Google Chrome empresarial

17 septiembre 2016
Profesionales IT
Josep Ma Solanes 0
| |

Son muchos los usuarios que utilizan el Google Chrome como navegador de Internet sin ser demasiado conscientes de lo que pasa escondido por delante de sus ojos. ¿Cansados de Microsoft Internet Explorer, Mozilla Firefox? abre las páginas muy rápido, se ven las animaciones y se ejecutan aplicaciones sin tener que hacer nada, es de Google, etc… comodidad ante todo, son algunos argumentos que oigo y he oido. ¿Pero es realmente así?

Sin entrar en demasiados detalles que pueden llenar páginas y páginas, resumo con la bonita frase:

«Si no pagas por un producto o servicio,
es que tu eres el producto o servicio»

Y aquí está el negocio de Google. Quizás os sorprende, pero Google, no es una empresa informática. Google es una agencia de publicidad y TU eres su producto. ¿Os preguntaréis como? pues creando una imagen digital/virtual de ti: tus gustos, qué buscas, qué te interesa, donde estas, como eres, donde quieres ir, con quien te relacionas, etc… la información es poder y a muchos los conoce mejor Google que ellos mismos. De esta manera, los productos de Google siempre tratan de conseguir esta información (que después se comercializa en forma de campañas publicitarias, por ejemplo) y Google Chrome no es menos.

¿Podemos utilizar el Google Chrome de manera más o menos segura?

Si, pero no de forma estándar descargando y instalando el navegador por defecto. La NSA (Agencia de Seguridad Nacional de los EE.UU.) tiene editado un documento para el despliegue i securización del Google Chrome en entornos empresariales que se puede consultar íntegramente en: http://www.nsa.gov/ia/_files/app/Deploying_and_Securing_Google_Chrome_in_a_Windows_Enterprise.pdf

Esta entrada describe el proceso de instalación y securización del navegador Google Chrome en sistemas operativos Microsoft Windows, basándose en esta documentación y la propia experiencia. Se juega con la balanza de la comodidad y seguridad del usuario. Sin embargo, como nota personal, utilizo el Google Chrome para ciertas webs, pero no entro en mi banco; a partir de aquí, que cada uno saque las conclusiones oportunas.

Instalación en entorno Windows

La descarga de la aplicación se hace desde la página para empresas de Google, que no es la misma que la general: http://www.google.com/intl/en/chrome/business/browser/,

Chrome-01

En las dos columnas que aparecen, seleccionar la opción «for IT managers»

Chrome-02

Hacer clic en el botón Descargar Chrome para obtener los binarios de instalación.

Chrome-03

Como que es todo el paquete completo, y no una parte que después descarga el resto según le hace falta. Se puede hacer la distribución y instalación automática por la red mediante herramientas como el propio Directorio Activo o Microsoft System Center Configuration Manager.

Aceptación de las condiciones de servicio, ya sé que no las leéis, pero os haríais cruces de lo que aceptais. Hacer clic en el botón Aceptar e instalar.

Chrome-04

No cerrar la página que la necesitaremos más adelante.

Al hacer clic en el archivo, salen dos advertencias, es lo normal, una para confirmar la instalación de un archivo bajado de Internet y el otro pidiendo permisos de administrador para modificar el sistema. Esta última lo hace con un nombre de archivo diferente, pero es lo que corresponde.

Chrome-05 Chrome-06

Una barra de progreso va subiendo hasta arriba del todo y ya tenemos el Google Chrome instalado, más que nada porque aparece el icono en el escritorio. ¡Máxima facilidad para el usuario!

Chrome-07 Chrome-08

¿Pero qué pasa si arranco el Google Chrome?

En la máquina de laboratorio que utilizo para las entradas, un Microsoft Windows 7 x64 Enterprise acabado de instalar y actualizado hasta la fecha, pongo en marcha el sniffer (aplicación que visualiza el tráfico de red) Microsoft Network Monitor. Este, me ayudará a determinar qué entra o sale por la tarjeta de red, indicando el proceso (aplicación) que realiza la operación.

Pongo en marcha Google Chrome (que todavía no he configurado). Lo primero que hace es intentar identificarme y abrir muchas conexiones en los servicios de autenticación de Google (por defecto la página inicial es con autenticación a Google, pero va más allá que cargar la página inicial), aparte de ir haciendo peticiones a las APIs (funciones) del propio Google. Es decir, tenerme fijado y poder enfocar mejor los anuncios que ver a continuación para todas las páginas que pueda visitar.

Chrome-10

¿Dónde está el problema?

Quizás ya me está bien que Google Chrome haga o permita todo esto. Si es así, puedes dejar de leer la entrada ahora mismo que no es para ti.

En caso contrario, si te preocupa que se hace de la información y quien puede acceder a tu sistema, podemos mitigar, que no eliminar, ciertos puntos mediante parámetros de configuración.

Volvamos a la página de descarga empresarial de Google Chrome para administradores de TI, bajando un poco la página, hay el apartado «Control 100+policies», hacer clic en la última frase: Chrome for Business Help Center.

Chrome-11

Dirige a la web de Google para configurar Google Chrome para empresas. Se pueden ver las opciones de instalación para dispositivos administrados Windows y la configuración de las políticas a nivel de máquina o usuario.

Chrome-12

Seleccionar cualquiera de las dos opciones de políticas, las de máquina por ejemplo, «Set up device-based policies«, en el texto que se despliega, figuran las 3 opciones para configurar los parámetros:

  • Group Policies
  • Windows Registry
  • Master Preferences

¿Cuál escoger? La que os convenga. ¿Cuál recomiendo? Group Policies (GPO), de esta forma evito que se modifique el registro manualmente, porque la GPO manda sobre las modificaciones manuales.

Políticas de configuración (GPO)

¿Cómo se aplican?

Según muestra la propia Google y que tiene bastante de fundamento en la propia arquitectura de Microsoft Windows, primero se aplican las de máquina, después las de usuario y finalmente las personalizaciones de la propia aplicación.

Chrome-09

De esta manera si fuerzo la configuración a nivel de máquina aseguro que nada la pueda sobreescribir. Recordar que sólo se puede aplicar un valor de parámetro a la vez, si hay conflicto se aplica el de más preferencia. Por ejemplo, si la página inicial del usuario es www.google.com y la GPO de máquina indica que es www.empresa.com, la que prevalece es la de máquina, por lo tanto, la página inicial será www.empresa.com.

 

Aplicando GPOs a Google Chrome

Para configurar las GPOs, primero se necesitan las plantillas. En la página web de Google, seleccionar Set Chrome policies for devices, hacer clic en policy templates, descargar y descomprimir el archivo.

Chrome-13

Seleccionar la carpeta Windows que contiene tres carpetas (adm, admx, examples). Las primeras carpetas corresponden a las plantillas administrativas para Windows XP/2003 y Windows Vista/7/8/2008/2008R2/2012, respectivamente. La carpeta examples, contiene un archivo de modificación del registro con un ejemplo de configuración.

Llegados a este punto, ya tenemos las herramientas necesarias para trabajar. Toca decidir como las aplicamos:

  • En caso de una red empresarial con un Directorio Activo, la recomendación es crear una política de dominio con la configuración. Las plantillas se copian en el controlador de Directorio Activo y la política a crear es una política de grupo.
  • En caso de una máquina individual, la actuación y política será la local de la máquina. Las plantillas se copian en la máquina local y la política a crear es una política local.

Estableciendo una política local en un Windows 7

Todas las capturas de pantalla y ubicaciones hacen referencia a ubicaciones y herramientas del equipo cliente. En caso del dominio, las rutas de las plantillas y la herramienta de gestión de GPOs se encuentran en el controlador de Directorio Activo y la actuación tiene que ser sobre el controlador. Todas las operaciones se deben llevar a cabo con permisos de administrador.

  • Copiar el archivo admx\chrome.admx en la carpeta del sistema operativo: c:\Windows\PolicyDefinitions (seguramente saldrá alguna advertencia de administración ya que se tocan carpetas protegidas por el sistema operativo, aceptar la operación).
  • Copiar el contenido de la carpeta admx\en-US\ a la correspondiente del sistema operativo c:\Windows\PolicyDefinitions\en-US.
  • Repetir la última operación con el contenido de admx\es\ a c:\Windows\PolicyDefinitions\es-ES

Chrome-16 Chrome-17

Cargar un nuevo complemento a una consola de administración.

Desde el escritorio del sistema operativo, seleccionar:

Inicio > En la línea de buscar, escribir mmc y pulsar la tecla INTRO > Aceptar la solicitud de permisos administración.

Chrome-19 Chrome-20

En la consola que se acaba de abrir, seleccionar el menù Archivo > Agregar o quitar complementos > Seleccionar Editor de objetos de Directiva de grupo > Agregar > Queda marcado el equipo local > Finalizar > Aceptar.

Chrome-21 Chrome-22
Chrome-23 Chrome-24

Desplegando el árbol de la derecha, se observa la parte de máquina (configuración del equipo) y la parte de usuario (configuración de usuario). La que interesa es la de equipo.

Chrome-25

Seleccionar Configuración del equipo > Plantillas Administrativas > Se muestra la carpeta de Google con dos subcarpetas. Una que obliga la configuración y la otra con parámetros que el usuario puede modificar, es decir, no se sobreescriben.

Chrome-26

Seleccionar Google Chrome (parámetros obligatorios)

Establecer la siguiente configuración. Naturalmente, puede ser más restrictiva (bloquear la libre instalación de complementos o eliminar algún parámetro más permisivo (aceleración 3D).

A continuación se visualiza el nombre de la carpeta y los parámetros que SE modifican El resto de parámetros se quedan en valor No configurado, no se fuerza el valor. En caso de querer volver a dejar un parámetro sin que se aplique, sólo hay que poner su valor en No configurado de nuevo.

Google Chrome

  • Continuar ejecutando aplicaciones en segundo plano cuando Google Chrome esté cerrado – Deshabilitada
  • Ejecutar siempre complementos que requieran autorización – Habilitada
  • Habilitar Autocompletar – Deshabilitada
  • Habilitar el envío de documentos a Google Cloud Print – Deshabilitada
  • Habilitar el proxy de Google Cloud Print – Deshabilitada
  • Habilitar informes de uso de datos sobre fallos – Deshabilitada
  • Habilitar la navegación segura – Habilitada
  • Habilitar predicción de red – Deshabilitada
  • Habilitar sugerencias de búsqueda – Deshabilitada
  • Importar las contraseñas guardadas desde el navegador predeterminado en la primera ejecución – Deshabilitada
  • Inhabilitar compatibilidad con API de gráficos 3D – Habilitada*
  • Inhabilitar la realización de capturas de pantalla – Habilitada
  • Inhabilitar protocolo SPDY – Habilitada
  • Inhabilitar seguir navegando desde la página de advertencia sobre navegación segura – Habilitada
  • Inhabilitar sincronización de datos con Google – Habilitada
  • Permitir la ejecución de complementos obsoletos – Deshabilitada
  • Se realizan comprobaciones OCSP/CRL si estás online – Habilitada

Administrador de contraseñas

  • Permitir que los usuarios muestren contraseñas en el Administrador de contraseñas – Deshabilitada
  • Habilitar el administrador de contraseñas – Deshabilitada

Configuración de contenido

  • Configuración de ubicación geográfica predeterminada – Habilitada
    No permitir que ningún sitio haga un seguimiento de la ubicación física de los usuarios
  • Configuración de notificación predeterminada – Habilitada
    Preguntar siempre que un sitio quiera mostrar notificaciones de escritorio

Configuración de usuarios administrados de forma local

  • Habilitar la creación de usuarios supervisados – Deshabilitada

Configurar opciones de acceso remoto

  • Habilitar que se pueda pasar a través de un cortafuegos desde un host de acceso remoto – Deshabilitada

Políticas de autenticación HTTP

  • Esquemas de autenticación admitidos – Habilitada

Chrome-28

Al cerrar la consola queda establecida la política.

Cambiar la página de inicio por defecto de Google a www.google.es, para evitar que inicie sesión al arrancar.

Iniciar Google Chrome, seleccionar el botón Google (tres líneas horizontales) > Configuración > Opción Al iniciar > Abrir una página específica o un conjunto de páginas. > Hacer clic en Establecer páginas

Chrome-29 Chrome-30

En el apartado «Añadir una nueva página», escribir www.google.es. Hacer clic en el botón Aceptar.

Chrome-31

Para asegurar que se aplican las nuevas políticas definidas en el apartado de máquina, reiniciar.

Al iniciar de nuevo el ordenador, se puede comprobar si Google Chrome ha cogido los parámetros definidos. Repetimos la operación del sniffer. Se comprueba que no hay peticiones en la cuenta (accounts.google…) de Google.

Chrome-32

En la parte de configuración de Google Chrome, seleccionar «Mostrar opciones avanzadas«, se puede comprobar que hay opciones en gris, que no se pueden modificar. Indica que la política de configuración se aplica correctamente.

Buena navegación y recordar que la última palabra la tiene el usuario, es decir, TU. No os pongáis en lugares dudosos y leed lo que os piden antes de tomar cualquier acción. En caso de duda, ¡cerrad la página!

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

 

Similar Posts by The Author: