Skydda din data med webbplatsisolering

Chrome-version 63 och senare

Gäller för hanterade Chrome-webbläsare och enheter som kör Chrome OS.

Som Chrome-administratör kan du skydda användare av Chrome-webbläsare som besöker ej betrodda webbplatser genom att slå på webbplatsisolering. 

Webbplatsisolering separerar sidor från olika webbplatser. När webbplatsisolering har slagits på är det svårare för skadliga webbplatser att passera säkerhetsåtgärder som skyddar mot datastöld. Läs mer om webbplatsisolering.

Du kan slå på webbplats platsisolering för alla webbplatser som användarna besöker eller för specifika webbplatser.

Steg 1: Granska policyer

Policy Beskrivning och inställningar
SitePerProcess

När funktionen är aktiverad – slår på webbplatsisolering för alla webbplatser i hela organisationen. Alla webbplatser som användaren besöker körs i en dedikerad renderingsprocess, isolerade från varandra.

När funktionen är inaktiverad – webbläsaren använder dedikerade processer för att rendera webbplatser.

Ej inställd – användarna kan välja om de vill slå på webbplatsisolering.

Obs! Om du ställer in webbplatsisolering för alla webbplatser får du den högsta säkerheten, men det ökar även minnesanvändningen med cirka 10 % på datorer som använder Chrome-webbläsaren.

IsolateOrigins

När funktionen är aktiverad – aktiverar webbplatsisolering för specifika webbplatser som användarna besöker. Webbplatser som du anger körs i en dedikerad renderingsprocess. Du kan inkludera webbplatser som användarna loggar in på, samt andra webbplatser med innehåller känslig information som produktivitetswebbplatser eller intranät.

När funktionen är inaktiverad – webbläsaren använder en dedikerad process för att rendera webbplatser.

Ej inställd – användarna kan välja om de vill slå på webbplatsisolering.

Steg 2: Skapa en lista över webbplatser som ska isoleras

I Chrome 76 och tidigare skapar du en lista över alla ursprung som du vill isolera genom att ange varje ursprung i sin helhet. Exempel:
https://a.exempel.comhttps://b.exempel.comhttps://c.exempel.com.

Från Chrome 77 och senare kan du också ange ett antal ursprung att isolera med ett jokertecken.

Om du exempelvis anger https://[*.]exempel.com isoleras https://a.exempel.com, https://b.exempel.com och https://c.exempel.com. Dessutom isoleras alla matchande ursprung under https://[*.]exempel.com, som:

  • https://a1.exempel.com
  • https://a2.a1.exempel.com
  • https://a3.a2.a1.exempel.com

Du kan använda jokertecken för att smidigt isolera ett helt intervall av ursprung. Om du exempelvis anger https://[*.]corp.solarmora.com säkerställer du att alla företagsursprung för Solarmora har isolerats.

Steg 3: Slå på webbplatsisolering

Klicka nedan för steg för steg-anvisningar, baserat på hur du vill hantera dessa policyer.

Administratörskonsol

Gäller när användare är inloggade på ett hanterat Google-konto på en Chrome-webbläsare eller enhet som kör Chrome OS.

De här stegen förutsätter att du känner till hur du gör Chrome-inställningar på administratörskonsolen.

  1. Följ standardstegen för att göra användarinställningar i Chrome:
    1. Öppna Enheter på administratörskonsolen följt av Chrome-hanteringföljt avInställningar för användare och webbläsare.
    2. Välj organisationen med de användare eller registrerade webbläsare som du vill tillåta appar för.

    Viktigt! Se till att hanterad Chrome-webbläsare har aktiverats för organisationen.

    Du hittar fullständig information i Ange en Chrome-policy för flera appar.

  2. Öppna avsnittet Webbplatsisolering.
  3. Så här slår du på webbplatsisolering för alla webbplatser:
    1. Välj Aktivera webbplatsisolering för alla webbplatser (SitePerProcess) under Policy för webbplatsisolering.
    2. (Valfritt) Ange ytterligare ursprung, avgränsade av kommatecken, som du vill isolera från respektive webbplats. Ange till exempel https://login.exempel.com för att hålla den isolerad från resten av https://exempel.com.
  4. Så här aktiverar du webbplatsisolering för specifika webbplatser:
    1. Under policy för webbplatsisolering väljer du Aktivera webbplatsisolering för specifika webbplatser som anges nedan (IsolateOrigins).
    2. Ange en lista med webbplatser och ursprung, åtskilda av kommatecken, som du vill isolera.
  5. Klicka på Spara längst ned.
Windows
Gäller för Windows-användare som loggar in på ett hanterat konto i webbläsaren Chrome.

Med Grupprincip

I Group Policy Editor öppnar du Dator eller Användarkonfigurationföljt avPolicyerföljt avAdministrativa mallar följt avGoogleföljt av Google Chrome för båda policyerna nedan. 

Aktivera platsisolering för alla webbplatser

Om du lämnar denna policy som Inte konfigurerad används beteendet för Ej inställd som beskrivs ovan.

  1. Leta upp och slå på Aktivera webbplatsisolering för alla webbplatser.
    Tips! Om du inte ser den här policyn laddar du ned den senaste policymallen.

  2. Testa webbplatsisolering för alla webbplatser lokalt med kommandoradsflaggan: 
    - - site-per-process

  3. Implementera uppdateringen för användarna.

Aktivera webbplatsisolering för specifika webbplatser

     Om du lämnar denna policy som Inte konfigurerad används beteendet för Ej inställd som beskrivs ovan.

  1. Leta upp och slå på Aktivera webbplatsisolering för enskilda ursprung.

    Tips! Om du inte ser den här policyn laddar du ned den senaste policymallen.

  2. Ange webbadresser som ska isoleras i en kommaseparerad lista.
    Exempel: https://example.com/,https://othersite.org/

  3. Testa webbplatsisolering för dessa webbplatser lokalt med kommandoradsflaggan: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementera uppdateringen för användarna.
Mac
Gäller för AppleMac-användare som är inloggade på ett hanterat konto i Chrome-webbläsaren.

Lägg till eller uppdatera följande nycklar i konfigurationsprofilen för Chrome. Implementera sedan ändringen hos användarna.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

 

Linux
Gäller för Linux-användare som är inloggade på ett hanterat konto i Chrome-webbläsaren.

Använd önskad JSON-filredigerare:

  1. Öppna mappen /etc/opt/chrome/policies/managed.
  2. Skapa eller uppdatera en JSON-fil och ange webbadresser efter behov:
    • SitePerProcess – ställ in på true (sant) för att aktivera policyn.
    • IsolateOrigins – lägg till de webbadresser du vill isolera. 
  3. Testa webbplatsisolering för dessa webbplatser lokalt med kommandoradsflaggan: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Implementera uppdateringen för användarna.

Följande exempel visar hur du aktiverar policyn SitePerProcess:

{
"SitePerProcess": "true"
}


Det här exemplet visar hur du isolerar site1.com och site2.net:  
{
“IsolateOrigins”:”https://site1.com/,https://site2.net/”
}

Steg 4: Verifiera webbplatsisolering

Kontrollera att du har isolerat webbplatser:

  1. Navigera till en webbplats som har underramar på flera webbplatser.  
    1. Öppna http://csreis.github.io/tests/cross-site-iframe.html.
    2. Klicka på Öppna webbplatsöverskridande (komplex sida).
    3. Huvudsidan bör finnas på webbplatsen http://csreis.github.io. Underramen finns på webbplatsen https://chromium.org.
  2. Öppna aktivitetshanteraren i Chrome. (Chrome-meny följt av Fler verktyg följt av Aktivitetshanteraren)
  3. Verifiera att huvudsidan och underramen är listade på separata rader i samband med olika processer.  Exempel:
    • Flikar: creis.github.io/tests/cross-site-iframe.html – process-id = 1234
    • Underram: https://chromium.org – process-id = 5678

Om du ser underramsprocessen i aktivitetshanteraren har webbplatsisolering aktiverats korrekt. Om du isolerar specifika webbplatser måste du inkludera http://csreis.github.io eller https://chromium.org i listan över usprung.

Stäng av webbplatsisolering

Om du vill stänga av webbplatsisolering inaktiverar du de policyer du angett ovan.

När du har inaktiverat isoleringspolicyn tillämpas modellen som användes före webbplatsisoleringen i Chrome för att rendera webbplatser. Olika webbplatser kan dela processer med varandra. Webbplatsöverskridande iframes kan renderas i samma process som sin överordnade sida. Om du inaktiverar en policy inaktiveras fälttestning av båda policyerna.

Kända problem

  • Vissa mindre problem kan uppstå med webbsidans utseende eller inmatningshändelser exempelvis musklick, tryck eller andra sätt att interagera med sidan.
  • Chrome Developer Tools (DevTools) kanske inte har fullt stöd för iframes från olika webbplatser i resultatrutan eller vid emulering av mobila enheter.
Var det här till hjälp?
Hur kan vi förbättra den?