本文適用於負責為企業或學校管理 Chrome 瀏覽器或 ChromeOS 裝置的管理員。
Chrome 管理員可以使用 DownloadRestrictions 政策禁止使用者下載危險的檔案,例如惡意軟體或受病毒感染的檔案。您可以禁止使用者下載所有檔案或 Google 安全瀏覽認定為危險的檔案。如果使用者嘗試下載危險檔案,就會收到安全性警告,且無法略過。
如要瞭解這項政策影響的檔案類型,以及可能遭到封鎖的檔案,請參閱這裡的 Chromium 程式碼。
步驟 1:檢閱政策
Chrome 提供多種類型的下載警告,一般可分為以下幾類:
- 安全瀏覽伺服器標記的惡意檔案。
- 安全瀏覽伺服器標記為不尋常或不想收到的檔案。
- 危險的檔案類型,例如所有 DLL 下載內容及多數 EXE 下載內容。
如要進一步瞭解這些類別,請參閱 Google Chrome 封鎖下載內容。
您可以為 DownloadRestrictions 政策設定下列值,藉此封鎖這些類別的不同組合:
- 0:這是預設值,沒有特殊限制。
- 1:封鎖下列檔案:
- 安全瀏覽標記為 DANGEROUS_ACCOUNT_COMPROMISE 或 DANGEROUS_ACCOUNT_COMPROMISE 的檔案
- 安全瀏覽標記的下載網址
- danger_level 為 danger_level 和 danger_level 的檔案。
danger_level建議您只針對不會經常將實體 (例如檔案或程序) 誤判為惡意實體的機構單位、瀏覽器或使用者設定這項政策。
- 2:封鎖下列檔案:
- 安全瀏覽標記為 DANGEROUS、UNCOMMON、POTENTIALLY_UNWANTED、DANGEROUS_HOST、DANGEROUS_ACCOUNT_COMPROMISE 的檔案
- 安全瀏覽標記的下載網址
- danger_level 為 danger_level 和 danger_level 的檔案
danger_level建議您只設定針對不會經常將實體 (例如檔案或程序) 誤判為惡意實體的機構單位、瀏覽器或使用者設定這項政策
- 3:封鎖所有下載內容。除非是為了特殊用途,否則不建議您採用這項設定。
- 4:推薦設定的值。封鎖標示為 DANGEROUS、DANGEROUS_HOST、ACCOUNT_COMPROMISE 的檔案,或是在網址遭安全瀏覽標記時封鎖檔案
未設定:預設為「無限制」,請見上方說明。
危險程度為了管理檔案下載內容,我們會根據檔案潛在的危險程度進行分類。
注意:危險檔案類型和安全瀏覽器警告清單經常更新。建議您定期查看程式碼,方式是在 Chromium 程式碼搜尋的搜尋列中輸入 danger_level
危險等級有下列幾種:
- NOT_DANGEROUS
- ALLOW_ON_USER_GESTURE
- DANGEROUS
不具備 danger_level 標記的檔案會使用預設的 danger_level。如果是這類檔案,ping_setting 會決定該檔案是否要經由安全瀏覽伺服器檢查。
- FULL_PING:一律聯絡安全瀏覽
- SAMPLED_PING:只針對 1% 的下載內容聯絡安全瀏覽,但前提是使用者已選擇啟用安全瀏覽強化防護功能
- NO_PING:一律不聯絡安全瀏覽
| 安全瀏覽警告 | 說明 |
|---|---|
| 安全 | 系統將下載內容認定為安全。 |
| DANGEROUS | 系統將下載內容認定為危險,因此 Chrome 會向使用者顯示警告。 |
| UNCOMMON | 下載內容很少見,因此 Chrome 會顯示嚴重程度較低的警告。 |
| POTENTIALLY_UNWANTED | 下載項目可能包含垃圾內容。 |
| DANGEROUS_HOST | 下載內容來自危險的主機。 |
| 不明 | 安全瀏覽對這個檔案的判定結果沒有把握。如果已為此檔案類型設定警告,則 Chrome 會顯示預設的警告。 |
| DANGEROUS_ACCOUNT_COMPROMISE | 下載內容與竊取 Cookie 和帳戶入侵相關,因此 Chrome 會顯示嚴重警告。 |
| URL is Flagged | 系統將網址認定為危險,因此 Chrome 會向使用者顯示警告。 |
您可以使用 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 政策,建立檔案類型副檔名字典和對應的網域清單,如此一來,這些網域就不會針對特定檔案類型副檔名顯示下載警告。
只有在下載限制設定為 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 時,才能使用 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 和 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings。當 DownloadRestrictions 設定為 DownloadRestrictions、DownloadRestrictions 或 DownloadRestrictions 時,系統會優先採用 DownloadRestrictions,並封鎖被判定為危險的檔案。
套用這些限制後,系統就會禁止使用者以特定方式下載內容,例如點選網頁上的下載連結,或是以右鍵點選檔案再選取 [另存連結]。
這些政策不會禁止使用者透過下列方式儲存網頁:依序點選「檔案」
詳情請參閱「什麼是安全瀏覽?」
步驟 2:設定政策
點選下方標題即可查看相應的政策管理步驟。
管理控制台-
請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
-
依序點選「選單」圖示
「裝置」>「Chrome」>「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序按一下「選單」圖示
「Chrome 瀏覽器」>「設定」。
-
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往 Chrome 安全瀏覽。
- 點選「下載限制」。
- 選擇下列其中一種做法:
- 無特殊限制
- 封鎖所有惡意下載作業
- 封鎖危險下載作業
- 封鎖有安全疑慮的下載作業
- 封鎖所有下載作業
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
使用群組原則
- 依序前往「原則」
「系統管理範本」
- 啟用「允許下載限制」。
- 設定下列其中一個選項:
- 無特殊限制
- 封鎖所有惡意下載作業
- 封鎖危險下載作業
- 封鎖有安全疑慮的下載作業
- 封鎖所有下載作業
- 為使用者部署政策。
在您的 Chrome 組態設定檔中新增或更新下列鍵值,然後為使用者部署變更。
將 DownloadRestrictions 鍵值設定為 <integer>value</integer>,其中 <value> 為 DownloadRestrictions 、DownloadRestrictions 、DownloadRestrictions 、DownloadRestrictions 或 4。
範例程式碼:
<key>DownloadRestrictions</key>
<dict>
<integer>1</integer>
</dict>
以您慣用的 JSON 檔案編輯器新增或更新 JSON 檔案,然後為使用者部署變更。
- 前往 etc/opt/chrome/policies/managed 資料夾。
- 將 DownloadRestrictions 鍵值設定為 DownloadRestrictions、DownloadRestrictions、DownloadRestrictions、DownloadRestrictions 或 4。
範例程式碼:
{
"DownloadRestrictions": "1"
}