آموزش نصب گوگل گروم از طریق شبکه با گروپ پالیسی

امروزه روز مرورگر گوگل کروم یکی از محبوبترین و پر استفاده ترین مروگر های موجود رایگان بوده که به صورت open source می باشد این مروروگر توسط شرکت گوگل در سال 2008 عرضه شد و در سال 2010 نسخه توسعه یافته آن بر اساس تنظیمات Group Policy و با قابلیت انتشار در شبکه به وسیله Windows Installer و فایل MSI به بازار عرضه و خود را به عنوان یک مرورگر Domain معرفی کرد .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

کروم از ویژگی های مدرن امنیتی پشتیبانی میکند مانند sandboxing و safe browsing که طراحی آنها به منظور کمک به امنیت کاربر و شبکه های توسعه یافته در برابر تهدیدات و وب سایتهای مخرب می باشد .Sandboxing یک ویژگی امنیتی می باشد که وظیفه آن محافظت کاربر در برابر exploit شدن به وسیله افزایش سطوح دسترسی به سیستم و نقاط ضعف امنیتی موجود در کروم می باشد . امنیت ایجاد شده توسط Sandbox در ویندوزبسیار قوی می باشد .

گوگل نسخه 8 کروم در سال 2010 ارائه کرد که در این نسخه پلاگین Adobe PDF reader نیز اضافه شده بود که عملکرد این پلاگین توسط Sandbox محافظت می شد. که در نسخه کروم 21 محصول 2012 پلاگین Adobe flash نیز توسط همین رویه محافظت شد . این سیستم محافظ پیشرفته باعث کاهش خرابی های ناشی از حملات معمول شده است .در قابلیت safe browsing کروم ، در ورود به سایتهای حاوی malware یا phishing attacks های شناسایی شده توسط خود گوگل ، پیغامی بر روی مرورگر به کاربر نمایش داده می شود .

این نکته مهم است که بدانید این قابلیت یک بستر امن جهت حریم خصوصی افراد در هنگام بازدید از سایتها ایجاد میکند .مضاف بر موارد فوق قابلیت CRLSet نیز به چک certificate وب سایتها پرداخته و با مقایسه آنها با بانک اطلاعاتی موجود نسبت به شناسایی certificate جعلی می پردازد .بروز رسانی بانک اطلاعاتی certificate ها به صورت خودکار بوده و نیاز به بروز رسانی مرورگر و یا راه اندازی مجدد آن ندارد .

بروزرسانی ها در کروم به صورت اتوماتیک و بر روی یک اتصال امن صورت می پذیرد که بروز رسانی ها شامل بسته های امنیتی ، پلاگین ها ، extension ها ، certificate می باشد .در این معقوله قصد بر آن است که نگاهی بر روی طریقه نصب مرورگر کروم به همراه تنظیمات آن با استفاده از گروپ پالیسی بر روی ویندوز 7 داشته باشیم .

انتشار

قبل از انتشار گوگل کروم می بایست در ابتدا بسته نصب MSI همچنین template کروم را دانلود کنیم :

مهم نیست چه نسخه ای از کروم را برای انتشار در شبکه، دانلود میکنیم ، مهم این است که فایل مذکور می بایست در جایی قرارداده شود که در دسترس کلاینتها و قابل خوانده شدن باشد .

مدیریت نسخه ها

انتشار و بروز رسانی گوگل کروم در شبکه به طور کلی به دو روش انجام می شود :

در روش اول که این روش پیشنهاد شده خود گوگل نیز می باشد کروم را در شبکه انتشار داده فارغ از اینکه چه نسخه ای را منتشر میکنیم چرا که با بروز رسانی آن علاوه بر بروز رسانی بسته های امنیتی و حیاتی مشکلات احتمالی هنگام نصب نیز با بروز رسانی برطرف خواهد شد .

در حالت دوم بروز رسانی کروم غیر فعال شده و آخرین نسخه در شبکه به صورت دستی منتشر می شود روش دوم روشی مناسب جهت شبکه های متوسط می باشد هر چند که ممکن است از دید مدیران شبکه بروزرسانی خودکار کاراتر باشد .

از آنجایی که کروم یک نرم افزار کد باز است این کدینگ می تواند کمک شایانی به هکر ها بدهد چرا که با داشتن کدینگ مربوطه نقاط ضعف بیشتر و بیشتر نمایان خواهد شد .بروز رسانی نسخ کروم همیشه توصیه شده است چرا که با تعییر نسخه در واقع نقاط ضعف شناخته شده آن رفع شده است .شما می توانید شماره آخرین نسخه مورد تائید مایکروسافت را از آدرس زیر دریافت نمائید:

استفاده از یک قالب آماده

فایل policy_template.zip کروم حاوی تنظیمات دو ورژن ADM و ADMX گروپ پالیسی می باشد که مورد استفاده شبکه های مبتنی بر ویندوز سرور 2008 می باشد در صورتیکه در شبکه از نسخه ویندوز 2003 استفاده می نمائید می بایست از فایل تنظیمات ADM استفاده نمائید.قبل از شروع به انتشار کروم با استفاده از Group Policy Management snap-in یک GPO جدید برای پالیسی کروم ایجاد میکنیم

و این گروه را به OU که می خواهیم کروم را بر روی آن انتشار و مدیریت کنیم تخصیص می دهیم . در صورتیکه قصد دارید از کروم نصب شده بر روی سرورها و کلاینتها برای مصارف سازمانی استفاده نمائید می بایست تنظیمات مرورگر بر روی لیست آدرس های مجاز داخل سازمان تنظیم شود

همچنین مدیر شبکه با محدود سازی تنظیمات بر روی پالیسی ها می بایست از فعال شدن اسکریپت های جاوا و پلاگین ها در درون شبکه (سرورها و کلاینت ها )جلوگیری نماید .در زیر نحوه استفاده از یک قالب آماده در گروپ پالیسی با استفاده از فایل ADM نشان داده شده است:

 

  1. Extract the Chrome policy__template.zip file. The chrome.adm file for the English language can be found in \\policy_templates\\windows\\adm\\en-US\\chrome.adm.
  2. Navigate to Computer Configuration > Policies > Administrative Templates. Right click on

Administrative Templates and select Add/Remove Templates.

  1. In the Add/Remove Templates dialog, click the Add button and select the chrome.adm file from the extracted Chrome policy templates location.
  2. Once the template is loaded, Chrome policies can be managed by navigating to Computer

Configuration > Policies > Administrative Templates > Google > Google Chrome and then

 

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی

 

توجه داشته باشید که در شکل نمایش داده شده دو فلدر Google Chrome و Google Chrome (recommended) وجود دارد که هر دو حاوی تنظیمات کروم می باشند .مجموعه تنظیمات موجود در فلدر Google Chrome (recommended) زیر مجموعه از فلدر Google Chrome می باشد. اگر سیاست ها در فلدر Google Chrome (recommended) تنظیم شده باشد

در آنصورت تاثیر آن بر روی قسمتهایی است که در فلدر Google Chrome تنظیمی برای آن در نظر گرفته نشده است. اینگونه رفتار شاید از دید ویندوز معمول نباشد بنابراین توصیه شده به منظور جلوگیری از سردرگمی کلیه تنظیمات توسط مدیر سیستم بر روی فلدر Google Chrome انجام شود .در حالیکه می توان سیاست های موجود در پوشه Google Chrome (recommended) را به عنوان سیاست های پیش فرض قرارداد ولی بهتر است که مدیر سیستم ویندوز اینگونه سیاست ها را در فلدر Google Chrome تعریف و در شبکه منتشر نماید .

استقرار اولیه

انتشار کروم در یک شبکه مبتنی بر ویندوز بسیار ساده می باشد در ابتدا مدیر سیستم می بایست یکی از سه روش انتشار کروم در شبکه را انتخاب نماید :

  1. استفاده از ابزار استقرار
  2. استفاده از گروپ پالیسی ویندوز
  3. استفاده از اسکریپت

در این مقاله نگاه ما بر روی گروپ پالیسی ویندوز بوده چرا که استفاده از آن هزینه استفاده از ابزارهای جانبی را نداشته و استفاده از آن ساده تر از استفاده از اسکریپت می باشد .برای انتشار کروم بر بروی شبکه با استفاده از گروپ پالیسی می بایست روال زیر طی شود

در گروپ پالیسی

 

Computer Configuration > Policies < Software Settings > Software installation

 

بر روی Software installation کلیک راست کرده و گزینه new و پس از آن Pakage را انتخاب می کنیم یک دیالوگ باکس بر روی صفحه به شما نمایش داده خواهد شد با کلیک بر روی گزینه browes مسیر فایل MSI را برای سیستم مشخص می نمائیم در نظر داشته باشید که مسیر فایل MSI برای کلاینتها و در کل برای کل سیستمهایی که قصد دارید کروم بر روی آنها نصب شود نیز می بایست در دسترس باشد.

پس از تائید مسیر فایل MSI دیالوگ باکس انتشار نرم افزار نمایان خواهد شد. در این قسمت انتخاب پیش فرض را در نظر نخواهیم گرفت و بر روی دکمه تائید کلیک می کنیم پس از چند دقیقه پکیج ایجاد شده برای انتشار کروم نمایان خواهد شد ( مانند شکل ) و در صورت انتشار نیاز به 2 الی 3 بار راه اندازی مجدد سیستمها می باشد .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی

 

دقت داشته باشید شماره نسخه نصب شده بر روی کلاینت ها ، نمایش داده شده در گزارشات نصب نرم افزار گروپ پالیسی با نسخه اصلی deploy شده یکسان نمی باشد به طور مثال در اینجا همانگونه که در شکل مشخص است نسخه 65.27 به عنوان نسخه برنامه مشخص شده در صورتیکه نسخه نصب شده دارای شماره 20.0.1132.47 می باشد.در روال deploy گوگل کروم ممکن است نسخه هایی از گوگل کروم که نیازی به مجوز سطح administrator جهت نصب نداشته باشند از قبل بر روی کلاینتها نصب شده باشند که در این صورت پس از اجرای رویه deploy همگی remove ، و نسخه جدید جانشین می شود .

بروز رسانی از طریق انتشار

نصب از طریق شبکه گوگل کروم قابلیت به روز رسانی دستی را از کلاینتها خواهد گرفت و تنها منبع بروز رسانی سرور دومین شما خواهد بود برای بروز رسانی نسخ ها به طریق زیر عمل میکنیم :

مانند شکل زیر بر روی currently assigned software installation policy for Chrome کلیک راست کرده و All Tasks > Remove را انتخاب میکنیم در قسمت باکس remove نرم افزار گزینه زیر را انتخاب و OK میکنیم:

Allow users to continue to use the software, but prevent new installations

این عمل باعث حذف نسخه قدیم می شود حال یک Group Policy software installation policy جدید جهت نسخه جدید گوگل کروم ایجاد میکنیم و از همان دایرکتوری قبلی جهت انتشار استفاده میکنیم ولیکن از نسخه جدید MSI:

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی

 

در این قسمت رویه نصب و بروز رسانی نرم افزار گوگل کروم توضیح داده شد در قسمت و یا قسمتها بعدی به جزئیات این نرم افزار خواهیم پرداخت.در ادامه بحث انتشار و امن سازی گوگل کروم در شبکه به موضوع پالیسی ها می پردازیم :

بروز رسانی پالیسی

اولین نکته ای که admin های شبکه می بایست به آن توجه داشته باشند دانلود آخرین نسخه Chrome Group Policy templates در زمان انتشار یک نسخه ماژور گوگل کروم و انتشار آن در شبکه می باشد که از اهمیت بسزایی برخوردار است . می بایست نسخه قدیم را بد دانسته و نسخه جدید را جایگزین نمایند چرا که در نسخه جدید احتمال وجود removal های جدید و ... بسیار می باشد ولی در برخی مواقع ممکن است نسخه قدیمی اهمیت بسزایی برای admin ها داشته باشد در اینگونه مواقع می توان محتویات دو نسخه جدید و قدیم را با هم مقایسه نمود که برای این منظورمی توان از ابزار file comparison برای مقایسه دو نسخه استفاده نمود .

البته مدیران می توانند سیاست های بد دانسته شده توسط گوگل را مشاهده نمایند برای این منظور یک تب جدید در گوگل کروم باز نموده و آدرس chrome://policy درج و نتایج را مشاهده نمایند. در صفحه باز شده در ستون Status با دیدن عبارت This policy has been deprecated متوجه خواهید شد این سیاست یک سیاست بد دانسته شده است . لازم به ذکر است تا زمان اعمال شدن پالیسی جدید پالیسی های قدیمی موجود در رجیستری به رسمیت شناخته می شود .

یک مدیر شبکه می بایست قبل از انتشار بسته امنیتی کروم می بایست سیاست های بد دانسته شده را مطالعه و ویرایش نماید و پس از آن از طریق گروپ پالیسی اقدام به انتشار آن کند برای انجام این مهم نیز می توان از Group Policy Management Editor استفاده و سیاست های مد نظر را به Not Configured تغییر داد .

در نظر داشته باشید سیاست های بد دانسته شده در رجیستری با بروز رسانی حذف خواهند شد بدیهی است در صورت عدم بروز رسانی سیاست های بد دانسته شده در رجیستری باقی خواهند ماند .

اما نکته مهم ماجرا در اینجاست که در ابتدا Chrome Group Policy templates بروز رسانی می شود و پس از اتمام پروسه بروز رسانی در تمام کلاینتها مدیر شبکه نسخه جدید گوگل کروم را در شبکه منتشر می نماید (templates امنیتی و نسخه گوگل می بایت همخوانی لازم را داشته باشند )

پالیسی 

جدول 1 لیستی از پالیسی های توصیه شده گوگل کروم به منظور امن سازی و harden کردن کروم شما می باشد . پالیسی های توصیه شده برای برقراری ارتباط بین یک کاربری آسان و راحت و امنیت بایسته در شبکه های enterprises بوده که بر رعایت آن تاکید فراوان شده است .البته برخی از آنان می توانند سخت گیرانی تلقی و برخی دیگر ساده در نظر گرفته شود ولی رعایت آنان مهم می باشد البته برای مطالعه و استفاده از مرجع کامل این پالیسی ها کروم سایت زیر را معرفی نموده است :

Chrome Policy List. http://www.chromium.org/administrators/policy-list-3

سیاست های مورد بحث دراین راهنما در قسمت Computer Configuration section گروپ پالیسی در زیر فلدر Google Chrome تنظیم می شوند که مسلما تاثیر آن در رجیستری کلاینتها در قسمت

HKLM\Software\Policies\Google\Chrome\

خواهد بود برای اطلاع از جزئیات ماجرا و مفهوم کلیدهای به همراه رابطه ارزشی آنان در رجبستری به بخش Appendix B در شماره سوم این سری مقالات مراجعه نمایید . کاربران خانگی هم می توانند از نسخه enterprises نیز استفاده نمایند و سیاست های امنیتی را نیز در بخش Windows local policy وارد نمایند و در صورتیکه نسخه ویندوز از local policy پشتیبانی نماید این راهنما کارا خواهد بود .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت دوم

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت دوم

در نظر داشته باشید که می توان از پالیسی ها با فعال و یا غیر فعال کردن آنها بهره جست که این مهم در policy state مشخص شده است . پالیسی های دیگر نیاز به تنظیمات اضافه ای دارند که در بخش بعدی مورد بحث قرار میگیرند.

 

User Settings and User Cache Location

پالیسی Set user data directory ، پالیسی می باشد که در آن اطلاعات کاربری کاربر مانند bookmark ها، history و ... در آن ذخیره می شود مسیر پیش فرض این تنظیمات به قرار زیر می باشد :

C:\Users\\AppData\Local\Google\Chrome\User Data

 

Default Search Provider

در برخی از شبکه ها شاید نیاز به تعریف یک سایت پیش فرض باشد این عمل به کاربر کمک میکند تا بدون استفاده از یک موتور جستجوگر ، سایت مورد نظر به صورت پیش فرض بر روی کلاینت کاربر در هنگام استفاده از مرورگر کروم باز شود اگر تنظیمات specific default search provider به صورت desired تعریف شود آنگاه استفاده از HTTPS در مرورگر اجباری خواهد بود در جدول زیر نحوه تنظیم صفحه ار پیش تعریف شده در قسمت Google\Google Chrome\Default search provider به https://encrypted.google.com به عنوان صفحه پیش فرض نمایش داده شده است

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت دوم

 

Safe Browsing

این گزینه به شما کمک خواهد کرد در مواجهه با سایت های خطرناک هشداری از سوی کروم بر روی صفحه شما نمایش داده شود اما متوجه باشید در هنگام مواجهه با اینگونه سایتها اطلاعات آنان برای گوگل ارسال نمی شود بلکه بر روی سیستم شما بدون اینکه شما متوجه بشوید و به آرامی ذخیره می شود در زمان استفاده از گوگل کروم ادرس های درج شده در مرورگر با لیست موجود سایتهای خطرناک بر روی کامپیوترتان مقایسه و در صورت عدم انطباق با آن مجوز استفاده از سایت داده می شود در بعضی از موارد مشکوک SHA1 hash ، URL مورد نظر برای گوگل جهت بررسی ارسال می شود بر فعال سازی این ایتم می بایست Enable Safe Browsing موجود در پالیسی ها را Enabled کنیم .

Protocol Schemes

کروم قدرت پشتیبانی از پرتکل های مختلف را دارد زمانیکه Disable URL protocol schemes را Enabled باشد قویا توصیه می شود file, javascript در حالت block قرار بگیرند این امر به منظور جلوگیری از فعالیتهای خطرناک و خودسرانه اسکریپت های جاوا انجام می شود .

مضاف بر اینکه مدیر شبکه امکان اضافه نمودن پروتکل های خاص را به مجموعه خود دارد به طور مثال می توان از ftp نام برد که با اضافه نمودن آن به مجموعه پرتکل ها view-source را به جهت امن سازی و جلوگیری از مشاهده محتویات صفحه منبع توسط کاربر اضافه میکنیم .

 

3D Graphics

به صورت پیش فرض کروم از WebGL پشتیبانی می نماید اما همانگونه که می دانید برای مشاهده تصاویر به صورت سه بعدی وجود سخت افزار پشتیبانی کننده نقش مهم و اساسی را ایفا می کنند نظر باینکه تعداد سایتهایی که در حال حاضر از این تکنولوژی پشتیبانی نمایند بسیار کم بوده لذا با فعال سازی Disable support for 3D graphics API's به کاهش ترافیک و افزایش سرعت کاربر کمک شایانی خواهد کرد مگر اینکه در جایی با پیغام 3D content is required که در اینجا می بایست تنظیمات را تعویض و آنرابه حالت Not Configure تغییر می دهیم .

 

Cookies

کوکی ها غالبا توسط وب سایتها بر روی کلاینتها ذخیره می شوند که حاوی اطلاعات مورد نیاز وب سایتهاست و از آنها معمولا در مراجعات بعدی کاربر به وب سایت استفاده می شود کروم قابلیت ممانعت از ذخیره شدن کوکی ها بر روی کلاینت را دارا می باشد . این پالیسی از در اختیار گرفتن اطلاعات ورود و خروج کاربر توسط وی سایت ممانعت به عمل می آورد

همچنین این امکان وجود دارد که توسط این پالیسی از ذخیره سازی کلیه کوکی ها توسط وب سایتها بر روی کلاینتها ممانعت به عمل آید و با ایجاد یک لیست سفید مجوز درج کوکی را به وب سایتهای مورد اطمینان داد البته مدیریت این لیست سفید یک بار اضافی برای مدیر سیستم ایجاد می نماید هر چند که مشخص نمودن وب سایتهای مورد اطمینان کار دشواری می تواند باشد .جدول زیر نمایشی از ممانعت از درج کوکی و استفاده از لیست سفید می باشد این پالیسی در

Google\Google Chrome\Content \Settings

موجود بوده و Block cookies on these sites برای ممانعت از درج کوکی بوده که در مثال زیر این مهم برای تمام وب سایتها در نظر گرفته شده و Allow cookies on these sites برای مجوز درج کوکی می باشد که برای دو دومین gov و mil در نظر گرفته شده است .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت دوم

برای اطلاع بیشتر در مورد کوکی ها می توانید از لینک های زیر استفاده نمائید

https://en.wikipedia.org/wiki/HTTP_cookie
http://www.chromium.org/administrators/policy-list-3#CookiesAllowedForUrls 

شکل زیر نمایشی از حالت block cookies می باشد

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت دوم

راهکارهای موازی دیگری نیز موجود است به طور مثال در هنگام خروج از کروم کلیه کوکی ها به صورت پیش فرض از بین برود برای این منظور می بایست پالیسی Default cookies settings فعال و پس از آن پالیسی

  • Keep cookies for the duration of the session فعال البته در برخی نسخه ها این گزینه با عنوان
  • Clear site data on browser shutdown معرفی شده است کلا استفاده از این گزینه جزء گزینه های توصیه شده می باشد .و در ادامه با فعال سازی پالیسی

 

Block third party cookies

از درج third party cookies می توان جلوگیری کرد عملکرد این نوع کوکی ها در واقع track کردن کاربران است که توسط وب سایتهای تبلیعاتی صورت می پذیرد که اهمیت استفاده از این پالیسی به مانند پالیسی فوق الذکر می باشد .در قسمت بعدی به تنظیمات JavaScript، Plugins، Extensions ، Google Update و نهایتا Appendix در کروم خواهیم پرداخت .در بخش سوم مقاله آموزشی انتشار و امن سازی گوگل کروم به مباحثی از قبیل plugin ها ، java script و ... خواهیم پرداخت

 

JavaScript جاوااسکریپت

همانطور که مطلع هستید JavaScript نقش بسزا و در برخی مواقع پایه ای در اکثر وب سایتها و بهبود عملکرد کاربران دارد ولیکن گوگل کروم این قابلیت را دارا می باشد که بر اساس سیاست های شما از کارکردن اسکریپت های جاوا ممانعت به عمل آورد و این امر به منظور به دست آوردن امنیت بیشتر می باشد و لیکن محدودیتهای بسیاری هم در پی دارد . اکثر کاربران برای مشاهده کامل وب سایتها نیاز به دسترسی کامل به جاوا اسکریپت دارند که این امر در ابتدا با محدود نمودن اجرا کامل جاوا اسکریپت و پس از آن ایجاد یک لیست سفید و تعریف دومین های مورد تائید در آن امکان پذیر خواهد بود .

این راهکار جزء راهکارهای خوب security practice بوده که امنیت شبکه و کاربران را می توان به وسیله آن تضمین نمود ولیکن این امر باعث بروز ترافیک کاری بیشتری برای مدیران شبکه خواهد شد چرا که با درخواست های بیشماری از سوی کاربران شبکه در خصوص تخصیص مجوز استفاده از وب سایت مورد علاقه خود روبرو خواهند شد که در صورت تائید می بایست در لیست سفید ایجاد شد درج شوند .مثال زیر درخصوص همین مسئله در مسیر

Google\Google Chrome\Content \Settings\

با نحوه تنظیمات Allow Javascript on these sites و Block Javascript on these sites بوده که به دومین های gov و mil مجوز استفاده از اسکریپ ت های جاوا داده شده و مابقی دومین ها این مجوز را نخواهند داشت

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت سوم

 

Plugins پلاگین ها

ساختار و معماری کروم برای نمایش محتویات سایت ها بر اساس استفاده از پلاگین ها می باشد که بسته به مکان و موقعیت با اجرا نمی شوند Chrome sandbox افزودن پلاگین ها می توان از آنها بهره جست اکثر پلاگین ها در مجوز اجرای خودسرانه پلاگین ها علاوه بر افزایش بار بر روی کروم و شبکه باعث ایجاد بستری جهت حملات اینترنتی به دستگاه شما خواهد شد. در نصب کروم چندین پلاگین موجود است که می بایست به صورت پیش فرض فعال و نصب شود که شرح آنها در جدول زیر آورده شده است .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت سوم

ایجاد لیست سیاه و درج تمامی پلاگین ها در آن و تعریف لیست سفیدی از پلاگین ها اکیدا توصیه می شود انجام این مهم با تعریف مقدار * برای پالیسی Specify a list of disabled plugins و پس از آن تعریف پلاگین های جدید در Specify a list of enabled plugins صورت می پذیرد لیست سفید از اجرای پلاگین های فاقد مجوز جلوگیری میکند .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت سوم

جداول فوق ریسک هایی که با فعال سازی پلاگین ها ی فعال شده را نمایش می دهد . اگر پلاگین های شما از پلاگین های (NPAPI) Netscape Plugin Application Programming Interface استفاده کند در آنصورت آن یک sandboxed نخواهد بود و در صورتیکه از (PPAPI) ، Pepper Plugin Application Programming Interface استفاده کند می تواند sandboxed باشد .

در حالت کلی پلاگین های Sandboxed می بایست همیشه بر یک non-sandboxed plugins اجرا شود.البته در جداول فوق پلاگین های استفاده شده اکثراً sandboxed نمی باشند .کروم پشتیبانی خود را از sandboxed نرم افزارهای Adobe Flash و Adobe PDF reader رو از نسخ 8 و 21 آغاز کرد البته در نظر بگیرید که از ویندوز 8 پلاگین هایی که NPAPI نباشند قابلیت اجرا دارند .

یک مدیر شبکه می تواند با نگاه به آدرس chrome://plugins در کروم Omnibox از پلاگین های موجود در کروم اطلاع حاصل نماید همچنین با کلیک بر روی گزینه Details در سمت راست به جزئیات پلاگین ها مانند نوع NPAPI یا PPAPI ، نام ، محل و ... دست پیدا نمایند .مدیران شبکه در جریان باشند برای اینکه لیست سفید آنها به درستی کار کند می بایست

دقیقا نام پلاگینی که در قسمت جزئیات نمایش داده شده را در لیست سفید درج نمایند حساسیت به حروف بزرگ و کوچک وجود دارد همچنین لیست سفید از کرترهای عمومی و ؟ نیز پشتیبانی می نماید به طور مثال عبارت QuickTime Plug-in یا ?.?.? QuickTime Plug-in به معنی مجوز اجرای کلیه نسخ پلاگین های QuickTime می باشد همچنین Microsoft Office به معنی استفاده از پلاگین های Microsoft Office می باشد

البته برخی محصولات مانند Java و RealPlayer جهت اجرا نیاز به نصب پلاگین های مختلفی دارند در واقع لیست سفید پلاگین ها می تواند شامل URL های باشد که مجوز اجرای پلاگین هایشان را دارند به طور مثال شما می توانید اجرای پلاگین Adobe Flash را جهت وب سایت های خاص فعال سازید.شکل نمایش داده شده زیر نحوه تنظیمات این مهم نشان داده شده است که در مسیر

Google\Google Chrome\Content Settings\

و Block Plugins on these sites می باشد و با فعال سازی گزینه Plugins on these sites در جهت بلاک کردن کلیه پلاگین ها به جز دامین .gov و .mil این مهم صورت می پذیرد مدیران شبکه می توانند گزینه further restrict plugins را به منظور اجرای پلاگین ها فقط بر روی ارتباطات HTTPS انتخاب نمایند و زمانیکه این آیتم انتخاب می شود بر سایر پالیسی ها ارجحیت می یابد .

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت سوم

یکی از راه های جلوگیری از exploited کاربران شبکه جلوگیری از اجرای پلاگین های منقضی شده می باشد که این آیتم با Disabled کردن گزینه Allow running plugins that are outdated می باشد در شکل زیر نمایشی است از آنچه که کاربران در زمان فعال بودن گزینه بالا خواهند دید آورده شده است :

 

انتشار و امن سازی گوگل کروم با استفاده از گروپ پالیسی قسمت سوم

که در این حالت مدیر شبکه با مراجعه به chrome://plugins و دیدن جزئیات پلاگین منقضی شده به نسبت به دانلود لینک

Download Critical Security Update

جهت رفع مشکل اقدام نمایند .

 


نظرات