Google Chrome über GPOs konfigurieren: URLs, Erweiterungen und Cookies blockieren, Startseiten festlegen

    Google Chrome LogoTrotz aller Macken blieben viele Unter­nehmen dem Internet Explorer treu, weil er über lange Zeit der einzige Browser war, der sich umfassend zentral verwalten ließ. Dem ist aber längst nicht mehr so, weil zahlreiche Einstellungen von Google Chrome über GPOs konfiguriert werden können. Besonders interessant sind besonders jene zur Erhöhung der Sicherheit.

    Für das Management des IE entstand im Lauf der Jahre ein Sammelsurium an Tools, die teilweise wieder aufgegeben wurden. Aktuell übernimmt diese Aufgabe eine Mixtur aus administrativen Vorlagen und Group Policy Preferences, während das IEAK primär für PCs gedacht ist, die keiner Domäne angehören (siehe dazu: Internet Explorer-Wartung vs. GPO vs. IEAK).

    MSI-Datei für automatisierte Installation

    Im Unterschied dazu wirken die Richtlinien für Google Chrome sehr konsistent. Sie basieren sämtlich auf administrativen Vorlagen und sind in identischer Form für die Computer- und Benutzerkonfiguration verfügbar. Mit den insgesamt fast 200 Einstellungen lassen sich fast alle Aspekte des Browsers konfigurieren.

    Anders als der Internet Explorer, der als Teil des Betriebssystems ausgeliefert wird, muss Chrome auf alle vorgesehenen PCs verteilt werden. Daher bietet Google als Alternative zum Web-Installer, der primär für private Anwender gedacht ist, ein MSI-Paket an, das sich ohne Benutzerintervention (Silent Installation) über GPOs oder Client-Management-Tools wie SCCM installieren lässt.

    Unautorisierte Installationen nachträglich zügeln

    Die Download-Seite für das MSI-Paket und die Dokumentation für das zentrale Management sprechen stets von Chrome for Work, die MSI-Datei führt "enterprise" im Namen. Dennoch handelt es sich dabei um keine spezifische Ausführung für Firmen, der das Management über GPOs vorbehalten ist. Vielmehr greifen die Gruppenrichtlinien auch dann, wenn man den Browser in Consumer-Manier heruntergeladen und interaktiv installiert hat.

    Aus diesem Grund kann man auch nachträglich alle Instanzen von Chrome verwalten, die Benutzer in Eigenregie aufgespielt haben. Dies geschieht relativ häufig, weil man den Browser auch ohne administrative Privilegien installieren kann, wobei er in diesem Fall im Profil des jeweiligen Users landet.

    Administrative Vorlagen einrichten

    Der erste Schritt zur Konfiguration von Chrome über GPOs besteht darin, dass man die nötigen Templates herunterlädt und an ihren Bestimmungsort kopiert. Verwendet man einen zentralen Store, dann überträgt man chrome.admx nach \\<domain>\SYSVOL\<domain>\policies\PolicyDefinitions\, bei einem lokalen Setup nimmt man stattdessen %SystemRoot%\ PolicyDefinitions.

    Die gewünschten Sprachdateien kommen in die passenden Unterverzeichnisse (etwa de-DE). Die deutsche .adml-Datei ist aktuell nur teilweise übersetzt, so dass die Beschreibungen einiger Einstellungen im GPO-Editor auf Englisch angezeigt werden.

    Einstellungen, die der Benutzer ändern kann

    Verknüpft man ein neues GPO mit einer OU und bearbeitet es im Gruppenrichtlinienverwaltungs-Editor, dann finden sich die Einstellungen für Chrome unter Computer- oder Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Google => Google Chrome. Dabei fällt als Besonderheit auf, dass der Zweig Google Chrome doppelt vorhanden ist, einmal davon mit dem Zusatz Standardeinstellungen (können vom Benutzer überschrieben werden).

    Die optionalen Einstellungen enthalten nur eine Teilmenge der verbindlichen Richtlinien.

    Die Einstellungen dort übernehmen eine ähnliche Aufgabe wie Group Policy Preferences, indem sie einen Vorgabewert setzen, der aber nicht verbindlich ist. In diesem Abschnitt sind jedoch längst nicht alle Einstellungen aus dem oberen Zweig vorhanden, die der Administrator erzwingen kann. Vielmehr dominieren dort Benutzerpräferenzen wie verschiedene Formen des Autovervollständigens oder das Festlegen der Startseiten.

    Grundsätzlich lassen sich über GPOs alle Einstellungen vornehmen, die Chrome auch für die interaktive Konfiguration auf der zuständigen Seite bietet. In der Regel werden Administratoren jedoch hauptsächlich solche Vorgaben machen, mit denen sich die Sicherheit erhöhen lässt oder mit denen sie die Nutzung der Software vereinfachen.

    Unerwünschte Erweiterungen blockieren

    Insgesamt sind die zahlreichen Policies weitgehend selbsterklärend. Etwas knifflig ist dagegen das Ausschließen unerwünschter Erweiterungen, das Blockieren von URLs und Cookies oder die Festlegung von Startseiten.

    Zu den größten Herausforderungen beim Einsatz von Chrome in Unternehmen gehören die zahlreichen Plugins, die User einfach vom Web Store herunterladen und installieren können. Google hat größte Mühe, seinen Store von Schadprogrammen und minderwertigen Extensions freizuhalten, wie die betrügerischen Ad Injections zeigen.

    Mit der Blacklist lassen sich entweder einzelne Erweiterungen blockieren oder alle, wenn man eine Whitelist verwendet.

    Systemverwalter in Unternehmen werden daher die Möglichkeit begrüßen, die Verwendung von Erweiterungen über GPOs zu regulieren. Zur Auswahl stehen, wie in solchen Fällen üblich, das Black- und das Whitelisting von Extensions. Die zuständigen Einstellungen finden sich im Ordner Erweiterungen und heißen Schwarze bzw. Weiße Liste für die Installation von Erweiterungen konfigurieren.

    Angesichts hunderter oder tausender Plugins im Web Store wird ein Blacklisting kaum eine sinnvolle Maßnahme sein, da man unmöglich den Überblick über alle unerwünschten Erweiterungen behalten kann.

    Um aber das Whitelisting zu aktivieren, muss man zuerst eine Blacklist für sämtliche Extensions anlegen, indem man dort ein Wildcard '*' als Wert eingibt. Danach kann man in der Weißen Liste Ausnahmen für diese Totalblockade eintragen. Gefragt sind hier die IDs der Erweiterungen, die man am einfachsten aus der Webstore-URL ausliest. Es handelt sich dabei um den letzten Teil der Adresse bis zu einem eventuell vorhandenen '?'.

    Die ID einer Erweiterung kann man aus der Webstore-URL entnehmen.

    Als besonders effektiv erweist sich das Blacklisting (auch in Kombination mit einer Whitelist), weil Chrome anschließend alle nicht zugelassenen, aber bereits vorhandenen Extensions automatisch deinstalliert. Daher kann man auch nachträglich noch dafür sorgen, dass keine unerwünschten Erweiterungen im Netzwerk ihr Unwesen treiben.

    Sobald die Blacklist greift, werden nicht zulässige Erweiterungen entfernt.

    Blacklists für URLs

    Auch wenn man unzulässige URLs in den meisten Firmen über die Firewall bzw. einen Proxy-Server blockieren wird, kann man alternativ das Blacklisting von Chrome verwenden (was natürlich andere Browser nicht daran hindert, diese Seiten zu laden).

    Der Zugriff auf URLs lässt sich im Zusammenspiel von Black- und Whitelists regeln.

    Dies funktioniert nach der gleichen Logik wie das Blockieren von Erweiterungen. Die Whitelist dient wieder dazu, Ausnahmen für die mittels Blacklist gebannten URLs zu definieren. Die beiden dafür erforderlichen Einstellungen heißen Zugriff auf aufgelistete URLs blockieren und Zugri ff auf aufgelistete URLs gewähren.

    Regeln für Cookies

    Nach einem ähnlichen Muster funktioniert auch die Festlegung von Cookie-Regeln. Zum einen findet sich unter Inhaltseinstellungen je eine Richtlinie für das Black- und Whitelisting, wobei Letztere wieder dazu dient Ausnahmen für die Blacklist zuzulassen.

    Zusätzlich kann man die Standardeinstellung für Cookies ändern, die per Vorgabe keinerlei Einschränkungen für das lokale Speichern von Daten macht. Als sinnvolle Alternative empfiehlt sich hier Cookies für die Dauer der Sitzung beibehalten.

    Startseiten vorgeben

    Ein weiteres Anliegen in verwalteten Umgebungen wird häufig darin bestehen, dass man Seiten definiert, die beim Start des Browsers geladen werden, beispielsweise solche aus dem Intranet. Die dafür verantwortlichen Einstellungen unter Startseiten existieren in der verbindlichen und der optionalen Variante, so dass man ausgewählte URLs entweder verbindlich festlegen oder den Benutzern das Recht einräumen kann, diese zu ändern.

    Um bestimmte Seiten automatisch zu laden, muss man erst Aktion beim Start konfigurieren.

    Für die Vorgabe von Startseiten ist die Anpassung beider Einstellungen erforderlich. Zuerst wählt man für Aktion beim Start die Option URL-Liste öffnen. Anschließend gibt man unter Beim Start zu öffnenden URLs die Adressen aller Seiten ein, die Chrome laden soll.

    Troubleshooting

    Wenn die in einem GPO vorgenommenen Einstellungen nicht wie vorgesehen wirken, dann bemüht man normalerweise erst gpresult, um herauszufinden, ob die Richtlinien angewandt wurden. Bei Chrome kann man mit dem Troubleshooting in der Applikation selbst beginnen, indem man chrome://policy/ in die Adresszeile eingibt.

    Über den Befehl chrome://policy kann man sich anzeigen lassen, welche Einstellungen wirksam sind.

    Der Browser zeigt dann an, welche Einstellungen er erkannt hat und welche Priorität sie besitzen, also ob sie für den Benutzer oder den Computer definiert wurden. Außerdem kann man hier erkennen, ob es sich um eine verbindliche Vorgabe handelt oder um eine solche, die der Benutzer ändern darf.

    5 Kommentare

    Bild von Feldhuhn
    Feldhuhn sagt:
    9. Juni 2015 - 15:58

    Feine Sache.

    Gibt es so etwas auch für Firefox oder Firefox ESR?

    Bild von Gast
    Gast sagt:
    2. September 2015 - 20:00

    Gibts auch für Firefox: http://www.frontmotion.com. Dort gibts ein MSI, welches den Original-Firefox installiert und ein weiteres MSI, welches einen angepassten "Frontmotion Firefox Community Edition" installiert, welcher sich über Gruppenrichtlinien absichern lässt. Weiterhin sei das Firefox-Addon "CCK2 Wizard" genannt, welches "normale" und auch die Frontmotion Community Edition-Firefox-Installationen anpassen kann.

    Bild von klee
    klee sagt:
    9. Juni 2015 - 16:35

    Netter Artikel. Hat jemand auch einen Tipp, wie man die Installation von Chrome unterbinden kann? Es gibt einfach Rechner, auf welche der Browser nicht soll, der User aber einfach den Browser ohne Adminrechte installiert...

    Bild von Wolfgang Sommergut
    9. Juni 2015 - 19:23

    Applocker oder Tools von Drittanbietern zum Whitelisting von Anwendungen können das. Eine Behelfslösung bestünde darin, mit Hilfe eines GPO sämtliche URLs zu blockieren, indem man wie oben beschrieben '*' in die Blacklist einträgt. Das verhindert zwar nicht die Installation, macht den Browser aber unbrauchbar.

    Bild von Andreas
    Andreas sagt:
    21. Juni 2019 - 14:47

    Super Anleitung. Leider scheint sie bei mir nicht zu funktionieren. Ist es möglich dass es mittlerweile anders Gehandhabt wird?
    Ich die Police mit "Startseiten-URL Konfigurieren" sowie mit den oben erwähnten Konfigurationen versucht. GPO wird vom Testuser gezogen, Google Chrome interessiert es aber nicht.