مروری بر امنيت مرورگرهای وب (بخش پنجم)- قسمت اول

شماره: IRCAR201410237
تاريخ: 93/07/29

در اين مقاله نگاهي به ويژگي هاي خاص گوگل كروم براي Business مي اندازيم.

گوگل كروم براي Business
كروم براي Business مي تواند بر روي هر سه سيستم عامل كلاينت ويندوز، لينوكس و مكينتاش مورد استفاده قرار گيرد. گوگل يك فايل MSI قابل دانلود را فراهم كرده است كه مي توان از آن براي نصب آفلاين استفاده كرد. مي توان اين فايل را از سايت گوگل دانلود كرد.
فايل MSI مي تواند از طريق SCCM يا ساير ابزارهاي خودكار مي تواند نصب شود يا مي توان با دستور زير نصب گردد:

Msiexec /q /I GoogleChrome.msi

توجه داشته باشيد حتي اگر در حال حاضر بر روي رايانه هاي موجود در يك دامنه كروم توسط كاربر نصب شده باشد، مرورگر هم چنان به خط مشي ها پايبند خواهد بود.

كروم براي Business بر روي ويندوز
بر روي شبكه هاي مبتني بر سرور ويندوز، مي توان از خط مشي گروهي(Group Policy) براي كنترل تنظيمات كروم از قبيل تنظيم يك صفحه خانگي رايج براي تمامي كاربران، خاموش كرون به روز رساني هاي خودكار، تنظميات مربوط به دسترسي پذيري، فعال كردن ديوار آتش براي دسترسي هاي راه دور، كنترل كردن كوكي ها، تنظميات پلاگين ها و جاوا اسكريپت، مسدود نمودن تصاوير و بسياري تنظيمات ديگر استفاده كرد.

تنظيمات خط مشي گروهي در رابطه با امنيت
تعدادي از مهم ترين تنظيمات خط مشي گروهي در زير آمده است:

• RemoteAccessHostFirewallTraversal يك مقدار REG_DWORD است كه مي تواند به كاربران راه دور اجازه دهد تا رايانه خود را جستجو كرده و به آن متصل شوند. اگر مي خواهيد تنها از كلاينت هاي شبكه محلي به رايانه ها متصل شويد، بايد اين خط مشي را غيرفعال نماييد. اين گزينه به طور پيش فرض فعال است.
• RemoteAccessHostDomain يك مقدار REG_SZ است كه مي توانيد از طريق آن يك نام دامنه ميزبان مورد نياز را پيكربندي كنيد. فعال كردن اين تنظيمات اشتراك گذاري ميزبان ها براي حساب هاي كاربري كه در اين دامنه ثبت شده اند را محدود مي كند و كاربران نمي توانند نام دامنه ميزبان را تغيير دهند. به طور پيش فرض، هر حساب كاربري مي تواند براي اشتراك گذاري ميزبان ها استفاده شود.
• RemoteAccessHostRequireTwoFactor يك مقدار REG_DWORD است كه كاربر را ملزم مي كند تا براي دسترسي از راه دور به رايانه ميزبان كد تاييد هويت دو فاكتوري را ارائه دهد. به طور پيش فرض، كدPIN تعريف شده كاربر براي تاييد هويت و دسترسي از راه دور به ميزبان مورد استفاده قرار مي گيرد.
• RemoteAccessHostRequireCurtain يك مقدار REG_DWORD است كه بواسطه آن مي توانيد دستگاه هاي ورودي/خروجي فيزيكي رايانه ميزبان را در مدت اتصال از راه دور غيرفعال كنيد. به طور پيش فرض، كاربران محلي و راه دور مي توانند با يك ميزبان به اشتراك گذاشته شده تعامل كنند.

هم چنين تعدادي تنظيمات ديگر وجود دارد كه به شما اجازه مي دهند تا مشخص نماييد كروم چگونه انواع مختلف محتوا را مديريت كند. اني تنظيمات عبارتند از:

• DefaultCookiesSetting
• DefaultImagesSetting
• DefaultPluginsSetting
• DefaultPopupsSetting
• DefaultGeolocationSetting
• DefaultJavaScriptSetting

تا زماني كه مجوز اجراي جاوا اسكريپت مي تواند باعث به وجود آمدن مخاطرات امنيتي شود، آخرين تنظيم مهم مي باشد. ويژگي sandbox كروم مي تواند اين مخاطرات را كاهش دهد اما شما مي توانيد با تنظيم مقدار اين خط مشي به “2” مانع از اجراي جاوا اسكريپت در وب سايت ها شويد. به طور پيش فرض، جاوا اسكريپت مي تواند در وب سايت ها اجرا شود و كاربران مي توانند تنظيمات را در GUI تغيير دهند.
علاوه بر تنظيمات پيش فرض، خط مشي هايي وجود دارد كه مي توانيد تنظيمات بهتري را داشته باشيد. به عنوان مثال با استفاده از خط مشي هاي CookiesAllowedForUrls و CookiesBlockedForUrls مي توانيد آدرس هاي URL خاصي را براي سايت هايي كه مي خواهيد به آن ها اجازه دهيد تا كوكي ها را تنظيم نمايند و يا آن هايي كه نمي خواهيد اين تنظيمات را انجام دهند، تعريف كنيد. مي توانيد همين كار را براي نمايش تصاوير توسط وب سايت ها انجام دهيد.
خط مشي ExtensionInstallBlacklist مي تواند براي تعيين توسعه دهنده هاي مرورگر كروم كه كاربران اجازه ندارند آن ها را نصب كنند استفاده شود و اگر توسعه دهنده اي كه در فهرست قرار دارد در حال حاضر بر روي رايانه نصب است، حذف شده و توسعه دهنده جديد نصب مي شود. مي توانيد با استفاده از مقدار "*" تمامي توسعه دهنده ها را در ليست سياه قرار دهيد و در صورت نياز توسعه دهنده هايي كه مستثني هستند را در ليست سفيد قرار دهيد. هم چنين خط مشي ExtensionInstallWhitelist وجود دارد تا بتوانيد توسعه دهنده هاي مجاز را تعيين نماييد. حتي مي توانيد با خط مشي ExtensionInstallForcelist برخي توسعه دهنده هاي خاص را مجبور نماييد تا حتما بر روي سيستم نصب شوند.
خط مشي مفيد ديگري وجود دارد كه به ادمين ها اين امكان را مي دهد تا كاربران مديريت شده را ايجاد نمايند. اين قابليت به طور پيش فرض بر روي دستگاه هاي افراد فعال است اما بر روي دستگاه هاي شركت غيرفعال است اگرچه با استفاده از خط مشي SupervisedUsersEnabled مي توانيد آن را فعال نماييد.
هم چنين مي توانيد كنترل كنيد كه كاربران بتوانند يا نتوانند رمزهاي عبور ذخيره شده را در قالب متن ساده نمايش دهند. اين گزينه در مرورگر كروم كمي بحث برانگيز است. هنگامي كه كاربر به آدرس Settings | Show Advanced Settings | Passwords and forms | Manage saved passwords مي رود، كروم فهرست رمز عبورهاي ذخيره شده را نشان مي دهد و كاربر مي تواند با كليك بر روي دكمه Show، رمز عبور خاصي را در يك متن ساده مشاهده كند. اين مساله زماني كه يك كاربر غيرمجاز پشت يك رايانه قفل نشده مي نشيند و مي تواند رمزهاي عبور را مشاهده كند، يك خط امنيتي محسوب مي شود. تنظميات Password Manager Group Policy مي تواند براي جلوگيري از نمايش رمز عبور استفاده شود كه اين كار با خط مشي PasswordManagerAllowShowPasswords صورت مي گيرد و يا حتي مي توان با خط مشي PasswordManagerEnabled مانع ذخيره شدن رمزهاي عبور شد.
مي توانيد خط مشي ها را به گونه اي تعريف كنيد كه اجباري اجرا شوند يا به صورت پيشنهاد ارائه شوند. تنظميات موارد اجباري در كليد رجيستري HKEY_LOCAL_MACHINE و تنظميات پيشنهادي در كليد رجيستري HKEY_LOCAL_USER ثبت مي شوند.
در قسمت دوم اين مقاله الگوهاي مديريتي و تنظميات كروم براي Business بر روي سيستم هاي لينوكس و مكينتاش را توضيح خواهيم داد.

مطالب مرتبط:
مروري بر امنيت مرورگرهاي وب (بخش اول)
مروري بر امنيت مرورگرهاي وب (بخش دوم)
مروري بر امنيت مرورگرهاي وب (بخش سوم)
مروري بر امنيت مرورگرهاي وب (بخش چهارم)

منبع:
http://www.windowsecurity.com/