Bescherm uw gegevens met site-isolatie

Chrome versie 63 en hoger

Geldt voor beheerde Chrome-browsers en apparaten met Chrome OS.

Als Chrome-beheerder kunt u gebruikers van de Chrome-browser die niet-vertrouwde sites bezoeken beschermen door site-isolatie in te schakelen. 

Met site-isolatie worden pagina's van verschillende websites gescheiden. Wanneer site-isolatie is ingeschakeld, is het voor schadelijke sites moeilijker om beveiligingsmaatregelen te omzeilen die gegevensdiefstal moeten voorkomen. Meer informatie over site-isolatie.

U kunt site-isolatie inschakelen voor alle sites die gebruikers bezoeken of voor specifieke sites.

Stap 1: Het beleid bekijken

Beleid Beschrijving en instellingen
SitePerProcess

Indien ingeschakeld: Site-isolatie wordt ingeschakeld voor alle websites voor uw hele organisatie. Alle sites die gebruikers bezoeken, worden met een speciaal weergaveproces uitgevoerd en van elkaar geïsoleerd.

Indien uitgeschakeld: Sites worden met een specifiek proces in de browser weergegeven.

Niet ingesteld: Gebruikers kunnen kiezen of ze site-isolatie willen inschakelen.

Opmerking: Als u site-isolatie configureert voor alle websites, is de beveiliging het hoogst. Er wordt er echter ook ongeveer 10% meer geheugen gebruikt op computers waarop de Chrome-browser wordt gebruikt.

IsolateOrigins

Indien ingeschakeld: Site-isolatie wordt alleen ingeschakeld voor specifieke websites die gebruikers bezoeken. Sites die u opgeeft, worden met een speciaal weergaveproces uitgevoerd. U kunt sites toevoegen waarop gebruikers inloggen en sites die gevoelige informatie bevatten, zoals productiviteitssites of intranetsites.

Indien uitgeschakeld: Sites worden niet met een specifiek proces in de browser weergegeven.

Niet ingesteld: Gebruikers kunnen kiezen of ze site-isolatie willen inschakelen.

Stap 2: Een lijst maken met sites die je wilt isoleren

In Chrome 76 en lager maak je een lijst met alle bronnen die je wilt isoleren door elke herkomst volledig op te geven. Voorbeeld:
https://a.voorbeeld.nlhttps://b.voorbeeld.nlhttps://c.voorbeeld.nl.

In Chrome 77 en hoger kun je ook een bereik van beginpunten opgeven om te isoleren met een jokerteken.

Als je bijvoorbeeld https://[*.]voorbeeld.nl opgeeft, isoleer je hiermee https://a.voorbeeld.nl, https://b.voorbeeld.nl en https://c.voorbeeld.nl. Bovendien isoleer je hiermee elke overeenkomende herkomst onder https://[*.]voorbeeld.nl, zoals:

  • https://a1.voorbeeld.nl
  • https://a2.a1.voorbeeld.nl
  • https://a3.a2.a1.voorbeeld.nl

Je kunt de jokertekensnotatie gebruiken om een hele reeks herkomsten op een gemakkelijke manier te isoleren. Als je bijvoorbeeld https://[*.]corp.solarmora.com opgeeft, worden alle bedrijfsherkomsten van Solarmora geïsoleerd.

Stap 2: Site-isolatie inschakelen

Klik hieronder voor de stappen, afhankelijk van hoe u dit beleid wilt beheren.

Beheerdersconsole

Dit beleid geldt wanneer gebruikers zijn ingelogd op een beheerd Google-account in een van de Chrome-browsers of op een apparaat met Chrome OS.

Bij deze stappen gaan we ervan uit dat je bekend bent met het maken van Chrome-instellingen in de beheerdersconsole.

  1. Volg de standaardstappen om gebruikersinstellingen voor Chrome in te stellen:
    1. Ga in de beheerdersconsole naar Apparaten en dan Chrome-beheer en dan Instellingen voor gebruikers en browsers.
    2. Selecteer de organisatie-eenheid met de gebruikers of ingeschreven browsers waarvoor je apps wilt toestaan.

    Belangrijk: Zorg dat de beheerde Chrome-browser is ingeschakeld voor de organisatie-eenheid.

    Zie Chrome-beleid instellen voor meerdere apps voor alle informatie.

  2. Ga naar het gedeelte Site-isolatie.
  3. Site-isolatie inschakelen voor alle websites:
    1. Selecteer Site-isolatie inschakelen voor alle websites (SitePerProcess) onder Beleid voor site-isolatie.
    2. (Optioneel) Voer aanvullende bronsites in, gescheiden door komma's, die moeten worden geïsoleerd van de site waar ze bij horen. Voer bijvoorbeeld https://login.example.com in om deze te isoleren van de rest van https://example.com.
  4. Site-isolatie inschakelen voor bepaalde websites:
    1. Selecteer Site-isolatie inschakelen voor bepaalde websites (IsolateOrigins) onder 'Beleid voor site-isolatie'.
    2. Voer een lijst met websites en bronsites in die u wilt isoleren, gescheiden door komma's.
  5. Klik onderaan op Opslaan.
Windows
Geldt voor Windows-gebruikers die inloggen op een beheerd account in de Chrome-browser.

Met Groepsbeleid

Ga in de groepsbeleideditor naar Computer of Gebruikersconfiguratie en dan Beleid en dan Beheersjablonen en dan Google en dan Google Chrome voor beide beleidsregels hieronder. 

Site-isolatie inschakelen voor alle websites

Als u dit beleid op 'Niet geconfigureerd' laat staan, wordt het gedrag gebruikt dat hierboven staat beschreven onder Niet ingesteld.

  1. Schakel Site-isolatie inschakelen voor elke site in.
    Tip: Als je dit beleid niet ziet, download je de nieuwste beleidstemplate.

  2. Test de site-isolatie voor alle websites lokaal met de opdrachtregelmarkering: 
    - - site-per-process

  3. Implementeer de update voor uw gebruikers.

Site-isolatie inschakelen voor bepaalde websites

     Als u dit beleid op 'Niet geconfigureerd' laat staan, wordt het gedrag gebruikt dat hierboven staat beschreven onder Niet ingesteld.

  1. Schakel Site-isolatie inschakelen voor gespecificeerde herkomsten in.

    Tip: Als je dit beleid niet ziet, download je de nieuwste beleidstemplate.

  2. Voer URL's voor isolatie in een door komma's gescheiden lijst in.
    Voorbeeld: https://example.com/,https://othersite.org/

  3. Test de site-isolatie voor deze sites lokaal met de opdrachtregelmarkering: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementeer de update voor uw gebruikers.
Mac
Geldt voor AppleMac-gebruikers die zijn ingelogd op een beheerd account in de Chrome-browser.

Voeg de volgende sleutels toe aan uw Chrome-configuratieprofiel of update deze. Implementeer de wijziging vervolgens voor uw gebruikers.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

 

Linux
Geldt voor Linux-gebruikers die zijn ingelogd op een beheerd account in de Chrome-browser.

Doe het volgende in uw voorkeursbewerker voor JSON-bestanden:

  1. Ga naar de map etc/opt/chrome/policies/managed.
  2. Maak of update een JSON-bestand en voer de juiste URL's in:
    • SitePerProcess: stel dit in op 'true' om het beleid in te schakelen.
    • IsolateOrigins: voeg de URL's toe die u wilt isoleren. 
  3. Test de site-isolatie voor deze sites lokaal met de opdrachtregelmarkering: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementeer de update voor uw gebruikers.

In dit voorbeeld ziet u hoe u het beleid SitePerProcess kunt inschakelen:

{
"SitePerProcess": "true"
}


In het voorbeeld ziet u hoe u site1.com en site2.net kunt isoleren:  
{
“IsolateOrigins”:”https://site1.com/,https://site2.net/”
}

Stap 3: De site-isolatie verifiëren

Ga als volgt te werk om te controleren of sites zijn geïsoleerd:

  1. Ga naar een website met subframes op verschillende sites:  
    1. Ga naar http://csreis.github.io/tests/cross-site-iframe.html.
    2. Klik op Go cross-site (complex page) (Verschillende sites gebruiken (complexe pagina)).
    3. De hoofdpagina is nu de site http://csreis.github.io. En het subframe staat op de site https://chromium.org.
  2. Open Chrome-taakbeheer. (Chrome-menu en dan Meer hulpprogramma's en dan Taakbeheer)
  3. Controleer of de hoofdpagina en het subframe in aparte rijen staan, die zijn gekoppeld aan verschillende processen.  Bijvoorbeeld:
    • Tabbladen: creis.github.io/tests/cross-site-iframe.html - Process ID = 1234
    • Subframe: https://chromium.org - Process ID = 5678

Als u het subframe ziet in het taakbeheer, is de site-isolatie ingeschakeld. Als u specifieke websites isoleert, moet u http://csreis.github.io of https://chromium.org toevoegen aan de lijst met bronsites.

Site-isolatie uitschakelen

Als u site-isolatie wilt uitschakelen, schakelt u het beleid uit dat u hierboven hebt ingesteld.

Als u het beleid voor site-isolatie uitschakelt, worden websites in Chrome weer weergegeven met het procesmodel van voordat site-isolatie was ingeschakeld. Verschillende sites kunnen processen met elkaar delen. En frames op verschillende sites kunnen weer met hetzelfde proces worden weergegeven als de bovenliggende pagina. Als u een beleid uitschakelt, worden de praktijktests van beide beleidsregels uitgeschakeld.

Bekende problemen

  • Er kunnen kleine problemen optreden met de weergave van webpagina's of invoer van evenementen, zoals muisklikken, aanrakingen of andere manieren van interactie met de pagina.
  • De Developer Tools (DevTools) van Chrome bieden wellicht niet volledige ondersteuning voor iframes voor meerdere sites in het prestatievenster of emulatie van mobiele apparaten.
Was dit nuttig?
Hoe kunnen we dit verbeteren?