Эта статья предназначена для администраторов, управляющих браузерами Chrome или устройствами с ChromeOS в организации или учебном заведении.
Администраторы Chrome могут использовать правило DownloadRestrictions, чтобы запретить пользователям скачивать подозрительные файлы, такие как вредоносное ПО или зараженные файлы. При этом можно запретить скачивать все файлы или только те, которые Google Безопасный просмотр определяет как опасные. Если пользователь попытается скачать такой файл, он увидит предупреждение, которое нельзя будет обойти.
Чтобы узнать, на какие типы файлов распространяется это правило и какие файлы могут быть заблокированы, посмотрите код Chromium.
Шаг 1. Ознакомьтесь с правилом
Правило DownloadRestrictions
В браузере Chrome есть разные типы предупреждений о скачивании файлов, которые условно можно разделить на следующие категории:
- вредоносный файл, отмеченный сервером Безопасного просмотра;
- необычный или нежелательный файл, отмеченный сервером Безопасного просмотра;
- опасный файл (например, любой DLL-файл и многие EXE-файлы).
Дополнительная информация о категориях приведена в статье Google Chrome блокирует некоторые скачивания.
В зависимости от настройки правила DownloadRestrictions блокируется скачивание определенных групп файлов.
- 0 – значение по умолчанию. Специальных ограничений нет.
- 1 – блокируются следующие категории файлов:
- файлы, отмеченные сервером Безопасного просмотра как DANGEROUS_ACCOUNT_COMPROMISE или DANGEROUS;
- ссылки на скачивание, отмеченные сервером Безопасного просмотра;
- файлы, имеющие параметр danger_level со значением DANGEROUS или ALLOW_ON_USER_GESTURE.
Примечание. Мы рекомендуем использовать это значение только для тех организационных подразделений, браузеров и пользователей, которые чаще всего правильно определяют, что объект, например файл или процесс, является опасным.
- 2 – блокируются следующие категории файлов:
- файлы, отмеченные сервером Безопасного просмотра как DANGEROUS, UNCOMMON, POTENTIALLY_UNWANTED, DANGEROUS_HOST, DANGEROUS_ACCOUNT_COMPROMISE;
- ссылки на скачивание, отмеченные сервером Безопасного просмотра;
- файлы, имеющие параметр danger_level со значением DANGEROUS или ALLOW_ON_USER_GESTURE.
Примечание. Мы рекомендуем использовать это значение только для тех организационных подразделений, браузеров и пользователей, которые чаще всего правильно определяют, что объект, например файл или процесс, является опасным.
- 3 – блокируется скачивание любых файлов. Рекомендуется использовать только в особых случаях.
- 4 – рекомендованное значение. Блокируются файлы, отмеченные как DANGEROUS, DANGEROUS_HOST, ACCOUNT_COMPROMISE, а также URL, отмеченные сервером Безопасного просмотра.
Если правило не настроено, по умолчанию используется значение Без ограничений.
Уровни опасностиДля управления скачиванием файлы классифицируются по степени их потенциальной опасности.
Примечание. Списки опасных типов файлов и предупреждения сервера Безопасного просмотра часто обновляются. Рекомендуется регулярно проверять код. Для этого необходимо ввести danger_level в строке поиска на странице Поиск кода Chromium.
Уровни опасности файлов:
- NOT_DANGEROUS
- ALLOW_ON_USER_GESTURE
- DANGEROUS
Для файлов, не имеющих параметра danger_level, по умолчанию используется значение NOT_DANGEROUS. Необходимость их проверки на сервере Безопасного просмотра определяет параметр ping_setting.
- FULL_PING – файл всегда проверяется на сервере Безопасного просмотра.
- SAMPLED_PING – проверка на сервере Безопасного просмотра выполняется для 1 % скачиваний только в том случае, если пользователь включил улучшенный Безопасный просмотр.
- NO_PING – файл не проходит проверку на сервере Безопасного просмотра.
Предупреждения Безопасного просмотра | Описание |
---|---|
SAFE | Скачивание безопасного файла. |
DANGEROUS | Скачивание опасного файла. Пользователю будет показано предупреждение. |
UNCOMMON | Скачивание необычного файла. Пользователю будет показано менее строгое предупреждение. |
POTENTIALLY_UNWANTED | Скачивание потенциально нежелательного файла. |
DANGEROUS_HOST | Скачивание из опасного источника. |
UNKNOWN | Не удалось установить статус файла. Если заданы настройки для этого типа файлов, будет показано предупреждение по умолчанию. |
DANGEROUS_ACCOUNT_COMPROMISE | Скачивание связано с кражей файлов cookie или взломом аккаунта. Пользователю будет показано строгое предупреждение. |
Отмеченная ссылка | Опасная ссылка. Пользователю будет показано предупреждение. |
Используйте правило ExemptDomainFileTypePairsFromFileTypeDownloadWarnings, чтобы создать словарь, где для каждого расширения файла перечисляется список доменов. Предупреждение не показывается, если указанный тип файла скачивается с заданного домена.
Используйте правило ExemptDomainFileTypePairsFromFileTypeDownloadWarnings и DownloadRestrictions только в том случае, если для ограничения скачивания установлено значение 4. Если для DownloadRestrictions установлено значение 1, 2 или 3, правило DownloadRestrictions становится приоритетным. Блокируются все потенциально опасные файлы.
Ограничения срабатывают, когда пользователь пытается скачать файл по ссылке или нажимает на файл правой кнопкой мыши и выбирает команду Сохранить ссылку как.
Ограничения не действуют, когда пользователи сохраняют страницу, нажимая ФайлСохранить страницу как или ПечатьСохранить как PDF.
Подробнее о Безопасном просмотре…
Шаг 2. Настройте правило
Выберите подходящий вариант ниже, чтобы открыть соответствующие инструкции.
Консоль администратора-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.
Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню Браузер ChromeНастройки.
-
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
- Перейдите в раздел Безопасный просмотр в Chrome.
- Нажмите Ограничения на скачивание.
- Выберите один из вариантов:
- Специальных ограничений нет
- Блокировать все скачивания вредоносных файлов
- Блокировать опасные скачивания
- Блокировать потенциально опасные скачивания
- Блокировать все скачивания
-
Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.
Чтобы вернуться к наследуемому значению, нажмите Наследовать.
С помощью групповой политики
- Выберите ПолитикиАдминистративные шаблоныGoogleGoogle Chrome.
- Активируйте правило Включить ограничения скачивания.
- Выберите один из вариантов:
- Специальных ограничений нет
- Блокировать все скачивания вредоносных файлов
- Блокировать опасные скачивания
- Блокировать потенциально опасные скачивания
- Блокировать все скачивания
- Примените правило к пользователям.
В профиле конфигурации Chrome добавьте или обновите указанный ниже ключ, а затем примените изменения к пользователям.
Установите для ключа DownloadRestrictions значение <integer>value</integer>, где <value> равно 0, 1, 2, 3 или 4.
Пример кода:
<key>DownloadRestrictions</key>
<dict>
<integer>1</integer>
</dict>
В редакторе JSON-файлов добавьте или обновите JSON-файл, а затем примените изменения к пользователям.
- Откройте папку /etc/opt/chrome/policies/managed.
- Установите для ключа DownloadRestrictions значение 0, 1, 2, 3 или 4.
Пример кода:
{
"DownloadRestrictions": "1"
}