Уведомление

Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как защитить данные с помощью изоляции сайтов

Инструкции для Chrome 63 и более поздних версий.

Информация в этой статье касается управляемых браузеров Chrome и устройств с ChromeOS.

Администратор Chrome может включить изоляцию сайтов, чтобы защитить данные пользователей, посещающих в Chrome сайты не из списка доверенных.

Эта функция обрабатывает страницы разных сайтов в разных процессах. Когда изоляция включена, вредоносным сайтам сложнее обойти систему безопасности, защищающую данные пользователей. Эта функция может запретить получать определенные типы конфиденциальных данных с других сайтов, и вредоносному сайту будет сложнее украсть данные с других сайтов, даже если при этом будут нарушены некоторые внутренние правила.

Изоляция применяется к сайтам вида https://example.com и, как правило, группирует другие источники внутри этого сайта, например https://a.example.com.

Начиная с браузера Chrome 76 изоляция сайтов по умолчанию включена на компьютерах, а с Chrome 77 – на устройствах Android для большинства сайтов, на которых пользователь вошел в свой аккаунт. Подробнее об изоляции сайтов

Вы можете запретить пользователям отключать изоляцию сайтов и можете изолировать определенные источники внутри выбранных сайтов. На устройствах Android можно включить изоляцию для всех сайтов.

Шаг 1. Проверьте правила

Правило Описание и настройки
SitePerProcess

Windows, macOS и Linux

Включено – изоляция включена для всех сайтов и действует во всей организации. Каждый сайт, который посещают пользователи, будет обрабатываться как отдельный процесс. Пользователи не могут отключить изоляцию, например на странице chrome://flags.

Отключено или не настроено – изоляция сайтов включена, но пользователи могут отключить ее, например на странице chrome://flags.
IsolateOrigins

Windows, macOS и Linux

Включено – изоляция включена только для некоторых источников. Указанные в соответствующем списке источники обрабатываются в отдельных процессах. В список можно включить источники, которые запрашивают у пользователей учетные данные, или те, которые содержат конфиденциальную информацию, например интранет-сайты организации.

Отключено или не настроено – изоляция сайтов включена, а дополнительные источники не изолируются. Пользователи могут добавить дополнительные источники, например на странице chrome://flags.
SitePerProcessAndroid

Android

Включено – относится к устройствам Android с объемом ОЗУ не менее 1 ГБ. Изоляция включена для всех сайтов и действует во всей организации. Каждый сайт, который посещают пользователи, будет обрабатываться как отдельный процесс. Пользователи не могут отключить изоляцию, например на странице chrome://flags.

Не настроено – относится к Chrome OS M77 или более поздней версии и устройствам Android с объемом ОЗУ не менее 2 ГБ. Изоляция включена только для сайтов, на которых пользователи вошли в аккаунт.

Отключено – изоляция сайтов полностью отключена. Это правило переопределяет настройки для сайтов, на которых пользователи вошли в аккаунт, и правило IsolateOriginsAndroid.
IsolateOriginsAndroid

Android

Включено – относится к устройствам Android с объемом ОЗУ не менее 1 ГБ. Правило позволяет изолировать определенные источники, посещаемые пользователем. Указанные в соответствующем списке источники обрабатываются в отдельных процессах. В список можно включить источники, которые запрашивают у пользователей учетные данные, или те, которые содержат конфиденциальную информацию, например интранет-сайты организации.

Не настроено – относится к Chrome OS M77 или более поздней версии и устройствам Android с объемом ОЗУ не менее 2 ГБ. Изоляция включена только для сайтов, на которых пользователи вошли в аккаунт.

Отключено – изоляция сайтов полностью отключена. Это правило переопределяет правило SitePerProcessAndroid.

Шаг 2. Создайте список сайтов, которые нужно изолировать

В Chrome 76 и более ранних версиях браузера при создании списка источников, которые вы хотите изолировать, необходимо указать их полный адрес. Пример:
https://a.example.com, https://b.example.com, https://c.example.com.

Начиная с версии 77 в Chrome можно изолировать все сайты в одном домене с помощью подстановочного знака.

Например, если указать https://[*.]example.com, то будут изолированы источники https://a.example.com, https://b.example.com и https://c.example.com, а также сайты с такими адресами:

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

Используйте подстановочный знак для изоляции всех возможных сайтов в одном домене. Так, указав https://[*.]corp.solarmora.com, вы изолируете все корпоративные источники компании Solarmora.

Шаг 3. Включите изоляцию сайтов

Выберите подходящий вариант ниже, чтобы открыть соответствующие инструкции.

Консоль администратора

Правила могут применяться при входе пользователей в аккаунт на любом устройстве или в управляемых браузерах в Windows, macOS, Linux или Android. Подробнее о том, как применяются правила

Важно! Убедитесь, что в организации включено управление браузером Chrome.

  1. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  2. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  3. Откройте раздел Изоляция сайтов.
  4. При использовании операционной системы Windows, macOS и Linux нажмите Изоляция сайтов.
    1. Чтобы включить обязательную изоляцию для всех сайтов:
      1. Выберите Включить обязательную изоляцию для всех сайтов и указанных ниже источников.
      2. При необходимости укажите дополнительные источники через запятую. Например, введите https://login.example.com, чтобы изолировать этот сайт от https://example.com.
      3. Нажмите Сохранить.
    2. Чтобы включить изоляцию для всех сайтов, но разрешить пользователям отключать ее для выбранных сайтов (вариант по умолчанию):
      1. Выберите Включить изоляцию для всех сайтов и указанных ниже источников и разрешить пользователям отключать ее.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
      3. Нажмите Сохранить.
  5. При использовании Android нажмите Изоляция сайтов (Chrome для Android).
    1. Чтобы включить изоляцию для сайтов, на которых выполнен вход в аккаунт (вариант по умолчанию):
      1. Выберите Включить изоляцию для сайтов, на которых выполнен вход, и всех указанных ниже источников.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
      3. Нажмите Сохранить.
    2. Чтобы разрешить пользователям включать изоляцию самостоятельно:
      1. Выберите Разрешить пользователям включать изоляцию сайтов.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
      3. Нажмите Сохранить.
    3. Чтобы включить изоляцию для всех сайтов:
      1. Выберите Включить изоляцию для всех сайтов и указанных ниже источников.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
      3. Нажмите Сохранить.
Windows
Эти инструкции относятся к пользователям Windows, которые входят в управляемый аккаунт в браузере Chrome.

С помощью групповой политики

В редакторе "Управление групповыми политиками" для каждого из указанных ниже правил выберите Конфигурация компьютера или Конфигурация пользователя>Политики>Административные шаблоны>Google>Google Chrome.

Как включить обязательную изоляцию для всех сайтов

Примечание. Изоляция сайтов всегда включена в Windows. Правило SitePerProcess позволяет запретить пользователям отключать ее.

Если вы не выберете ни один из вариантов, правило будет применяться по принципу Не настроено.

  1. Найдите правило Включить изоляцию для всех сайтов и включите его.
    Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона.

  2. Примените обновление для всех пользователей.

Как включить изоляцию для определенных источников

Если вы не выберете ни один из вариантов, правило будет применяться по принципу Не настроено.

  1. Протестируйте изоляцию сайтов локально с помощью следующего параметра командной строки:
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  2. Найдите правило Включить изоляцию для определенных сайтов и включите его.

    Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона.

  3. Введите через запятую URL сайтов, которые нужно изолировать.
    Пример: https://[*.]example.com/,https://subdomain.example.org

  4. Примените обновление для всех пользователей.
macOS
Приведенная ниже информация касается пользователей компьютеров AppleMac, которые вошли в управляемый аккаунт в браузере Chrome.

В профиле конфигурации Chrome добавьте или обновите указанные ниже ключи, а затем примените изменения для всех пользователей.

<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

Linux
Приведенная ниже информация касается пользователей компьютеров Linux, которые вошли в управляемый аккаунт в браузере Chrome.

С помощью редактора JSON-файлов:

  1. Откройте папку /etc/opt/chrome/policies/managed.
  2. Создайте или обновите JSON-файл и укажите нужные URL.
    • Включите правило SitePerProcess.
    • Для правила IsolateOrigins укажите через запятую URL сайтов, которые нужно изолировать.
  3. Протестируйте изоляцию сайтов локально с помощью следующего параметра командной строки:
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  4. Примените обновление для всех пользователей.

В примере ниже показано, как включить правило SitePerProcess:

{
”SitePerProcess": "true”
}

В примере ниже показано, как изолировать источники a.example.com и b.example.net.
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}

Шаг 4. Убедитесь, что правила применены

Чтобы правила Chrome вступили в силу, пользователям потребуется перезапустить браузер Chrome. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.

  1. На управляемом устройстве с ChromeOS откройте страницу chrome://policy.
  2. Нажмите Повторно загрузить правила.
  3. Установите флажок Показывать правила, значения которых не заданы.
  4. Убедитесь, что для настроенных правил в столбце Состояние указано значение OK.
  5. Нажмите Показать значение в строке каждого правила и убедитесь, что их значения совпадают с заданными вами настройками.

Как отключить изоляцию сайтов (только для Android)

Чтобы отключить изоляцию сайтов, отключите правила, настроенные выше.

Если вы отключите правило изоляции, для обработки содержимого сайтов Chrome будет использовать тот же процесс, что и до включения изоляции. При этом у сайтов могут появиться общие процессы, а обработка межсайтовых фреймов может начать выполняться в одном процессе с основной страницей. Отключение любого из правил приведет к отключению тестирования обоих правил.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
7790338708541297243
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false