Je kunt proxyservers in ChromeOS gebruiken om je organisatie te beschermen tegen de sites die je gebruikers bezoeken. Proxyservers kunnen onveilige of ongewenste content wegfilteren, IP-adressen van gebruikers verborgen houden of filteren op specifieke websites.
Als je proxyservers gebruikt, worden de volgende stappen doorlopen:
- Siteverzoeken lopen via de proxyserver.
- De server stuurt de verzoeken door naar de website.
- De website stuurt de webpagina terug naar de proxyserver.
- De server stuurt de webpagina terug naar het apparaat van de gebruiker.
Hoe kies je een proxy?
ChromeOS ondersteunt verschillende proxyschema's, afhankelijk van de behoeften van je organisatie, zoals beveiliging, welk verkeer via proxy moet worden gestuurd of waar de DNS-omzetting moet plaatsvinden. Ga naar Proxyondersteuning in Chrome voor alle ondersteunde proxyschema's in ChromeOS en de implementatiedetails.
Sommige proxyconfiguraties zijn misschien niet compatibel met andere netwerkinstellingen. Als er bijvoorbeeld een proxy is geconfigureerd in ChromeOS, vindt de DNS-omzetting plaats aan de serverzijde, behalve voor socks4-proxy's. Hierdoor is deze niet compatibel met aangepaste DNS-configuraties.
Als je het mechanisme voor proxyverificatie kiest, hebben de verschillende componenten op ChromeOS-niveau andere of minder netwerkmogelijkheden dan de Chrome-browser.
Proxyverificatie op ChromeOS-niveau
Als gebruikers inloggen bij de Chrome-browser, worden hun gebruikersnaam en wachtwoord opgeslagen in het verificatiecachegeheugen dat is gekoppeld aan hun profiel. Deze gegevens zijn dan alleen toegankelijk voor gebruikersnavigatieverzoeken van de Chrome-browser in de OS-browser.
Dit betekent dat systeemservices die verbinding moeten maken in de Chrome-browser (zoals beleidsupdates of kioskinschrijving) en in het besturingssysteem (zoals OS-updates, crashrapporten of systeemtijd synchroniseren) geen toegang hebben tot de gebruikersnamen en wachtwoorden. Netwerkbeheerders moeten ervoor zorgen dat verkeer dat wordt gegenereerd door systeemservices de verificatiestap overslaat.
Dit geldt ook voor verkeer van Google Play en de Google Play-app.
Neem het gedeelte Lijsten met uitzonderingen voor proxyverificatie door voor een lijst met eindpunten die worden gebruikt door systeemservices en Google Play en die de verificatiestap in de proxy moeten overslaan.
De lijst met uitzonderingen voor proxy's kan aanzienlijk worden beperkt op ingeschreven apparaten door het beleid SystemProxySettings in te stellen, zodat systeemservices in het OS en Google Play-verkeer kunnen worden geverifieerd door een OS-service. Ga naar de instelling Geverifieerd proxyverkeer in ChromeOS-apparaatbeleid instellen voor meer informatie.
Aangepaste CA-certificaten worden ook alleen gebruikt voor gebruikersverkeer. Als de proxy TLS-inspectie uitvoert, moet systeemverkeer en Android-verkeer toestemming krijgen om de inspectie over te slaan. Ga naar TLS-inspectie (of SSL-inspectie) instellen op Chrome-apparaten > Een toelatingslijst met hostnamen instellen.
Hoe je een expliciete proxy instelt in ChromeOS
Welke instelling je het beste kunt gebruiken
Je kunt op ChromeOS proxy's instellen voor individuele netwerken of voor alle netwerken in je organisatie. Proxyconfiguraties staan hieronder op volgorde van prioriteit:
- Gebruikersbeleid ProxySettings: Algemeen
- Extensies: Algemeen
- Gebruikersbeleid OpenNetworkConfiguration: Per netwerk
- Apparaatbeleid DeviceOpenNetworkConfiguration: Per netwerk
- UI voor netwerkinstellingen: Wordt door de gebruiker per netwerk ingesteld.
Over het algemeen zijn proxyconfiguraties van toepassing op het hele OS. Hierbij gelden de volgende uitzonderingen, waarbij gebruikers de proxyconfiguratie expliciet moeten toestaan in de browser:
- Door extensies ingestelde proxy's staan standaard uit in de incognitomodus. Gebruikers moeten op de pagina chrome://extensions expliciet toestaan dat de extensie die de proxy beheert, wordt uitgevoerd in de incognitomodus.
Je kunt door extensies ingestelde proxy's niet afdwingen in de incognitomodus, maar je kunt incognitonavigatie wel blokkeren als een vooraf ingestelde extensie niet is toegestaan door de gebruiker in de incognitomodus. Raadpleeg het beleid MandatoryExtensionsForIncognitoNavigatie voor meer informatie. - Als je secundaire Lacros-profielen gebruikt, kunnen gebruikers de in het besturingssysteem geconfigureerde proxy toestaan of weigeren door naar de pagina chrome://settings/system te gaan en de optie ChromeOS-proxyinstellingen gebruiken voor dit profiel aan te zetten.
Welke indeling voor proxyconfiguratie je moet gebruiken
ChromeOS ondersteunt de volgende proxyindelingen:
- Handmatig: Een statische lijst met proxy-ID's en een lijst met eindpunten die de proxy mogen overslaan
- PAC-script: Een JavaScript-bestand waarmee complexere regels kunnen worden ingesteld om te bepalen welke proxy moet worden gebruikt voor een URL
- Automatisch detecteren: Het Web Proxy Auto-Discovery Protocol (WPAD), een detectiemechanisme waarin DNS of DHCP wordt getest om de PAC-URL op te halen
- Direct: Een pseudo-proxy, wat betekent dat er geen proxy wordt gebruikt
Houd bij het kiezen van de indeling rekening met het volgende:
- De proxyresolutie vindt plaats voor de naamresolutie. Als de lijst met uitzonderingen voor de proxy is ingesteld met letterlijke IP-waarden, wordt de uitzondering alleen gevolgd als de gebruiker naar het specifieke IP-adres navigeert en niet naar de hostnaam die aan het IP-adres is gekoppeld. Raadpleeg de Regels om de proxy over te slaan voor meer informatie.
- Voor Android-proxyondersteuning geldt het volgende:
- PAC-URL's met data://-schema worden niet ondersteund
- Voor handmatige proxyinstellingen ondersteunt de lijst met uitzonderingen geen speciale tekens in IPv6-adressen of niet-ASCII-tekens
Lijsten met uitzonderingen voor proxyverificatie
Systeemservices van ChromeOS
| Chrome-/ChromeOS-service | Hostnamen |
|---|---|
| Essentieel | |
| DMServer | m.google.com |
| Afgedwongen opnieuw inschrijven voor geverifieerde toegang | chromeos-ca.gstatic.com |
| ChromeOS: automatische updates | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: updatelogboek voor Crashreporter Chrome: WebRTC-updatelogboeken |
clients2.google.com |
| ChromeOS: systeemklok synchroniseren | clients3.google.com |
| Detectie van captive portals | www.gstatic.com, accounts.google.com of www.googleapis.com |
| Rapporten uploaden voor probleemoplossing, Crostini downloaden enzovoort | storage.googleapis.com |
| Verschillende API-services | www.googleapis.com |
| Domein dat wordt gebruikt door Google: Houd het domein gescheiden van *.google.com om XSS-aanvallen te voorkomen | *.1e100.net |
| Bandaid-URL: Sommige verzoeken worden omgeleid naar de caching-infrastructuur van Google, waardoor het downloaden van apps wordt versneld | *.gvt1.com |
| Downloaden van automatische updates, statische afbeeldingen en vergelijkbare content | dl.google.com dl-ssl.google.com |
| Updates voor Chrome-componenten (chrome://components) | update.googleapis.com |
| Ten zeerste aanbevolen | |
| Safe Browsing | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Server voor Chrome-accountsynchronisatie: Hiermee worden gebruikersgegevens gesynchroniseerd, zoals bookmarks, verzameling van gebruikersstatistieken en andere services | clients4.google.com |
| Suggesties voor omnibox-documenten | cloudsearch.googleapis.com |
| Downloaden van OEM-aanpassingen (en meer) | ssl.gstatic.com |
|
Content van derden of door gebruikers gegenereerde content, zoals stuurprogramma's voor printers of extensies googleusercontent.com beschermt de belangrijkste Google-services tegen content van gebruikers die bugs kan bevatten of die het domein met opzet kwetsbaar kan maken voor cross-site scripting-aanvallen. |
*.googleusercontent.com |
| Printerondersteuning: PDD voor printer downloaden | printerconfigurations.googleusercontent.com |
| Ondersteuning voor randapparatuur: Speciale instructies voor een betere afstemming op verschillende verbonden apparaten; huidige ondersteuning dekt printers en schermen | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Hostnamen |
|---|---|
| Essentieel | |
| Essentieel voor de registratie en installatie van apps | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, belangrijke GMS-eindpunten gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Overig | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Extensies en kiosks
| Chrome-/ChromeOS-service | Hostnamen |
|---|---|
| Essentieel | |
| Eindpunt voor het downloaden van extensies | clients2.google.com clients2.googleusercontent.com chrome.google.com |