Sie können Proxyserver in ChromeOS verwenden, um Ihre Organisation zu schützen, wenn Nutzer Websites besuchen. Proxybereitstellungen können unsichere oder unerwünschte Inhalte herausfiltern, die IP-Adressen von Nutzern verbergen oder bestimmte Websites herausfiltern.
Wenn Sie Proxyserver verwenden, werden die folgenden Schritte ausgeführt:
- Websiteanfragen werden über den Proxyserver geleitet.
- Der Server leitet dann Anfragen an die Website weiter.
- Die Website gibt die Webseite an den Proxyserver zurück.
- Der Server leitet die Webseite an das Nutzergerät zurück.
Proxy auswählen
ChromeOS unterstützt verschiedene Proxyschemas, je nach den Anforderungen Ihrer Organisation, darunter Sicherheit, welcher Traffic weitergeleitet werden soll oder wo die DNS-Auflösung erfolgen soll. Informationen zu allen unterstützten Proxyschemas in ChromeOS sowie zur Implementierung finden Sie unter Proxyunterstützung in Chrome.
Einige Proxykonfigurationen sind möglicherweise nicht mit anderen Netzwerkeinstellungen kompatibel. Wenn beispielsweise ein Proxy in ChromeOS konfiguriert ist, erfolgt die DNS-Auflösung mit Ausnahme von Socks4-Proxys serverseitig. Daher ist der Proxy nicht mit benutzerdefinierten DNS-Konfigurationen kompatibel.
Wenn Sie den Proxy-Authentifizierungsmechanismus auswählen, haben verschiedene Komponenten auf ChromeOS-Ebene andere oder weniger Netzwerkfunktionen als der Chrome-Browser.
Proxyauthentifizierung auf ChromeOS-Ebene
Wenn sich ein Nutzer im Chrome-Browser anmeldet, werden sein Nutzername und Passwort im Authentifizierungscache gespeichert, der mit seinem Profil verknüpft ist. Sie sind nur für Nutzernavigationsanfragen im Chrome-Browser im Betriebssystembrowser zugänglich.
Das bedeutet, dass Systemdienste, für die eine Verbindung im Chrome-Browser erforderlich ist, z. B. Richtlinienupdates oder die Kiosk-Registrierung, und im Betriebssystem (z. B. Betriebssystemupdates, das Hochladen von Absturzberichten oder das Synchronisieren der Systemzeit), keinen Zugriff auf die Nutzernamen und Passwörter haben. Netzwerkadministratoren müssen dafür sorgen, dass der von Systemdiensten generierte Traffic den Authentifizierungsschritt umgeht.
Dies gilt auch für Google Play- und Google Play-App-Traffic.
Eine Liste der Endpunkte, die von Systemdiensten und Google Play verwendet werden und den Authentifizierungsschritt auf dem Proxy umgehen sollen, finden Sie im Abschnitt Umgehungslisten für die Proxyauthentifizierung.
Die Proxy-Umgehungsliste kann auf registrierten Geräten erheblich reduziert werden. Dazu wird die Richtlinie SystemProxySettings so konfiguriert, dass die Systemdienste unter dem Betriebssystem und der Google Play-Traffic von einem Betriebssystemdienst authentifiziert werden. Weitere Informationen finden Sie im Hilfeartikel ChromeOS-Geräterichtlinien festlegen unter „Authentifizierter Proxy-Datenverkehr“.
Außerdem werden benutzerdefinierte CA-Zertifikate nur für Nutzertraffic berücksichtigt. Wenn der Proxy die TLS-Prüfung durchführt, sollten System- und Android-Traffic die Prüfung umgehen dürfen. Weitere Informationen finden Sie unter TLS-Prüfung (auch SSL-Prüfung genannt) auf Chrome-Geräten einrichten > Zulassungsliste für Hostnamen einrichten.
Expliziten Proxy unter ChromeOS konfigurieren
Die richtige Einstellung verwenden
Sie können Proxys in ChromeOS für einzelne Netzwerke oder global für alle Netzwerke in Ihrer Organisation konfigurieren. Die Proxykonfigurationen sind unten nach Priorität geordnet aufgeführt:
- Nutzerrichtlinie ProxySettings: Global
- Erweiterungen: Global
- Nutzerrichtlinie OpenNetworkConfiguration: pro Netzwerk
- Geräterichtlinie DeviceOpenNetworkConfiguration: pro Netzwerk
- Benutzeroberfläche für Netzwerkeinstellungen: vom Nutzer pro Netzwerk festgelegt
Im Allgemeinen gelten Proxykonfigurationen für das gesamte Betriebssystem, mit den folgenden Ausnahmen, in denen Nutzer die Proxykonfiguration im Browser explizit zulassen müssen:
- Proxys, die durch Erweiterungen festgelegt wurden, sind im Inkognitomodus standardmäßig deaktiviert. Nutzer müssen die Ausführung des Proxys im Inkognitomodus auf der Seite chrome://extensions explizit zulassen.
Sie können im Inkognitomodus keine durch Erweiterungen festgelegten Proxys erzwingen, aber Sie können die Inkognitonavigation blockieren, wenn eine vorkonfigurierte Erweiterung vom Nutzer im Inkognitomodus nicht zugelassen wird. Weitere Informationen finden Sie in der Richtlinie MandatoryExtensionsForIncognitoNavigation. - Wenn Sie sekundäre Lacros-Profile verwenden, können Nutzer den im Betriebssystem konfigurierten Proxy aktivieren oder deaktivieren. Rufen Sie dazu die Seite chrome://settings/system auf und aktivieren Sie die Option ChromeOS-Proxyeinstellungen für dieses Profil verwenden.
Zu verwendendes Format für die Proxykonfiguration
ChromeOS unterstützt die folgenden Proxy-Formate:
- Manuell: Eine statische Liste von Proxy-IDs zusammen mit einer Liste von Endpunkten, die den Proxy umgehen sollen
- PAC-Skript: JavaScript-Datei, mit der sich komplexere Regeln festlegen lassen, um den Proxy für eine URL zu verwenden
- Automatisch erkennen: Das WPAD-Protokoll (Web Proxy Auto-Discovery) ist ein Erkennungsmechanismus, bei dem DNS oder DHCP untersucht wird, um die PAC-URL zu ermitteln.
- Direkt: Ein Pseudo-Proxy, der bedeutet, dass kein Proxy verwendet wird
Beachten Sie bei der Auswahl des Formats Folgendes:
- Die Proxy-Auflösung erfolgt vor der Namensauflösung. Wenn die Proxy-Umgehungsliste mithilfe von IP-Literalen konfiguriert ist, wird die Ausnahme nur dann berücksichtigt, wenn der Nutzer die spezifische IP-Adresse und nicht den mit der IP-Adresse verknüpften Hostnamen navigiert. Weitere Informationen finden Sie unter Proxy-Umgehungsregeln.
- Für die Unterstützung des Android-Proxys gilt Folgendes:
- PAC-URLs mit dem Schema data:// werden nicht unterstützt
- Bei manuellen Proxyeinstellungen werden in der Umgehungsliste keine Sonderzeichen für IPv6-Adressen oder Nicht-ASCII-Zeichen unterstützt
Umgehungslisten für die Proxyauthentifizierung
ChromeOS-Systemdienste
| Chrome-/ChromeOS-Dienst | Hostnamen |
|---|---|
| Unverzichtbar | |
| DMServer | m.google.com |
| Erzwungene erneute Registrierung für bestätigten Zugriff | chromeos-ca.gstatic.com |
| ChromeOS: Automatische Updates | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: Updateprotokoll für Absturzberichte Chrome: Updateprotokolle von WebRTC |
clients2.google.com |
| ChromeOS: Synchronisierung der Systemuhr | clients3.google.com |
| Captive Portal-Erkennung | www.gstatic.com oder accounts.google.com oder www.googleapis.com |
| Berichte zur Fehlerbehebung, zum Herunterladen von Crostini usw. hochladen | storage.googleapis.com |
| Verschiedene API-Dienste | www.googleapis.com |
| Von Google verwendete Domain: Trennen Sie die Domain von *.google.com, um XSS-Angriffe zu vermeiden. | *.1e100.net |
| Bandaid-URL: Einige Anfragen werden an die Google-Caching-Infrastruktur weitergeleitet, wodurch der App-Download beschleunigt wird. | *.gvt1.com |
| Automatische Updates, statische Bilder usw. herunterladen | dl.google.com dl-ssl.google.com |
| Updates für Chrome-Komponenten (chrome://components) | update.googleapis.com |
| Dringend empfohlen | |
| Safe Browsing | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Synchronisierungsserver für Chrome-Konten: Synchronisiert Nutzerdaten wie Lesezeichen, Erfassung von Nutzermesswerten und andere Dienste | clients4.google.com |
| Dokumentvorschläge in der Omnibox | cloudsearch.googleapis.com |
| OEM-Anpassungen und andere herunterladen | ssl.gstatic.com |
|
Von Dritten oder Nutzern erstellte Inhalte, z. B. Druckerlaufwerke oder Erweiterungen googleusercontent.com schirmt die wichtigsten Google-Produkte vor von Nutzern erstellten Inhalten ab, die Fehler enthalten oder die Domain böswillig für Cross-Site-Scripting-Angriffe anfällig machen könnten. |
*.googleusercontent.com |
| Druckerunterstützung: PDD für Drucker herunterladen | printerconfigurations.googleusercontent.com |
| Unterstützung für Peripheriegeräte: Spezielle Anleitungen zur besseren Anpassung an verschiedene verbundene Geräte; derzeit werden Drucker und Displays unterstützt | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Hostnamen |
|---|---|
| Unverzichtbar | |
| Unverzichtbar für die Bereitstellung und Installation von Apps | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, GMS-Kernendpunkte gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Sonstige | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Erweiterungen und Kiosk
| Chrome-/ChromeOS-Dienst | Hostnamen |
|---|---|
| Unverzichtbar | |
| Download-Endpunkt für Erweiterung | clients2.google.com clients2.googleusercontent.com chrome.google.com |