امنیت مرورگرهای وب (بخش پنجم)- قسمت اول

ویژگی های خاص گوگل کروم برای Business.........

در این مقاله نگاهی به ویژگی های خاص گوگل کروم برای Business می اندازیم.

گوگل کروم برای Business

کروم برای Business می تواند بر روی هر سه سیستم عامل کلاینت ویندوز، لینوکس و مکینتاش مورد استفاده قرار گیرد. گوگل یک فایل MSI قابل دانلود را فراهم کرده است که می توان از آن برای نصب آفلاین استفاده کرد. می توان این فایل را از سایت گوگل دانلود کرد.

فایل MSI می تواند از طریق SCCM یا سایر ابزارهای خودکار می تواند نصب شود یا می توان با دستور زیر نصب گردد:

Msiexec /q /I GoogleChrome.msi

توجه داشته باشید حتی اگر در حال حاضر بر روی رایانه های موجود در یک دامنه کروم توسط کاربر نصب شده باشد، مرورگر هم چنان به خط مشی ها پایبند خواهد بود.

کروم برای Business بر روی ویندوز

بر روی شبکه های مبتنی بر سرور ویندوز، می توان از خط مشی گروهی(Group Policy)  برای کنترل تنظیمات کروم از قبیل تنظیم یک صفحه خانگی رایج برای تمامی کاربران، خاموش کرون به روز رسانی های خودکار، تنظمیات مربوط به دسترسی پذیری، فعال کردن دیوار آتش برای دسترسی های راه دور، کنترل کردن کوکی ها، تنظمیات پلاگین ها و جاوا اسکریپت، مسدود نمودن تصاویر و بسیاری تنظیمات دیگر استفاده کرد.

تنظیمات خط مشی گروهی در رابطه با امنیت

تعدادی از مهم ترین تنظیمات خط مشی گروهی در زیر آمده است:

·         RemoteAccessHostFirewallTraversal یک مقدار REG_DWORD است که می تواند به کاربران راه دور اجازه دهد تا رایانه خود را جستجو کرده و به آن متصل شوند. اگر می خواهید تنها از کلاینت های شبکه محلی به رایانه ها متصل شوید، باید این خط مشی را غیرفعال نمایید. این گزینه به طور پیش فرض فعال است.

·         RemoteAccessHostDomain یک مقدار REG_SZ است که می توانید از طریق آن یک نام دامنه میزبان مورد نیاز را پیکربندی کنید. فعال کردن این تنظیمات اشتراک گذاری میزبان ها برای حساب های کاربری که در این دامنه ثبت شده اند را محدود می کند و کاربران نمی توانند نام دامنه میزبان را تغییر دهند. به طور پیش فرض، هر حساب کاربری می تواند برای اشتراک گذاری میزبان ها استفاده شود.

·         RemoteAccessHostRequireTwoFactor یک مقدار REG_DWORD است که کاربر را ملزم می کند تا برای دسترسی از راه دور به رایانه میزبان کد تایید هویت دو فاکتوری را ارائه دهد. به طور پیش فرض، کدPIN  تعریف شده کاربر برای تایید هویت و دسترسی از راه دور به میزبان مورد استفاده قرار می گیرد.

·         RemoteAccessHostRequireCurtain یک مقدار REG_DWORD است که بواسطه آن می توانید دستگاه های ورودی/خروجی فیزیکی رایانه میزبان را در مدت اتصال از راه دور غیرفعال کنید. به طور پیش فرض، کاربران محلی و راه دور می توانند با یک میزبان به اشتراک گذاشته شده تعامل کنند.

هم چنین تعدادی تنظیمات دیگر وجود دارد که به شما اجازه می دهند تا مشخص نمایید کروم چگونه انواع مختلف محتوا را مدیریت کند. انی تنظیمات عبارتند از:

• DefaultCookiesSetting
• DefaultImagesSetting
• DefaultPluginsSetting
• DefaultPopupsSetting
• DefaultGeolocationSetting
• DefaultJavaScriptSetting

تا زمانی که مجوز اجرای جاوا اسکریپت می تواند باعث به وجود آمدن مخاطرات امنیتی شود، آخرین تنظیم مهم می باشد. ویژگی sandbox کروم می تواند این مخاطرات را کاهش دهد اما شما می توانید با تنظیم مقدار این خط مشی به “2” مانع از اجرای جاوا اسکریپت در وب سایت ها شوید. به طور پیش فرض، جاوا اسکریپت می تواند در وب سایت ها اجرا شود و کاربران می توانند تنظیمات را در GUI تغییر دهند.

علاوه بر تنظیمات پیش فرض، خط مشی هایی وجود دارد که می توانید تنظیمات بهتری را داشته باشید. به عنوان مثال با استفاده از خط مشی های CookiesAllowedForUrls و CookiesBlockedForUrls می توانید آدرس های URL خاصی را برای سایت هایی که می خواهید به آن ها اجازه دهید تا کوکی ها را تنظیم نمایند و یا آن هایی که نمی خواهید این تنظیمات را انجام دهند، تعریف کنید. می توانید همین کار را برای نمایش تصاویر توسط وب سایت ها انجام دهید.

خط مشی ExtensionInstallBlacklist می تواند برای تعیین توسعه دهنده های مرورگر کروم که کاربران اجازه ندارند آن ها را نصب کنند استفاده شود و اگر توسعه دهنده ای که در فهرست قرار دارد در حال حاضر بر روی رایانه نصب است، حذف شده و توسعه دهنده جدید نصب می شود. می توانید با استفاده از مقدار "*" تمامی توسعه دهنده ها را در لیست سیاه قرار دهید و در صورت نیاز توسعه دهنده هایی که مستثنی هستند را در لیست سفید قرار دهید. هم چنین خط مشی ExtensionInstallWhitelist وجود دارد تا بتوانید توسعه دهنده های مجاز را تعیین نمایید. حتی می توانید با خط مشی ExtensionInstallForcelist برخی توسعه دهنده های خاص را مجبور نمایید تا حتما بر روی سیستم نصب شوند.

خط مشی مفید دیگری وجود دارد که به ادمین ها این امکان را می دهد تا کاربران مدیریت شده را ایجاد نمایند. این قابلیت به طور پیش فرض بر روی دستگاه های افراد فعال است اما بر روی دستگاه های شرکت غیرفعال است اگرچه با استفاده از خط مشی SupervisedUsersEnabled می توانید آن را فعال نمایید.

هم چنین می توانید کنترل کنید که کاربران بتوانند یا نتوانند رمزهای عبور ذخیره شده را در قالب متن ساده نمایش دهند. این گزینه در مرورگر کروم کمی بحث برانگیز است. هنگامی که کاربر به آدرس Settings | Show Advanced Settings | Passwords and forms | Manage saved passwords می رود، کروم فهرست رمز عبورهای ذخیره شده را نشان می دهد و کاربر می تواند با کلیک بر روی دکمه Show، رمز عبور خاصی را در یک متن ساده مشاهده کند. این مساله زمانی که یک کاربر غیرمجاز پشت یک رایانه قفل نشده می نشیند و می تواند رمزهای عبور را مشاهده کند، یک خط امنیتی محسوب می شود. تنظمیات Password Manager Group Policy می تواند برای جلوگیری از نمایش رمز عبور استفاده شود که این کار با خط مشی PasswordManagerAllowShowPasswords صورت می گیرد و یا حتی می توان با خط مشی PasswordManagerEnabled مانع ذخیره شدن رمزهای عبور شد.

می توانید خط مشی ها را به گونه ای تعریف کنید که اجباری اجرا شوند یا به صورت پیشنهاد ارائه شوند. تنظمیات موارد اجباری در کلید رجیستری HKEY_LOCAL_MACHINE و تنظمیات پیشنهادی در کلید رجیستری HKEY_LOCAL_USER ثبت می شوند.

در قسمت دوم این مقاله الگوهای مدیریتی و تنظمیات کروم برای Business بر روی سیستم های لینوکس و مکینتاش را توضیح خواهیم داد.

 

منبع:

فسا-پسا