Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как защитить данные с помощью изоляции сайтов

Инструкции для Chrome 63 и более поздних версий.

Информация в этой статье касается управляемых браузеров Chrome и устройств с ChromeOS.

Администратор Chrome может включить изоляцию сайтов, чтобы защитить данные пользователей, посещающих в Chrome сайты не из списка доверенных.

Эта функция обрабатывает страницы разных сайтов в разных процессах. Когда изоляция включена, вредоносным сайтам сложнее обойти систему безопасности, защищающую данные пользователей. Функция может запретить процессам получать определенные типы конфиденциальных данных с других сайтов, и вредоносному сайту будет намного сложнее украсть данные с других сайтов, даже если при этом будут нарушены некоторые внутренние правила.

Изоляция применяется к сайтам вида https://example.com и, как правило, группирует другие источники внутри этого сайта, например https://a.example.com.

Начиная с браузера Chrome 76 изоляция сайтов по умолчанию включена на компьютерах, а с Chrome 77 – на устройствах Android для большинства сайтов, на которых пользователь вошел в свой аккаунт. Подробнее об изоляции сайтов

Вы можете запретить пользователям отключать изоляцию сайтов и можете изолировать определенные источники внутри выбранных сайтов. На устройствах Android можно включить изоляцию для всех сайтов.

Шаг 1. Проверьте правила

Правило Описание и настройки
SitePerProcess

Windows, macOS и Linux

Включено – изоляция включена для всех сайтов и действует во всей организации. Каждый сайт, который посещают пользователи, будет обрабатываться как отдельный процесс. Пользователи не могут отключить изоляцию, например на странице chrome://flags.

Отключено или не настроено – изоляция сайтов включена, но пользователи могут отключить ее, например на странице chrome://flags.

IsolateOrigins

Windows, macOS и Linux

Включено – изоляция включена только для некоторых источников. Указанные в соответствующем списке источники обрабатываются в отдельных процессах. В список можно включить источники, которые запрашивают у пользователей учетные данные, или те, которые содержат конфиденциальную информацию, например интранет-сайты организации.

Отключено или не настроено – изоляция сайтов включена, а дополнительные источники не изолируются. Пользователи могут добавить дополнительные источники, например на странице chrome://flags.

SitePerProcessAndroid

Android

Включено – относится к устройствам Android с объемом ОЗУ не менее 1 ГБ. Изоляция включена для всех сайтов и действует во всей организации. Каждый сайт, который посещают пользователи, будет обрабатываться как отдельный процесс. Пользователи не могут отключить изоляцию, например на странице chrome://flags.

Не настроено – относится к Chrome OS M77 или более поздней версии и устройствам Android с объемом ОЗУ не менее 2 ГБ. Изоляция включена только для сайтов, на которых пользователи вошли в свой аккаунт.

Отключено – изоляция сайтов полностью отключена. Это правило переопределяет настройки для сайтов, на которых пользователи вошли в аккаунт, и правило IsolateOriginsAndroid.

IsolateOriginsAndroid

Android

Включено – относится к устройствам Android с объемом ОЗУ не менее 1 ГБ. Правило позволяет изолировать определенные источники, посещаемые пользователем. Указанные в соответствующем списке источники обрабатываются в отдельных процессах. В список можно включить источники, которые запрашивают у пользователей учетные данные, или те, которые содержат конфиденциальную информацию, например интранет-сайты организации.

Не настроено – относится к Chrome OS M77 или более поздней версии и устройствам Android с объемом ОЗУ не менее 2 ГБ. Изоляция включена только для сайтов, на которых пользователи вошли в свой аккаунт.

Отключено – изоляция сайтов полностью отключена. Это правило переопределяет правило SitePerProcessAndroid.

Шаг 2. Создайте список сайтов, которые нужно изолировать

В Chrome 76 и более ранних версиях браузера при создании списка источников, которые вы хотите изолировать, необходимо указать их полный адрес. Пример:
https://a.example.com, https://b.example.com, https://c.example.com.

Начиная с версии 77, в Chrome можно изолировать все сайты в одном домене с помощью подстановочного знака.

Например, если указать https://[*.]example.com, то будут изолированы источники https://a.example.com, https://b.example.com и https://c.example.com, а также сайты с такими адресами:

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

Используйте подстановочный знак для изоляции всех возможных сайтов в одном домене. Так, указав https://[*.]corp.solarmora.com, вы изолируете все корпоративные источники компании Solarmora.

Шаг 3. Включите изоляцию сайтов

Выберите подходящий вариант ниже, чтобы открыть соответствующие инструкции.

Консоль администратора

Правила могут применяться при входе пользователей в аккаунт на любом устройстве или в управляемых браузерах в Windows, macOS, Linux или Android. Подробнее о том, как применяются правила

Важно! Убедитесь, что в организации включено управление браузером Chrome.

  1. На главной странице консоли администратора выберите Устройстваа затемУправление устройствами Chrome OS.
  2. Нажмите Настройкиа затемПользователи и браузеры.
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Откройте раздел Изоляция сайтов.
  5. При использовании компьютера Windows, Mac или Linux:
    1. Чтобы включить обязательную изоляцию для всех сайтов:
      1. В разделе Изоляция сайтов выберите Включить обязательную изоляцию для всех сайтов и указанных ниже источников.
      2. При необходимости укажите дополнительные источники через запятую, (например, введите https://login.example.com, чтобы изолировать этот сайт от https://example.com).
    2. Чтобы включить изоляцию для всех сайтов, но разрешить пользователям отключать ее для выбранных сайтов (вариант по умолчанию):
      1. В разделе Изоляция сайтов выберите Включить изоляцию для всех сайтов и указанных ниже источников и разрешить пользователям отключать ее.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
  6. При использовании устройства Android:
    1. Чтобы включить изоляцию для сайтов, на которых выполнен вход в аккаунт (вариант по умолчанию):
      1. В разделе Изоляция сайтов (Chrome для Android) выберите Включить изоляцию для сайтов, на которых выполнен вход, и всех указанных ниже источников.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
    2. Чтобы разрешить пользователям включать изоляцию самостоятельно:
      1. В разделе Изоляция сайтов (Chrome для Android) выберите Разрешить пользователям включать изоляцию сайтов.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
    3. Чтобы включить изоляцию для всех сайтов:
      1. В разделе Изоляция сайтов (Chrome для Android) выберите Включить изоляцию для всех сайтов и указанных ниже источников.
      2. При необходимости добавьте через запятую сайты и источники, которые нужно изолировать.
  7. Нажмите Сохранить.
Windows
Эти инструкции относятся к пользователям Windows, которые входят в управляемый аккаунт в браузере Chrome.

С помощью групповой политики

В редакторе "Управление групповыми политиками" для каждого из указанных ниже правил выберите Конфигурация компьютера или Конфигурация пользователязатемПолитикизатемАдминистративные шаблонызатемGoogleзатемGoogle Chrome.

Как включить обязательную изоляцию для всех сайтов

Примечание. Изоляция сайтов всегда включена в Windows. Правило SitePerProcess позволяет запретить пользователям отключать ее.

Если вы не выберете ни один из вариантов, правило будет применяться по принципу Не настроено.

  1. Найдите правило Включить изоляцию для всех сайтов и включите его.
    Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона.

  2. Примените обновление для всех пользователей.

Как включить изоляцию для определенных источников

Если вы не выберете ни один из вариантов, правило будет применяться по принципу Не настроено.

  1. Протестируйте изоляцию сайтов локально с помощью следующего параметра командной строки:
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  2. Найдите правило Включить изоляцию для определенных сайтов и включите его.

    Совет. Если вы не видите это правило, скачайте последнюю версию его шаблона.

  3. Введите через запятую URL сайтов, которые нужно изолировать.
    Пример: https://[*.]example.com/,https://subdomain.example.org

  4. Примените обновление для всех пользователей.
MacOS
Приведенная ниже информация касается пользователей компьютеров AppleMac, которые вошли в управляемый аккаунт в браузере Chrome.

В профиле конфигурации Chrome добавьте или обновите указанные ниже ключи, а затем примените изменения для всех пользователей.

<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

Linux
Приведенная ниже информация касается пользователей компьютеров Linux, которые вошли в управляемый аккаунт в браузере Chrome.

С помощью редактора JSON-файлов:

  1. Откройте папку /etc/opt/chrome/policies/managed.
  2. Создайте или обновите JSON-файл и укажите нужные URL.
    • Включите правило SitePerProcess.
    • Для правила IsolateOrigins укажите через запятую URL сайтов, которые нужно изолировать.
  3. Протестируйте изоляцию сайтов локально с помощью следующего параметра командной строки:
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  4. Примените обновление для всех пользователей.

В примере ниже показано, как включить правило SitePerProcess:

{
”SitePerProcess": "true”
}


В примере ниже показано, как изолировать источники a.example.com и b.example.net:
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}

Шаг 4. Убедитесь, что правила применены

Чтобы правила Chrome вступили в силу, пользователям потребуется перезапустить браузер Chrome на своих устройствах. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.

  1. На управляемом устройстве Chrome откройте страницу chrome://policy.
  2. Нажмите Повторно загрузить политики.
  3. Установите флажок Показывать правила, значения которых не заданы.
  4. Убедитесь, что для настроенных правил в столбце Состояние указано значение OK.
  5. Нажмите Показать больше в строке каждого правила и убедитесь, что их значения совпадают с заданными вами настройками.

Как отключить изоляцию сайтов (только для Android)

Чтобы отключить изоляцию сайтов, отключите правила, настроенные выше.

Если вы отключите правило изоляции, для обработки содержимого сайтов Chrome будет использовать тот же процесс, что и до включения изоляции. При этом у сайтов могут появиться общие процессы, а обработка межсайтовых окон может начать выполняться в одном процессе с основной страницей. Отключение любого из правил приведет к отключению тестирования обоих правил.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
true
true
true
410864
false
false