admin管理员组文章数量:1620920
一、背景
应客户需求工单,对特定域名需进行白名单配置,且主要针对chrome浏览器,除白名单外所有网址禁止访问;域名类似如下:
*.telexpress
*.wubidz
*.dazima
*.pampers
*.olay
二、需求分析
1)上述白名单域名并没有对应明确的IP地址;而生产环境对网络限制主要通过外部NSX-edge逻辑防火墙;而其是根据IP地址和协议端口来进行规则匹配的;因此,无法再NSX-edge侧进行需求实现;
2)利用chrome admx或adm模板进行域名控制,但这种情况只能限制google浏览器本身,实际验证用户仍可使用其他浏览器正常访问网络;
3)在上述基础上,需禁用IE浏览器,通过域策略配置–安全里–软件使用限制,可禁用IE;实际验证用户配置中配置代理,server2016针对IE10实际效果无效。
4)IE禁用后,用户还可以使用其他浏览器安装;域策略里禁用常用浏览器程序,通过域策略—系统—禁止软件运行;但实际效果不佳,因此,该方法未效。
5)基于以上考虑,禁用用户安装软件,但生产环境中域用户都具备本地管理员权限,因此,限制domain users效果不佳,通过域策略—计算机配置—安全–应用程序控制–限制软件执行或安装,实际验证效果不佳;注:具备power users组权限的用户就具备安装软件的权利,也可考虑限制该权限。限制everyone用户强制执行有风险,实际验证会导致用户终端和ad中系统程序无法执行,导致系统黑屏无法正常加载启动。
6)综上:chrome限制域名不能访问百度,禁用下载,设置为默认浏览器,IE禁用;其他软件不安装,用户无法通过网络进行软件下载安装,从而实现需求;
遗留问题:用户仍可通过文件夹重定向和USB传入浏览器安装包,进行正常网络访问。
三、需求实现落地过程
1)Google Chrome组策略的ADM / ADMX模板:
http://dl.google/dl/edgedl/chrome/policy/policy_templates.zip或
https://download.csdn/download/ximenjianxue/18650496
同一目录中有一个chrome.reg文件。它包含可以
版权声明:本文标题:Google Chrome组策略配置白名单 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728808878a1174569.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论