Chrome ab Version 63
Gilt für verwaltete Chrome-Browser und ChromeOS-Geräte.
Als Chrome-Administrator können Sie die Website-Isolierung verwenden, um Nutzer des Chrome-Browsers zu schützen, wenn sie nicht vertrauenswürdige Websites besuchen.
Bei der Website-Isolierung werden die Seiten verschiedener Websites in unterschiedliche Prozesse unterteilt. Wenn die Funktion aktiviert ist, ist es für schädliche Websites schwieriger, Sicherheitsvorkehrungen zu umgehen und Daten zu stehlen. Durch die Isolierung wird verhindert, dass Prozesse bestimmte Arten sensibler Daten von anderen Websites empfangen. Für eine schädliche Website ist es dann viel schwieriger, Daten von anderen Websites zu stehlen, selbst wenn sie in ihrem eigenen Prozess einige Regeln brechen kann.
Die Website-Isolierung ist für Websites wie https://beispiel.de verfügbar. Dabei werden in der Regel auch andere Ursprünge innerhalb dieser Website gruppiert, z. B. https://a.beispiel.de.
Die Website-Isolierung ist auf Desktop-Plattformen ab Chrome 76 standardmäßig aktiviert. Dasselbe gilt für die meisten Websites, auf denen sich Nutzer ab Chrome 77 unter Android anmelden. Weitere Informationen zur Website-Isolierung
Sie können Nutzer daran hindern, die Website-Isolierung zu deaktivieren. Außerdem haben Sie die Möglichkeit, spezifische Ursprünge innerhalb von Websites zu isolieren. Auf Android-Geräten können Sie die Website-Isolierung auch für alle Websites aktivieren.
Schritt 1: Richtlinien lesen
| Richtlinie | Beschreibung und Einstellungen |
|---|---|
| SitePerProcess |
Windows, Mac und Linux Wenn aktiviert: Die Website-Isolierung ist für alle Websites für Ihre gesamte Organisation aktiviert. Für jede von Nutzern besuchte Website wird ein eigener Renderingprozess ausgeführt, um die Websites voneinander isoliert zu halten. Nutzer können die Website-Isolierung nicht deaktivieren, z. B. über chrome://flags. Wenn deaktiviert oder nicht festgelegt: Die Website-Isolierung bleibt aktiviert. Nutzer können die Funktion aber deaktivieren, z. B. über chrome://flags. |
| IsolateOrigins |
Windows, Mac und Linux Wenn aktiviert: Es werden weitere spezifische Ursprünge isoliert, die Nutzer besuchen. Für jeden von Ihnen angegebenen Ursprung wird ein eigener Renderingprozess ausgeführt. Sie können Ursprünge einbeziehen, bei denen sich Nutzer anmelden, und andere Ursprünge, die vertrauliche Informationen enthalten, z. B. Websites mit Produktivitätstools oder Websites im Intranet. Wenn deaktiviert oder nicht festgelegt: Die Website-Isolierung bleibt aktiviert. Es werden aber keine zusätzlichen Ursprünge isoliert. Nutzer können zusätzliche Ursprünge isolieren, z. B. über chrome://flags. |
| SitePerProcessAndroid |
Android Wenn aktiviert: Gilt für Android-Geräte mit mindestens 1 GB RAM. Die Website-Isolierung wird für alle Websites für Ihre gesamte Organisation aktiviert. Für jede von Nutzern besuchte Website wird ein eigener Renderingprozess ausgeführt, um die Websites voneinander isoliert zu halten. Nutzer können die Website-Isolierung nicht deaktivieren, z. B. über chrome://flags. Wenn nicht festgelegt: Gilt für M77 oder höher und Android-Geräte mit mindestens 2 GB RAM. Die Website-Isolierung ist nur für Websites aktiviert, auf denen sich Nutzer anmelden. Wenn deaktiviert: Die Website-Isolierung wird vollständig deaktiviert. Durch diese Richtlinie werden sowohl die Einstellungen für die Websites, auf denen sich Nutzer anmelden, als auch die Richtlinie IsolateOriginsAndroid überschrieben. |
| IsolateOriginsAndroid |
Android Wenn aktiviert: Gilt für Android-Geräte mit mindestens 1 GB RAM. Es werden weitere spezifische Ursprünge isoliert, die Nutzer besuchen. Für jeden von Ihnen angegebenen Ursprung wird ein eigener Renderingprozess ausgeführt. Sie können Ursprünge einbeziehen, bei denen sich Nutzer anmelden, und andere Ursprünge, die vertrauliche Informationen enthalten, z. B. Websites mit Produktivitätstools oder Websites im Intranet. Wenn nicht festgelegt: Gilt für M77 oder höher und Android-Geräte mit mindestens 2 GB RAM. Die Website-Isolierung ist nur für Websites aktiviert, auf denen sich Nutzer anmelden. Wenn deaktiviert: Die Website-Isolierung wird vollständig deaktiviert. Durch diese Richtlinie wird die Richtlinie SitePerProcessAndroid überschrieben. |
Schritt 2: Liste der zu isolierenden Websites erstellen
In Chrome 76 und früheren Versionen erstellen Sie eine Liste aller Ursprünge, die Sie isolieren möchten, indem Sie jeden Ursprung vollständig angeben. Beispiel:
https://a.beispiel.de, https://b.beispiel.de, https://c.beispiel.de
Ab Chrome 77 können Sie mithilfe eines Platzhalters auch einen Bereich von Ursprüngen angeben, die isoliert werden sollen.
Wenn Sie beispielsweise https://[*.]beispiel.de angeben, werden https://a.beispiel.de, https://b.beispiel.de und https://c.beispiel.de isoliert. Darüber hinaus werden alle übereinstimmenden Ursprünge unter https://[*.]beispiel.de isoliert, z. B.:
https://a1.beispiel.dehttps://a2.a1.beispiel.dehttps://a3.a2.a1.beispiel.de
Sie können mit der Platzhalterschreibweise eine ganze Reihe von Ursprüngen auf einfache Weise isolieren. Wenn Sie beispielsweise https://[*.]corp.solarmora.com angeben, werden alle Ursprünge des Unternehmens Solarmora isoliert.
Schritt 3: Website-Isolierung aktivieren
Je nachdem, wie Sie die Richtlinien verwalten möchten, finden Sie unten eine entsprechende Anleitung zum Anklicken.
Admin-KonsoleDiese Richtlinien können für angemeldete Nutzer auf beliebigen Geräten oder in registrierten Browsern unter Windows, Mac, Linux oder Android gelten. Weitere Informationen zur Funktionsweise der Einstellungen
Wichtig: Die Verwaltung des Chrome-Browsers muss für die Organisation aktiviert sein.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Geräte
Chrome
Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü
Chrome-Browser
- Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
- Gehen Sie zum Abschnitt Website-Isolierung.
- Klicken Sie unter Windows, Mac und Linux auf Website-Isolierung:
- So erzwingen Sie die Website-Isolierung für alle Websites:
- Wählen Sie Website-Isolierung für alle Websites sowie deren Ursprünge erzwingen aus.
- Optional: Geben Sie zusätzliche, durch Kommas getrennte Ursprünge ein, die Sie von ihren jeweiligen Websites isolieren möchten. Geben Sie beispielsweise https://login.beispiel.de ein, um diesen Ursprung vom Rest der Website https://beispiel.de zu isolieren.
- Klicken Sie auf Speichern.
- So aktivieren Sie die Isolierung für alle Websites, erlauben Nutzern jedoch, die Website-Isolierung für bestimmte Websites zu deaktivieren (Standardeinstellung):
- Wählen Sie Website-Isolierung für alle Websites und deren Ursprünge aktivieren, Deaktivieren durch Nutzer aber zulassen aus.
- Optional: Geben Sie eine durch Kommas getrennte Liste von Websites und Ursprüngen ein, die Sie isolieren möchten.
- Klicken Sie auf Speichern.
- So erzwingen Sie die Website-Isolierung für alle Websites:
- Klicken Sie für Android auf Website-Isolierung (Chrome unter Android):
- So aktivieren Sie die Website-Isolierung nur für Anmelde-Websites (Standardeinstellung):
- Wählen Sie Website-Isolierung nur für Anmelde-Websites sowie deren Ursprünge aktivieren aus.
- Optional: Geben Sie eine durch Kommas getrennte Liste von Websites und Ursprüngen ein, die Sie isolieren möchten.
- Klicken Sie auf Speichern.
- So erlauben Sie Nutzern, selbst auszuwählen, ob sie die Website-Isolierung aktivieren möchten:
- Wählen Sie Zulassen, dass Nutzer selbst über die Aktivierung der Website-Isolierung entscheiden aus.
- Optional: Geben Sie eine durch Kommas getrennte Liste von Websites und Ursprüngen ein, die Sie isolieren möchten.
- Klicken Sie auf Speichern.
- So aktivieren Sie die Website-Isolierung für alle Websites:
- Wählen Sie Website-Isolierung für alle Websites sowie deren Ursprünge aktivieren aus.
- Optional: Geben Sie eine durch Kommas getrennte Liste von Websites und Ursprüngen ein, die Sie isolieren möchten.
- Klicken Sie auf Speichern.
- So aktivieren Sie die Website-Isolierung nur für Anmelde-Websites (Standardeinstellung):
Gruppenrichtlinien verwenden
Gehen Sie für beide unten beschriebenen Richtlinien im Gruppenrichtlinien-Editor zu Computer- oder Benutzerkonfiguration 
Website-Isolierung für alle Websites erzwingen
Hinweis: Die Website-Isolierung ist unter Windows immer aktiviert. Mit der Richtlinie SitePerProcess wird nur verhindert, dass der Nutzer die Funktion deaktiviert.
Wenn Sie diese Richtlinie nicht konfigurieren, gilt das oben für Nicht festgelegt beschriebene Verhalten.
-
Aktivieren Sie die Option Website-Isolierung für alle Websites aktivieren.
Tipp: Wenn Sie die Richtlinie nicht sehen, laden Sie die aktuelle Richtlinienvorlage herunter. - Stellen Sie das Update für Ihre Nutzer bereit.
Website-Isolierung für bestimmte Ursprünge aktivieren
Wenn Sie diese Richtlinie nicht konfigurieren, gilt das oben für Nicht festgelegt beschriebene Verhalten.
- Testen Sie die Website-Isolierung für diese Websites lokal mit dem folgenden Befehlszeilen-Flag:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - Aktivieren Sie die Option Website-Isolierung für angegebene Ursprünge aktivieren.
Tipp: Wenn Sie die Richtlinie nicht sehen, laden Sie die aktuelle Richtlinienvorlage herunter.
-
Geben Sie die URLs, die isoliert werden sollen, in einer durch Kommas getrennten Liste an.
Beispiel:https://[*.]beispiel.de/,https://subdomain.beispiel.org - Stellen Sie das Update für Ihre Nutzer bereit.
Fügen Sie in Ihrem Chrome-Konfigurationsprofil die folgenden Schlüssel hinzu oder aktualisieren Sie sie. Stellen Sie die Änderung dann für Ihre Nutzer bereit.
<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.beispiel1.de,https://www.beispiel2.net”</string>
</dict>
Gehen Sie in einem JSON-Dateieditor so vor:
- Öffnen Sie den Ordner /etc/opt/chrome/policies/managed.
- Erstellen oder aktualisieren Sie eine JSON-Datei und geben Sie die gewünschten URLs nach Bedarf ein:
- SitePerProcess: Setzen Sie die Richtlinie auf „true“, um sie zu erzwingen.
- IsolateOrigins: Geben Sie die URLs an, die isoliert werden sollen.
- Testen Sie die Website-Isolierung für diese Websites lokal mit dem folgenden Befehlszeilen-Flag:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - Stellen Sie das Update für Ihre Nutzer bereit.
Mit folgendem Beispielcode können Sie die Richtlinie SitePerProcess erzwingen:
{
”SitePerProcess": "true”
}
Dieses Beispiel zeigt, wie Sie a.example.com and b.example.net isolieren:
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}
Schritt 4: Überprüfen, ob die Richtlinien angewendet wurden
Wenn Sie eine Chrome-Richtlinie anwenden, müssen Nutzer den Chrome-Browser neu starten, damit die Einstellung wirksam wird. Sie können auf den Nutzergeräten prüfen, ob die Richtlinien wie vorgesehen angewendet wurden.
- Rufen Sie auf einem verwalteten ChromeOS-Gerät chrome://policy auf.
- Klicken Sie auf Richtlinien neu laden.
- Setzen Sie ein Häkchen bei Richtlinien ohne Wert zeigen.
- Der Status für die von Ihnen festgelegten Richtlinien muss auf OK gesetzt sein.
- Klicken Sie bei jeder Richtlinie auf Wert anzeigen und prüfen Sie, ob die Werte mit denen übereinstimmen, die Sie in der Richtlinie festgelegt haben.
Website-Isolierung deaktivieren (nur Android)
Wenn Sie die Website-Isolierung deaktivieren möchten, müssen Sie die Android-Richtlinien deaktivieren, die Sie wie oben beschrieben festgelegt haben.
Nachdem die Richtlinie deaktiviert wurde, werden Websites in Chrome wieder wie vor Aktivierung der Website-Isolierung gerendert. Dabei teilen sich verschiedene Websites unter Umständen die entsprechenden Prozesse. Websiteübergreifende Frames können im selben Prozess gerendert werden wie ihre übergeordnete Seite. Wenn Sie eine Richtlinie deaktivieren, werden auch die Praxistests für beide Richtlinien deaktiviert.
Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.