Chrome IT Security Policies Windows
Patrick Dahlke4 min read

Hacken gegen die IT-Abteilung - Chrome-Richtlinien

Hacken gegen die IT-Abteilung - Chrome-Richtlinien
Bildquelle

Was tun, wenn…

die IT-Abteilung die Chrome-Richtlinien so ändert, dass Chrome unbrauchbar wird oder die gewohnte (Entwickler-)Nutzererfahrung verloren geht?

Ausgangssituation

Als Google-Fan verwende ich offensichtlich Google Chrome als meinen Standardbrowser. Allerdings musste ich seit einigen Tagen jeden Morgen feststellen, dass ich auf allen Seiten (Google, Github, Stackoverflow usw.) nicht mehr eingeloggt bin. Tägliches neues Anmelden mit Zwei-Faktor-Authentifizierung ist ein echtes Ärgernis und kostet eine gewisse Zeit. Etwa 30 Sekunden pro Seite, wenn man schnell ist. Jeden Tag, fünf Tage die Woche. Das ist nicht gerade produktiv, und auf meinem privaten Windows-Rechner kann ich dieses Verhalten nicht reproduzieren. Also hat es definitiv etwas mit der Arbeitsumgebung zu tun. Mein erster Gedanke: Gruppenrichtlinie

Ich kenne den Chromium-Quellcode sehr gut, aber bisher wusste ich nichts über Windows-Gruppenrichtlinien und Google Chrome. Nach kurzer Suche fand ich dies: https://support.google.com/chrome/a/answer/187202?hl=de

Also kann die IT-Abteilung maschinenweite Richtlinien für Google Chrome festlegen. Und das ist der Grund für das seltsame/unbekannte Verhalten meines Browsers. Dies wird durch das Setzen von Registry-Schlüsseln erreicht in: HKLM\\Software\\Policies\\Google\\Chrome

Warum machen sie das? Meine Vermutung ist, dass sie die Chrome-Installation anpassen und sichern wollen, die über das Client-Management kommt. Nett, aber andere Chrome-Installationen werden auch von diesen Richtlinieneinstellungen betroffen.

Und jetzt? Etwas anderes als Chrome oder Chromium zu verwenden, ist keine Option.

Lösung 1: Beobachten der Windows-Registry

Ich habe einen Windows-Dienst geschrieben, der den Registry-Pfad HKLM\\Software\\Policies\\Google beobachtet, den Chrome-Unterschlüssel (und alle anderen Untereinträge) löscht, wenn er vorhanden ist, und Chrome eine JavaScript-Funktion aufrufen lässt, die die Richtlinien aktualisiert. Wie der Aktualisieren-Button hier: chrome://policy. Diese Lösung funktioniert, ist aber nicht 100% gut. Denn wenn Sie den Browser schließen und die Richtlinien gesetzt werden… ist alles verloren und Sie müssen sich beim nächsten Start neu anmelden. Ressourcen werden ebenfalls benötigt.

Lösung 2: Surfen in einer virtuellen Maschine

Eine Linux-basierte VM zum Browsen verwenden. Ich liebe Linux-basierte Betriebssysteme. Aber in diesem Fall würde ich den Endpoint-Schutz verlieren – und in der Firma ist es manchmal gut, eine solche Funktion zu haben (meine Meinung). Und es gibt noch einige andere Nachteile. Zunächst würde beim Herunterladen von Software die automatische Auswahl für das Betriebssystem nicht mehr funktionieren. Weil der Host Windows 10 und die VM ein Ubuntu oder ähnliches ist.

Ich habe meine Meinung dazu im Laufe der Jahre geändert.

Lösung 3: Chromium kompilieren

Es ist weithin bekannt, dass das Chromium-Projekt Open Source ist. Seine Homepage ist https://www.chromium.org/ und Sie können den Code über den fetch-Befehl erhalten, der in den depot_tools enthalten ist. Siehe https://chromium.googlesource.com/chromium/src/+/master/docs/windows_build_instructions.md für Windows-Build-Anweisungen.

Im Chromium-Quellcode gibt es mehrere Vorkommen von HKLM\\Software\\Policies\\Google\\Chrome. Wenn Sie den einfachen Weg gehen wollen, ändern Sie all diese z.B. zu HKLM\\Software\\Policies\\Google\\Chromium. Oder deaktivieren Sie den Policy-Loader, wenn Sie mit dem Chromium-Projekt vertrauter sind, und vergessen Sie nicht, den API-Key, die Client-ID und das Client-Secret zu generieren. Es gibt ein HOWTO zu diesem Thema: https://www.chromium.org/developers/how-tos/api-keys

Chromium fehlen einige Funktionen im Vergleich zu Google Chrome (Videoformate, Flash usw.), aber es bleibt meine bevorzugte Lösung, um Einschränkungen zu vermeiden, die durch von der IT-Abteilung verwaltete Gruppenrichtlinien gesetzt werden.

Um Chromium als meinen Standard-Win10-Browser auszuwählen, habe ich einige Schlüssel zur Registry hinzugefügt:

Denken Sie daran, C:\\chromium\\ in Ihrem Pfad zu ändern.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium]
@="Chromium"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\Capabilities]
"ApplicationDescription"="Chromium ist ein Webbrowser, der Webseiten und Apps in Sekundenschnelle lädt und dabei äußerst stabil und nutzerfreundlich ist. Dank des integrierten Malware- und Phishing-Schutzes können Sie bedenkenlos im Internet surfen."
"ApplicationIcon"="C:\\chromium\\chrome.exe,0"
"ApplicationName"="Chromium"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\Capabilities\FileAssociations]
".htm"="ChromeHTML"
".html"="ChromeHTML"
".pdf"="ChromeHTML"
".shtml"="ChromeHTML"
".svg"="ChromeHTML"
".xht"="ChromeHTML"
".xhtml"="ChromeHTML"
".webp"="ChromeHTML"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\Capabilities\Startmenu]
"StartMenuInternet"="Chromium"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\Capabilities\URLAssociations]
"ftp"="ChromeHTML"
"http"="ChromeHTML"
"https"="ChromeHTML"
"irc"="ChromeHTML"
"mailto"="ChromeHTML"
"mms"="ChromeHTML"
"news"="ChromeHTML"
"nntp"="ChromeHTML"
"sms"="ChromeHTML"
"smsto"="ChromeHTML"
"tel"="ChromeHTML"
"urn"="ChromeHTML"
"webcal"="ChromeHTML"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\DefaultIcon]
@="C:\\chromium\\chrome.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\InstallInfo]
"ReinstallCommand"="\"C:\\chromium\\chrome.exe\" --make-default-browser"
"HideIconsCommand"="\"C:\\chromium\\chrome.exe\" --hide-icons"
"ShowIconsCommand"="\"C:\\chromium\\chrome.exe\" --show-icons"
"IconsVisible"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Chromium\shell\open\command]
@="\"C:\\chromium\\chrome.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications]
"Chromium"="Software\\Clients\\StartMenuInternet\\Chromium\\Capabilities"

Hinweise

Google Chrome, verwaltet durch Client Management, wird derzeit in unserem Unternehmen getestet. Also kann ich vielleicht etwas an den Einschränkungen durch die IT-Abteilung ändern oder die Gruppenrichtlinie für eine bestimmte Gruppe entfernen. Es gibt gute Argumente dafür.

Zusammenfassung

Egal wie die Diskussion mit meinen Freunden in der IT-Abteilung endet, es war wieder eine gute Übung bezüglich Chrome, Windows-Dienste, Windows-Registry und Gruppenrichtlinien. Und es hat wirklich nicht so lange gedauert.

Macht Ihre IT-Abteilung auch solche seltsamen Sachen? Ohne Benutzer-/Mitarbeiterbenachrichtigung?

— Danke :)

Anmerkung: Dies ist eine Übernahme des Posts, der ursprünglich auf Medium veröffentlicht wurde.

Dynamische Datenstrukturen in C
Previous page

Dynamische Datenstrukturen in C

Next page

Meine Meinung zu Rust - Ungeschminkt

Meine Meinung zu Rust - Ungeschminkt

You Might Also Like

Der Mythos des Full-Stack Product Engineers
Safety Security ASPICE FullStack Engineering

Der Mythos des Full-Stack Product Engineers

Evolution oder Rezept für die Katastrophe?

Deutschland entkriminalisiert Ethical Hacking - Bedenken bleiben
Ethical Hacking Hackerparagraf IT Security Policies Deutschland

Deutschland entkriminalisiert Ethical Hacking - Bedenken bleiben

Der Hackerparagraf wird reformiert. Endlich. Das Bundesjustizministerium will Sicherheitsforschung im öffentlichen Interesse entkriminalisieren. Gute Nachrichten - aber es bleiben Fragen.