
• Включение и отключение веб-службы проверки правописания
• Включить проверка правописания
• Принудительная проверка правописания для определенных ярлыков
• Принудительно отключать проверку правописания
• Отключить синхронизацию данных с google
• Разрешить завершение процессов в диспетчере задач
• Включить переводчик
• Блокировка доступа к списку URL
• Разрешить доступ к списку URL

• Указать каталог для пользовательских данных - Определяет каталог, в котором Google Chrome будет хранить данные пользователей. Если политика задана, Google Chrome будет использовать указанный каталог независимо от того, установил пользователь флажок "--user-data-dir" или нет. Чтобы избежать потери данных или других ошибок, эта политика не должна указывать на корневой каталог тома или каталог, используемый для других целей, поскольку Google Chrome управляет его содержимым. Список поддерживаемых переменных приведен здесь: http://www.chromium.org/administrators/policy-list-3/user-data-directory-variables. Если не настраивать это правило, будет выбран путь для профиля по умолчанию, но пользователь сможет изменить его с помощью параметра командной строки "'--user-data-dir".

Наконец это последняя функция для настройки браузера Google Chrome через групповые политики. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.