Chrome 63 以上版本
適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
Chrome 管理員可以透過網站隔離功能,保護造訪了不受信任網站的 Chrome 瀏覽器使用者。
網站隔離功能會將不同網站的網頁內容分隔為不同的程序。開啟這項功能後,惡意網站就更難規避用來防範資料竊取的安全措施。這項功能可以阻擋程序接收來自其他網站的特定類型機密資料,因此即使惡意網站可以破解自身程序中的規則,仍會比原本更難竊取其他網站中的資料。
網站隔離功能適用於 https://example.com 這類網站,且通常會與該網站中的其他來源 (如 https://a.example.com) 視為同一組。
從 Chrome 76 版開始,電腦平台會依預設啟用網站隔離功能;從 Chrome 77 版開始,使用者在 Android 裝置上登入的大多數網站也會啟用。進一步瞭解網站隔離。
您可以禁止使用者停用網站隔離功能,也可以自行選擇隔離更多特定網站來源。在 Android 裝置上,您還可以為所有網站啟用網站隔離功能。
步驟 1:檢閱政策
政策 | 說明與設定 |
---|---|
SitePerProcess |
Windows、Mac 和 Linux 啟用:為整個機構開啟網站隔離功能,隔離所有網站。使用者造訪的所有網站都將透過獨立轉譯程序執行,彼此互相隔離。使用者無法透過任何方式 (例如 chrome://flags) 選擇不啟用網站隔離功能。 停用或未設定:網站隔離功能仍會啟用,但使用者可以透過特定方式 (例如 chrome://flags) 選擇不啟用網站隔離功能。 |
IsolateOrigins |
Windows、Mac 和 Linux 啟用:隔離使用者造訪的其他特定來源。系統會透過獨立轉譯程序執行您指定的來源。您可以在清單中納入需要使用者登入的來源,以及其他含有機密資訊的來源,例如提升工作效率的網站或內部網路的網站。 停用或未設定:網站隔離功能會保持啟用狀態,但不會隔離額外來源。使用者可以透過特定方式 (例如 chrome://flags) 列出更多要隔離的來源。 |
SitePerProcessAndroid |
Android 啟用:適用於至少有 1 GB RAM 的 Android 裝置。為整個機構開啟網站隔離功能,隔離所有網站。使用者造訪的所有網站都將透過獨立轉譯程序執行,彼此互相隔離。使用者無法透過任何方式 (例如 chrome://flags) 選擇不啟用網站隔離功能。 未設定:適用於 M77 以上版本,且至少有 2 GB RAM 的 Android 裝置。只會在需要使用者登入的網站啟用網站隔離功能。 停用:完全關閉網站隔離功能。這項政策會同時覆寫需要使用者登入的網站以及 IsolateOriginsAndroid 政策這兩項設定的值。 |
IsolateOriginsAndroid |
Android 啟用:適用於至少有 1 GB RAM 的 Android 裝置。隔離使用者造訪的其他特定來源。系統會透過獨立轉譯程序執行您指定的來源。您可以在清單中納入需要使用者登入的來源,以及其他含有機密資訊的來源,例如提升工作效率的網站或內部網路的網站。 未設定:適用於 M77 以上版本,且至少有 2 GB RAM 的 Android 裝置。只會在需要使用者登入的網站啟用網站隔離功能。 停用:完全關閉網站隔離功能。這項政策會覆寫 SitePerProcessAndroid 政策。 |
步驟 2:建立要隔離的網站清單
在 Chrome 76 以下版本中,您可以用完整形式指定各來源,以建立所有要隔離的來源清單。例如:
https://a.example.com
、https://b.example.com
、https://c.example.com
。
在 Chrome 77 以上版本中,您還可以使用萬用字元來指定要隔離的來源範圍。
例如指定 https://[*.]example.com
將會隔離 https://a.example.com
、https://b.example.com
和 https://c.example.com
。此外,也會隔離 https://[*.]example.com
下所有相符的來源,例如:
https://a1.example.com
https://a2.a1.example.com
https://a3.a2.a1.example.com
您可以使用萬用字元標記法,輕鬆隔離整個範圍的來源。例如,指定 https://[*.]corp.solarmora.com
可確保隔離所有 Solarmora 公司來源。
步驟 3:開啟網站隔離
點選下方標題即可查看相應的政策管理步驟。
管理控制台適用於任何裝置上已登入的使用者,或是在 Windows、Mac、Linux 或 Android 上已註冊的瀏覽器。詳情請參閱瞭解套用設定的時機。
重要注意事項:請確定您已為機構啟用受管理的 Chrome 瀏覽器。
-
依序點選「選單」圖示
「裝置」>「Chrome」>「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
必須有行動裝置管理服務的管理員權限。
如果您已註冊 Chrome Enterprise 基本版,請依序按一下「選單」圖示
「Chrome 瀏覽器」>「設定」。
-
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「網站隔離」部分。
- 如果是 Windows、Mac 和 Linux,請按一下「網站隔離」:
- 要求為所有網站啟用網站隔離功能:
- 選取「要求為所有網站和以下任意來源啟用網站隔離功能」。
- (選用) 輸入您要從個別網站隔離的額外來源,並以半形逗號分隔。舉例來說,如果輸入 https://login.example.com,就能將這個網址從 https://example.com 網站中隔離出來。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
- 為所有網站啟用隔離功能,但允許使用者選擇不為特定網站啟用網站隔離功能 (預設):
- 選取「為所有網站和以下任意來源啟用網站隔離功能,但是允許使用者選擇不啟用這項功能」。
- (選用) 輸入您要隔離的網站與來源清單,並以半形逗號分隔。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
- 只為登入網站啟用網站隔離功能 (預設):
- 選取「僅為登入網站和以下任意來源啟用網站隔離功能」。
- (選用) 輸入您要隔離的網站與來源清單,並以半形逗號分隔。
- 按一下「儲存」。
- 允許使用者選擇是否要啟用網站隔離功能:
- 選取「允許使用者選擇啟用網站隔離功能」。
- (選用) 輸入您要隔離的網站與來源清單,並以半形逗號分隔。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
- 為所有網站開啟網站隔離功能:
- 選取「為所有網站和以下任意來源啟用網站隔離功能」。
- (選用) 輸入您要隔離的網站與來源清單,並以半形逗號分隔。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
- 要求為所有網站啟用網站隔離功能:
使用群組原則
在群組原則編輯器中,依序前往「Computer Configuration」或「User Configuration」「Policies」
「Administrative Templates」
「Google」
「Google Chrome」,然後設定下列兩項原則。
要求為所有網站啟用網站隔離功能
注意:Windows 系統一律會啟用網站隔離功能,因此 SitePerProcess 政策只是用來避免使用者選擇不啟用這項功能。
如果將政策保持在「未設定」狀態,系統會執行上述的「未設定」行為。
-
找到並啟用「Enable Site Isolation for every website」(為所有網站啟用網站隔離功能)。
提示:如果找不到這項政策,請下載最新的政策範本。 - 為使用者部署變更。
為特定來源開啟網站隔離功能
如果將政策保持在「未設定」狀態,系統會執行上述的「未設定」行為。
- 使用下列指令列旗標,在本機對特定網站測試網站隔離功能:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - 找到並啟用「為指定來源啟用網站隔離」。
提示:如果找不到這項政策,請下載最新的政策範本。
-
輸入要隔離的網址 (以半形逗號分隔)。
範例:https://[*.]example.com/,https://subdomain.example.org - 為使用者部署變更。
在您的 Chrome 組態設定檔中新增或更新下列鍵值,然後為使用者部署變更。
<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.site1.com,https://www.site2.net”</string>
</dict>
使用您偏好的 JSON 檔案編輯器:
- 前往 etc/opt/chrome/policies/managed 資料夾。
- 建立或更新 JSON 檔案,然後輸入所需網址:
- SitePerProcess:設為 true 即可要求使用政策。
- IsolateOrigins:新增您要隔離的網址。
- 使用下列指令列旗標,在本機對特定網站測試網站隔離功能:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - 為使用者部署變更。
以下示範如何要求使用 SitePerProces 政策:
{
"SitePerProcess": "true”
}
以下示範如何隔離 a.example.com 和 b.example.net:
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}
步驟 4:確認已套用政策
在您套用任何 Chrome 政策後,使用者必須重新啟動 Chrome 瀏覽器,設定才會生效。您可以檢查使用者的裝置,確認政策是否正確套用。
- 在受管理的 ChromeOS 裝置上,瀏覽至 chrome://policy。
- 按一下「重新載入政策」。
- 勾選「顯示尚未設定任何值的政策」方塊。
- 確認您設定的政策的「狀態」均已設為「有效」。
- 針對各項政策按一下「顯示政策值」,確認值欄位中的值與您在政策中設定的值相同。
關閉網站隔離功能 (僅限 Android 裝置)
如要關閉網站隔離功能,請停用您依照上述說明設定的 Android 政策。
停用網站隔離政策後,Chrome 會以原先的網站隔離程序模式來轉譯網站。也就是說,不同的網站可能會共用同一個程序,跨網站頁框也會經由和上層網頁相同的程序來轉譯。停用政策後,也會隨之停用這兩項政策的實測作業。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。