Puoi utilizzare i server proxy in ChromeOS per proteggere la tua organizzazione e i siti visitati dagli utenti. I server proxy possono filtrare i contenuti non sicuri o indesiderati, tenere nascosti gli indirizzi IP degli utenti o filtrare siti web specifici.
Quando utilizzi i server proxy, procedi nel seguente modo:
- Le richieste del sito passano attraverso il server proxy.
- Quindi, il server trasmette una richiesta al sito web.
- Il sito web restituisce la pagina web al server proxy.
- Il server reindirizza la pagina web al dispositivo dell'utente.
Come scegliere un proxy?
ChromeOS supporta diversi schemi di proxy, a seconda delle esigenze dell'organizzazione, come la sicurezza, il traffico da trasferire tramite proxy o la posizione in cui dovrebbe essere applicata la risoluzione DNS. Per visualizzare tutti gli schemi proxy supportati in ChromeOS, nonché i dettagli di implementazione, vedi Supporto dei proxy in Chrome.
Alcune configurazioni del proxy potrebbero non essere compatibili con altre impostazioni di rete. Ad esempio, quando un proxy è configurato in ChromeOS, la risoluzione DNS avviene sul lato server, ad eccezione dei proxy socks4, determinando incompatibilità con le configurazioni DNS personalizzate.
Quando scegli il meccanismo di autenticazione del proxy, diversi componenti a livello di ChromeOS hanno funzionalità di rete diverse o inferiori rispetto al browser Chrome.
Autenticazione proxy a livello di ChromeOS
Quando un utente accede al browser Chrome, il suo nome utente e la sua password vengono memorizzati nella cache di autenticazione associata al suo profilo e sono accessibili solo per le richieste di navigazione che l'utente del browser Chrome richiede nel browser del sistema operativo.
Ciò significa che i servizi di sistema che richiedono connettività nel browser Chrome, come gli aggiornamenti dei criteri o la registrazione kiosk, e sul sistema operativo, come gli aggiornamenti del sistema operativo, il caricamento dei report sugli arresti anomali o la sincronizzazione dell'ora del sistema, non hanno accesso ai nomi utente e alle password. Gli amministratori di rete devono assicurarsi che il traffico generato dai servizi di sistema ignori il passaggio di autenticazione.
Questo vale anche per il traffico di Google Play e dell'app Google Play.
Per un elenco degli endpoint, utilizzati dai servizi di sistema e da Google Play, che devono bypassare il passaggio di autenticazione sul proxy, consulta la sezione Liste di bypass dell'autenticazione del proxy.
La lista di bypass del proxy può essere ridotta in modo significativo sui dispositivi registrati configurando il criterio SystemProxySettings per consentire l'autenticazione dei servizi di sistema sul sistema operativo e il traffico di Google Play da parte di un servizio del sistema operativo. Per maggiori dettagli, vedi l'impostazione Traffico proxy autenticato in Impostare i criteri relativi ai dispositivi ChromeOS.
Inoltre, i certificati CA personalizzati vengono rispettati solo per il traffico degli utenti. Quando il proxy esegue l'ispezione TLS, il traffico di sistema e quello di Android dovrebbero essere autorizzati a bypassare l'ispezione. Vedi Configurare l'ispezione TLS (o SSL) sui dispositivi Chrome > Configurare una lista consentita di nomi host.
Come configurare un proxy esplicito su ChromeOS
Impostazione da usare
Puoi configurare proxy su ChromeOS per singole reti o, a livello globale, per tutte le reti della tua organizzazione. Le configurazioni proxy sono elencate di seguito in ordine di priorità:
- Criteri relativi agli utenti ProxySettings: globale
- Estensioni: globale
- Criteri relativi agli utenti OpenNetworkConfiguration: per rete
- Criteri relativi ai dispositivi DeviceOpenNetworkConfiguration: per rete
- Interfaccia utente delle impostazioni di rete: impostato dall'utente in base alla rete.
In generale, le configurazioni proxy si applicano all'intero sistema operativo, con le seguenti eccezioni in cui gli utenti devono consentire esplicitamente la configurazione proxy nel browser:
- I proxy dei set di estensioni sono disattivati per impostazione predefinita in modalità di navigazione in incognito. Gli utenti devono consentire esplicitamente l'esecuzione in modalità di navigazione in incognito dell'estensione che controlla il proxy dalla pagina chrome://extensions.
Non puoi applicare i proxy del set di estensioni in modalità di navigazione in incognito, ma puoi bloccare la navigazione in incognito se un'estensione preconfigurata non è consentita dall'utente in questa modalità. Per maggiori dettagli, consulta il criterio MandatoryExtensionsForIncognitoNavigation. - Se utilizzi i profili secondari di Lacros, gli utenti possono attivare o disattivare l'utilizzo del proxy configurato sul sistema operativo visitando la pagina chrome://settings/system e attivando Usa le impostazioni del proxy di ChromeOS per questo profilo..
Quale formato di configurazione proxy utilizzare
ChromeOS supporta i seguenti formati proxy:
- Manuale: un elenco statico di identificatori del proxy insieme a una lista di bypass degli endpoint che dovrebbero bypassare il proxy.
- Script PAC: file JavaScript che consente di impostare regole più complesse per determinare quale proxy utilizzare per un URL.
- Rilevamento automatico: WPAD (Web Proxy Auto-Discovery Protocol), un meccanismo di rilevamento in cui DNS o DHCP vengono sottoposti a richiesta di probe per ottenere l'URL PAC.
- Diretto: uno pseudo-proxy che indica che non è in uso alcun proxy.
Quando scegli il formato, tieni presente che:
- La risoluzione del proxy avviene prima della risoluzione del nome. Se la lista di bypass del proxy viene configurata utilizzando valori letterali IP, l'eccezione viene rispettata solo se l'utente accede all'indirizzo IP specifico, non al nome host associato all'IP. Per maggiori dettagli, vedi Regole di bypass del proxy.
- Quanto segue si applica al supporto del proxy Android:
- Gli URL PAC con data:// scheme non sono supportati
- Per le impostazioni manuali del proxy, la lista di bypass non supporta i caratteri speciali per gli indirizzi IPv6 o i caratteri non ASCII.
Liste di bypass dell'autenticazione proxy
Servizi di sistema ChromeOS
| Servizio Chrome/ChromeOS | Nomi host |
|---|---|
| Essential | |
| DMServer | m.google.com |
| Nuova registrazione forzata, per l'Accesso verificato | chromeos-ca.gstatic.com |
| ChromeOS: aggiornamenti automatici | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: log di aggiornamento di Crash Reporter Chrome: log di aggiornamento WebRTC |
clients2.google.com |
| ChromeOS: sincronizzazione orologio di sistema tlsdate | clients3.google.com |
| Rilevamento Captive portal | www.gstatic.com o accounts.google.com o www.googleapis.com |
| Caricare i report per la risoluzione dei problemi, scaricare Crostini e così via | storage.googleapis.com |
| Vari servizi API | www.googleapis.com |
| Dominio utilizzato da Google: tienilo separato da *.google.com per evitare attacchi XSS (cross-site scripting). | *.1e100.net |
| URL Bandaid: alcune richieste vengono reindirizzate all'infrastruttura di memorizzazione nella cache di Google che accelera il download dell'app | *.gvt1.com |
| Scaricare aggiornamenti automatici, immagini statiche e così via. | dl.google.com dl-ssl.google.com |
| Aggiornamenti dei componenti di Chrome (chrome://components) | update.googleapis.com |
| Vivamente consigliato | |
| Navigazione sicura | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Server di sincronizzazione degli account Chrome: sincronizza i dati utente, ad esempio preferiti, raccolta di metriche utente e altri servizi | clients4.google.com |
| Suggerimenti dei documenti omnibox | cloudsearch.googleapis.com |
| Scaricare personalizzazioni OEM (e altro) | ssl.gstatic.com |
|
Contenuti generati dagli utenti o di terze parti, ad esempio estensioni o unità per stampanti googleusercontent.com protegge le principali proprietà di Google dai contenuti generati dagli utenti che potrebbero includere bug o rendere negativamente vulnerabile il dominio ad attacchi cross-site scripting |
*.googleusercontent.com |
| Supporto delle stampanti: scarica PDD della stampante | printerconfigurations.googleusercontent.com |
| Supporto delle periferiche: istruzioni specifiche su come adattarsi al meglio ai vari dispositivi connessi; sono attualmente supportati display e stampanti | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Nomi host |
|---|---|
| Essential | |
| Essential per il provisioning e l'installazione delle app | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, endpoint principali GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Altro | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Estensioni e kiosk
| Servizio Chrome/ChromeOS | Nomi host |
|---|---|
| Essential | |
| Endpoint di download estensione | clients2.google.com clients2.googleusercontent.com chrome.google.com |