本文供为企业或学校管理 Chrome 浏览器或 ChromeOS 设备的管理员参考。
作为管理员,您可以禁止用户在某些网站上输入密码,并在用户违反此规定时提示他们更改密码。
准备工作
- 如果贵单位使用“密码防护警示”扩展程序,用户在重复使用密码时可能会收到两组提醒。您可以:
- 停用该扩展程序,这样您和用户就不会再收到这类提醒。
- 如果您希望在“密码防护警示”扩展程序被触发时继续收到提醒,但不想让用户看到这些提醒,请将此扩展程序的 display_user_alert 设置设为 false。
- 请注意,当用户输入或更改密码时,系统会将密码哈希作为偏好设置存储在以下目录中:
- Windows Vista 及更高版本:C:\Users\<user>\AppData\Local\Google\Chrome\User Data
- Windows XP 及更低版本:C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Chrome\User Data
- macOS:~/Library/Application Support/Google/Chrome
- Linux:~/.config/google-chrome
- ChromeOS:/home/chronos
第 1 步:查看政策
您可以设置以下政策中的一项或多项:
| 政策 | 说明和设置 |
|---|---|
|
如果您符合以下情况,则必须设置此政策:
指定要将用户重定向到哪个网页网址,以让其更改密码。如果用户在尚未批准的网站上重复使用密码,或者遭受网上诱骗,则会收到更改密码的提示。 当用户更改密码后,系统会用哈希算法对其进行加密,同时还会存储密码哈希并用其检测是否存在重复使用密码的情况。 确保您所指定的密码更改网址符合这些准则。 如果您目前使用的是第三方身份提供商 (IdP),请使用您在 Google 管理控制台中指定的同一个密码更改网址。 不设置此政策:系统会将 Google Workspace 用户重定向至 Google 账号页面,以让其更改密码。 相关主题 |
|
|
如果您符合以下情况,则必须设置此政策:
指定用户通常会在哪些网址对应的网页中输入密码以登录账号。如果登录流程要在两个网页内完成,请根据用户在哪个网页中输入密码来添加相应的网址。 当用户输入密码时,系统会存储哈希,并用其检测是否有重复使用密码的情况。 确保您所指定的密码更改网址符合这些准则。 如果您目前使用的是第三方身份提供商 (IdP),请添加您在 Google 管理控制台中指定的登录页面网址。 不设置此政策:Chrome 只会捕获登录页面上的密码哈希,以用其检测是否有重复使用密码的情况。 相关主题 |
|
|
指定是否在网站上检测重复使用密码的情况。 从下列选项中选择一项: 0—PasswordProtectionWarningOff:一律不检测重复使用密码的情况。 1—PasswordProtectionWarningOnPasswordReuse:如果用户在您尚未批准的网站上重复使用密码,系统就会检测到重复使用密码的情况,并提示用户更改密码。 2—PasswordProtectionWarningOnPhishingReuse:如果用户在您尚未批准的网站上重复使用密码,Chrome 就会将该网站的网址发送至 Google 安全浏览,从而确定其声誉。如果该网站存在网上诱骗内容,系统会提示用户更改密码。 不设置此政策: 相关主题 |
|
指定要从“Google 安全浏览”网址列表中排除的网域。对于已批准的网域,系统不会就以下方面进行检查:
不设置此政策:PasswordProtectionLoginURLs 和 PasswordProtectionChangePasswordURL 中列出的网址会自动列入许可名单,且不必接受密码重用情况检测。 |
|
|
让您指定是否开启“安全浏览”以及要在哪种模式下运行此功能。 从下列选项中选择一项:
不设置此政策:安全浏览功能会处于标准模式,且用户可以更改此设置。 相关主题 |
第 2 步:设置政策
根据您希望采取的政策管理方式,点击下方的相应标题查看具体步骤。
管理控制台-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
设备 > Chrome > 设置。默认情况下,系统会打开用户和浏览器设置页面。
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome 企业核心版,请依次点击“菜单”图标
Chrome 浏览器 > 设置。
- 前往 Chrome 安全浏览。
- 点击安全浏览保护:
- 配置安全浏览。有关详情,请参阅为用户或浏览器设置 Chrome 政策。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
- 点击安全浏览允许的网域:
- 输入用户可以重复使用密码的网址。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
- 点击禁止绕过安全浏览警告:
- 选择是否允许用户忽略警告并继续访问恶意网站。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
- 点击密码防护警示:
- 请选择所需的选项:
- 在网上诱骗页面上重复使用密码时触发 - 如果用户在“安全浏览”屏蔽名单中包含的网上诱骗网站上重复使用密码,系统就会检测到密码重用的情况。
- 在重复使用密码时触发 - 如果用户在未列入许可名单的网站上重复使用密码,系统就会检测到密码重用的情况。
- 在用于更改密码的网址部分,请输入可供用户更改其密码的网址。
- 在登录网址部分,请输入用户通常会在哪些网址输入密码以登录其账号。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
- 请选择所需的选项:
使用组策略
在组策略管理编辑器(“计算机配置”或“用户配置”文件夹)中:
- 转到策略
管理模板
- 开启 SafeBrowsingProtectionLevel。
提示:如果您未看到此政策,请下载最新政策模板。
如果将此政策保留为“未配置”状态,则系统会应用上述不设置此政策时的行为。 - 根据需要设置一个选项:
- “安全浏览”功能会处于开启状态且会在标准模式下运行
- “安全浏览”功能会处于开启状态且会在增强模式下运行
- 启用配置安全浏览功能在哪些网域中不会触发警告。
如果将此政策保留为“未配置”状态,则系统会应用上述不设置此政策时的行为。 - 添加允许用户重复使用密码的网域。
- 启用密码保护服务警告功能触发条件。
如果将此政策保留为“未配置”状态,则系统会应用上述不设置此政策时的行为。 - 根据需要设置一个选项:
- 重复使用密码可触发密码保护服务警告功能 - 如果用户在尚未批准的网站上重复使用密码,系统就会检测到重复使用密码的情况。
- 在网上诱骗网页中重复使用密码可触发密码保护服务警告功能 - 如果用户在“安全浏览”列表中的网站上重复使用密码,系统就会检测到重复使用密码的情况。
- 启用配置用于更改密码的网址。
如果将此政策保留为“未配置”状态,则系统会应用上述不设置此政策时的行为。 - 添加您希望用户用于更改密码的网页网址。
- 启用配置企业登录网址列表,以便密码保护服务从这些网址中捕获密码指纹。
如果将此政策保留为“未配置”状态,则系统会应用上述不设置此政策时的行为。 - 根据用户通常会在哪些网页中登录 Chrome 浏览器来添加相应的网址。
- 为用户部署更新。
管理模板 - 将 <SafeBrowsingProtectionLevel> 键设为 <integer><值></integer>,其中“<值>”为 1 或 2。
- 将您要关闭安全浏览功能的网域添加到 <SafeBrowsingAllowlistDomains> 键。
- 将 <PasswordProtectionWarningTrigger> 键设为 <integer><值></integer>,其中“<值>”为 0、1 或 2。
- 在 <PasswordProtectionChangePasswordURL> 键中,添加您希望用户更改密码的网页的网址。
- 在 <PasswordProtectionLoginURLs> 键中,根据用户通常会在哪些网页中登录 Chrome 浏览器来添加相应的网址。
以下示例展示了如何实现下列目的:
- 启用安全浏览功能,帮助识别危险网站。
- 指定用户通常会在哪些网页中输入密码。
- 批准不检查密码重复使用情况的网域。
- 在尚未批准的网站上检测重复使用密码的情况。
- 设置提示用户更改密码的网页。
<key>SafeBrowsingProtectionLevel</key>
<dict>
<integer>1</integer>
</dict>
<key>PasswordProtectionWarningTrigger</key>
<dict>
<integer>1</integer>
</dict>
<key>PasswordProtectionChangePasswordURL</key>
<dict>
<string>https://mydomain.com/change_password.html</string>
</dict>
<key>PasswordProtectionLoginURLs</key>
<dict>
<array>
<string>https://mydomain.com/login.html</string>
<string>https://login.mydomain.com</string>
</array>
</dict>
<key>SafeBrowsingAllowlistDomains</key>
<dict>
<array>
<string>mydomain.com</string>
<string>myuniversity.edu</string>
</array>
</dict>使用您的首选 JSON 文件编辑器:
- 转到 /etc/opt/chrome/policies/managed 文件夹。
- 创建或更新 JSON 文件。
- 将 SafeBrowsingProtectionLevel 设为 1 或 2。
- 将 PasswordProtectionWarningTrigger 设为 0、1 或 2。
- 根据需要输入网址。具体如下:
- 在 PasswordProtectionChangePasswordURL 中,添加您希望用户更改密码的网页的网址。
- 在 PasswordProtectionLoginURLs 中,根据用户通常会在哪些网页中登录 Chrome 浏览器来添加相应的网址。
- 在 SafeBrowsingAllowlistDomains 中,添加您想关闭安全浏览功能的网域。
- 为用户部署更新。
以下示例展示了如何实现下列目的:
- 启用安全浏览功能,帮助识别危险网站。
- 指定用户通常会在哪些网页中输入密码。
- 批准不检查密码重复使用情况的网域。
- 在尚未批准的网站上检测重复使用密码的情况。
- 设置提示用户更改密码的网页。
{
"SafeBrowsingProtectionLevel": 1
}
{
"PasswordProtectionWarningTrigger": 1
}
{
"PasswordProtectionChangePasswordURL": "https://mydomain.com/change_password.html"
}
{
"PasswordProtectionLoginURLs": ["https://mydomain.com/login.html", "https://login.mydomain.com"]
}
{
"SafeBrowsingAllowlistDomains": ["mydomain.com", "myuniversity.edu"]
}
第 3 步:设置密码监控
您可以使用 Chrome Reporting Extension 查看有关 Chrome 浏览器使用情况的日志信息。有关详情,请参阅设置被动密码监控。
向用户介绍工作原理
当用户在危险网站或尚未被贵单位列入许可名单的网站上重复使用密码时,系统就会显示警告并将用户转到可以更改密码的网址。
- 用户在 Chrome 浏览器或 ChromeOS 设备上登录已列入许可名单的网域。
Chrome 以静默方式捕获密码哈希并将其保存到本地。Chrome 不会向 Google 发送此数据。 - 用户在您尚未批准的网页或危险网站上输入密码。(他们可能会使用其他用户名。)
如果用户所使用的密码与前述密码相同,Chrome 即告知用户这一情况并提示他们更改密码。 - 用户点击重置密码。
系统会将用户重定向到您所指定的网址。 - 用户更改密码。
Chrome 以静默方式捕获新密码哈希并将其保存到本地。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。