Você pode usar servidores proxy no ChromeOS para proteger sua organização dos sites visitados pelos usuários. Os servidores de proxy podem filtrar conteúdo não seguro ou indesejado, manter os endereços IP dos usuários ocultos ou filtrar sites específicos.
Quando você usa servidores proxy, as seguintes etapas são executadas:
- As solicitações do site passam pelo servidor proxy.
- O servidor então repassa as solicitações para o site.
- O site retorna a página da Web para o servidor proxy.
- O servidor encaminha a página da Web de volta ao dispositivo do usuário.
Como escolher um proxy?
O ChromeOS é compatível com diferentes esquemas de proxy, dependendo das necessidades organizacionais, como segurança, qual tráfego deve ser transmitido por proxy ou onde a resolução de DNS deve acontecer. Para acessar todos os esquemas de proxy compatíveis no ChromeOS, bem como os detalhes da implementação, consulte Compatibilidade com proxy no Chrome.
Algumas configurações de proxy podem não ser compatíveis com outras configurações de rede. Por exemplo, quando um proxy é configurado no ChromeOS, a resolução de DNS acontece no lado do servidor, exceto em proxies socks4, o que o torna incompatível com as configurações de DNS personalizadas.
Quando você escolhe o mecanismo de autenticação de proxy, diferentes componentes no nível do ChromeOS têm recursos de rede diferentes ou até menores do que o do navegador Chrome.
Autenticação de proxy no nível do ChromeOS
Quando um usuário faz login no navegador Chrome, o nome de usuário e a senha são armazenados no cache de autenticação associado ao perfil e só podem ser acessados para as solicitações de navegação do usuário daquele Chrome no SO do navegador.
Isso significa que os serviços do sistema que exigem conectividade no navegador Chrome, como atualizações de políticas ou registro em quiosques, e, no SO, como atualizações do SO, upload de relatórios de erros ou sincronização do horário do sistema, não têm acesso aos nomes de usuário e senhas. Os administradores de rede precisam garantir que o tráfego gerado pelos serviços do sistema ignore a etapa de autenticação.
Isso também se aplica ao tráfego do Google Play e de apps do Google Play.
Para acessar uma lista de endpoints usados pelos serviços do sistema e pelo Google Play que devem ignorar a etapa de autenticação no proxy, consulte a seção Listas de exceções da autenticação de proxy.
A lista de exceções de proxy pode ser reduzida significativamente em dispositivos registrados configurando a política SystemProxySettings para permitir que os serviços do sistema no SO e o tráfego do Google Play sejam autenticados por um serviço do SO. Saiba mais na configuração "Tráfego de proxy autenticado" em Definir políticas do dispositivo ChromeOS.
Além disso, os certificados de CA personalizados só são válidos para o tráfego de usuários. Quando o proxy faz a inspeção TLS, é preciso permitir que o tráfego do sistema e o tráfego do Android ignorem a inspeção. Consulte Configurar inspeção TLS (ou SSL) em dispositivos Chrome > Configurar uma lista de permissões de nome de host.
Como configurar um proxy explícito no ChromeOS
Qual configuração usar
Você pode configurar proxies no ChromeOS para redes individuais ou globalmente para todas as redes da sua organização. As configurações de proxy estão listadas abaixo em ordem de prioridade:
- Política do usuário ProxySettings: global
- Extensões: global
- Política do usuário OpenNetworkConfiguration: por rede
- Política de dispositivo DeviceOpenNetworkConfiguration: por rede
- IU de configurações de rede: definida pelo usuário por rede
Em geral, as configurações de proxy se aplicam a todo o sistema operacional, com as seguintes exceções em que os usuários precisam permitir explicitamente a configuração de proxy no navegador:
- Os proxies definidos por extensão são desativados por padrão no modo de navegação anônima. Na página chrome://extensions, os usuários precisam permitir explicitamente que a extensão que controla o proxy seja executada no modo de navegação anônima.
Não é possível aplicar proxies definidos por extensão na navegação anônima, mas você pode bloquear esse tipo de navegação se uma extensão pré-configurada não for permitida pelo usuário nesse modo. Para conferir mais detalhes, consulte a política MandatoryExtensionsForIncognitoNavigation. - Caso você use perfis secundários do Lacros, os usuários poderão ativar ou desativar o uso do proxy configurado no SO. Para isso, basta acessar a página chrome://settings/system e ativar a opção Usar configurações de proxy do ChromeOS para este perfil.
Qual formato de configuração de proxy usar
O ChromeOS é compatível com os seguintes formatos de proxy:
- Manual: uma lista estática de identificadores de proxy com uma lista de exceções de endpoints que devem ignorar o proxy.
- Script PAC: um arquivo JavaScript que permite definir regras mais complexas para determinar qual proxy usar para um URL.
- Detecção automática: o protocolo WPAD (descoberta automática do proxy da Web) que é um mecanismo de descoberta em que o DNS ou o DHCP são sondados para conseguir o URL do PAC.
- Direto: um pseudo-proxy que significa que nenhum proxy está sendo usado
Ao decidir o formato, lembre-se do seguinte:
- A resolução de proxy acontece antes da resolução de nome. Se a lista de exceções de proxy estiver configurada usando literais de IP, a exceção só será atendida se o usuário estiver navegando para o endereço IP específico, não para o nome do host associado ao IP. Para saber mais, consulte Regras para ignorar o proxy.
- As informações a seguir se aplicam à compatibilidade de proxy do Android:
- Os URLs de PAC com o data:// scheme não são compatíveis.
- Para configurações de proxy manuais, a lista de exceções não é compatível com caracteres especiais para endereços IPv6 ou caracteres não ASCII
Listas de exceções de autenticação de proxy
Serviços do sistema ChromeOS
| Serviço Chrome/Chrome OS | Nomes de host |
|---|---|
| Essencial | |
| DMServer | m.google.com |
| Novo registro forçado, para acesso verificado | chromeos-ca.gstatic.com |
| ChromeOS: atualizações automáticas | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: registro de atualização do relatório de erros Chrome: registros de atualização do WebRTC |
clients2.google.com |
| Chrome OS: sincronização do relógio do sistema tlsdate | clients3.google.com |
| Detecção de portal cativo | www.gstatic.com, accounts.google.com ou www.googleapis.com |
| Fazer upload de relatórios para solução de problemas, download do Crostini e assim por diante. | storage.googleapis.com |
| Vários serviços de API | www.googleapis.com |
| Domínio usado pelo Google: mantenha-o separado de *.google.com para evitar ataques XSS | *.1e100.net |
| URL Bandaid: algumas solicitações são redirecionadas para a infraestrutura de armazenamento em cache do Google, acelerando o download do app. | *.gvt1.com |
| Fazer o download de atualizações automáticas, imagens estáticas e assim por diante | dl.google.com dl-ssl.google.com |
| Atualizações de componentes do Chrome (chrome://components) | update.googleapis.com |
| Altamente recomendável | |
| Navegação segura | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Servidor de sincronização de contas do Chrome: sincroniza dados do usuário, como favoritos, coleta de métricas do usuário e outros serviços. | clients4.google.com |
| Sugestões de documentos da omnibox | cloudsearch.googleapis.com |
| Fazer o download de personalizações de OEM (e outros) | ssl.gstatic.com |
|
Conteúdo gerado pelo usuário ou terceiros, como extensões ou drivers de impressora googleusercontent.com protege os principais Serviços do Google contra conteúdo gerado pelo usuário que possa conter bugs ou tornar o domínio vulnerável a ataques de scripting em vários locais. |
*.googleusercontent.com |
| Compatibilidade com a impressora: faça o download do PDD da impressora | printerconfigurations.googleusercontent.com |
| Compatibilidade com periféricos: instruções especializadas sobre como se adaptar melhor a vários dispositivos conectados. Compatível com impressoras e telas no momento | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Nomes de host |
|---|---|
| Essencial | |
| Essencial para provisionar e instalar aplicativos | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, endpoints principais do GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Outro | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Extensões e quiosque
| Serviço Chrome/Chrome OS | Nomes de host |
|---|---|
| Essencial | |
| Endpoint de download da extensão | clients2.google.com clients2.googleusercontent.com chrome.google.com |