Google Chrome empresarial

14 Setembre 2013
Josep Ma Solanes 3

Són molts els usuaris que utilitzen el Google Chrome com a navegador d’Internet sense ser massa conscients del què passa amagat per davant dels seus ulls. Cansats de Microsoft Internet Explorer, Mozilla Firefox? obre les pàgines molt ràpid, es veuen les animacions i s’executen aplicacions sense haver de fer res, és de Google, etc…comoditat davant de tot, són alguns arguments que sento i he sentit. Però és realment així?

Sense entrar en masses detalls que poden omplir pàgines i pàgines, resumeixo amb la bonica frase:

“Si no pagues per un producte o servei,
és que tu ets el producte o servei”

I aquí hi ha el negoci de Google. Potser us sorprèn, però Google, no és una empresa informàtica. Google és una agència de publicitat i TU ets el seu producte. Us preguntareu com? doncs creant una imatge digital/virtual de tu: els teus gustos, què busques, què t’interessa, on ets, com ets, on vols anar, amb qui et relaciones, etc.…la informació és poder i a molts els coneix millor Google que ells mateixos. D’aquesta manera, els productes de Google sempre miren d’aconseguir aquesta informació (que després es comercialitza en forma de campanyes publicitàries, per exemple) i Google Chrome no és menys.

Podem utilitzar el Google Chrome de manera més o menys segura?

Si, però no de forma estàndard descarregant i instal·lant el navegador per defecte. La NSA (Agència de Seguretat Nacional dels EE.UU.) té editat un document pel desplegament i segurització del Google Chrome en entorns empresarials que es pot consultar íntegrament a: http://www.nsa.gov/ia/_files/app/Deploying_and_Securing_Google_Chrome_in_a_Windows_Enterprise.pdf

Aquesta entrada descriu el procés de instal·lació i segurització del navegador Google Chrome en sistemes operatius Microsoft Windows, basant-se en aquesta documentació i la pròpia experiència. Es juga amb la balança de la comoditat i seguretat de l’usuari. No obstant, com a nota personal, utilitzo el Google Chrome per a certes webs, però no entro al meu banc; a partir d’aquí, que cadascú en tregui les conclusions oportunes.

Instal·lació en entorn Windows

La descàrrega de l’aplicació es fa des de la pàgina per empreses de Google, que no és la mateixa que la general: http://www.google.com/intl/en/chrome/business/browser/,

Chrome-01

En les dues columnes que apareixen, seleccionar l’opció “for IT managers

Chrome-02

Clicar al botó Descargar Chrome per obtenir els binaris d’instal·lació.

Chrome-03

Com que és tot el paquet complet, i no una part que després descarrega la resta segons li fa falta. Es pot fer la distribució i instal·lació automàtica per la xarxa mitjançant eines com el propi Directori Actiu o Microsoft System Center Configuration Manager.

Acceptació de les condicions de servei, ja sé que no les llegiu, però us faríeu creus del que accepteu. Clicar el botó Aceptar e instalar.

Chrome-04

No tancar la pàgina que la necessitarem més endavant.

Al clicar a l’arxiu, surten dues advertències, és el normal, una per confirmar la instal·lació d’un arxiu baixat d’Internet i l’altre demanant permisos d’administrador per modificar el sistema. Aquesta última ho fa amb un nom d’arxiu diferent, però és el que correspon.

Chrome-05 Chrome-06

Una barres de progrés va pujant fins al cap de munt i ja tenim el Google Chrome instal·lat, més que res perquè apareix la icona a l’escriptori. Màxima facilitat per l’usuari!

Chrome-07 Chrome-08

Però què passa si engego el Google Chrome?

En la màquina de laboratori que utilitzo per les entrades, un Microsoft Windows 7 x64 Enterprise acabat d’instal·lar i actualitzat fins a la data, engego l’sniffer (aplicació que visualitza el tràfic de xarxa) Microsoft Network Monitor. Aquest, m’ajudarà a determinar què entra o surt per la targeta de xarxa, indicant el procés (aplicació) que realitza la operació.

Engego Google Chrome (que encara no he configurat). El primer que fa és intentar identificar-me i obrir moltes connexions als serveis d’autenticació de Google (per defecte la pàgina inicial és amb autenticació a Google, però va més enllà que carregar la pàgina inicial), a banda d’anar fent peticions a les APIs (funcions) del propi Google. És a dir, tenir-me fitxat i poder enfocar millor els anuncis que veure a continuació per a totes les pàgines que pugui visitar.

Chrome-10

On és el problema?

Potser ja m’està bé que Google Chrome faci o permeti tot això. Si és així, pots deixar de llegir l’entrada ara mateix que no és per a tu.

En cas contrari, si et preocupa que se’n fa de la informació i qui pot accedir al teu sistema, podem mitigar, que no eliminar, certs punts mitjançant paràmetres de configuració.

Tornem a la pàgina de descàrrega empresarial de Google Chrome per administradors de TI, baixant una mica la pàgina, hi ha l’apartat “Control 100+policies”, clicar la última frase: Chrome for Business Help Center.

Chrome-11

Dirigeix a la web de Google per configurar Google Chrome per empreses. Es poden veure les opcions d’instal·lació per dispositius administrats Windows i la configuració de les polítiques a nivell de màquina o usuari.

Chrome-12

Seleccionar qualsevol de les dues opcions de polítiques, les de màquina per exemple, “Set up device-based policies“, en el text que es desplega, figuren les 3 opcions per configurar els paràmetres:

  • Group Policies
  • Windows Registry
  • Master Preferences

Quina escollir? La que us convingui. Quina recomano? Group Policies (GPO), d’aquesta forma evito que es modifiqui el registre manualment, perquè la GPO mana sobre les modificacions manuals.

Polítiques de configuració (GPO)

Com s’apliquen?

Segons mostra la pròpia Google i que té bastant de fonament en la pròpia arquitectura de Microsoft Windows, primer s’apliquen les de màquina, després les d’usuari i finalment les personalitzacions de la pròpia aplicació.

Chrome-09

D’aquesta forma si forço la configuració a nivell de màquina asseguro que res la pugui sobreescriure. Recordar que només es pot aplicar un valor de paràmetre a la vegada, si hi ha conflicte s’aplica el de més preferència. Per exemple, si la pàgina inicial de l’usuari és www.google.com i la GPO de màquina indica que és www.empresa.com, la que preval és la de màquina, per tant, la pàgina inicial serà www.empresa.com.

 

Aplicant GPOs a Google Chrome

Per configurar les GPOs, primer es necessiten les plantilles. A la pàgina web de Google, seleccionar Set Chrome policies for devices, clicar a policy templates, descarregar i descomprimir l’arxiu.

Chrome-13

Seleccionar la carpeta Windows que conté tres carpetes (adm, admx, examples). Les primeres carpetes corresponen a les plantilles administratives per Windows XP/2003 i Windows Vista/7/8/2008/2008R2/2012, respectivament. La carpeta exemples, conté un arxiu de modificació del registre amb un exemple de configuració.

Arribats en aquest punt, ja tenim les eines necessàries per a treballar. Toca decidir com les apliquem:

  • En cas d’una xarxa empresarial amb un Directori Actiu, la recomanació és crear una política de domini amb la configuració. Les plantilles es copien al controlador de Directori Actiu i la política a crear és una política de grup.
  • En cas d’una màquina individual, l’actuació i política serà la local de la màquina. Les plantilles es copien a la màquina local i la política a crear és una política local.

Establint una política local en un Windows 7

Totes les captures de pantalla i ubicacions fan referència a ubicacions i eines de l’equip client. En cas del domini, les rutes de les plantilles i l’eina de gestió de GPOs es troben en el controlador de Directori Actiu i l’actuació ha de ser sobre el controlador. Totes les operacions s’han de dur a terme amb permisos d’administrador.

  • Copiar l’arxiu admx\chrome.admx a la carpeta del sistema operatiu: c:\Windows\PolicyDefinitions (segurament sortirà alguna advertència d’administració ja què es toquen carpetes protegides pel sistema operatiu, acceptar l’operació).
  • Copiar el contingut de la carpeta admx\en-US\ a la corresponent del sistema operatiu c:\Windows\PolicyDefinitions\en-US.
  • Repetir la última operació amb el contingut de admx\es\ a c:\Windows\PolicyDefinitions\es-ES

Chrome-16 Chrome-17

Carregar un nou complement a una consola d’administració.

Des de l’escriptori del sistema operatiu, seleccionar:

Inicio > A la línia de buscar, escriure mmc i pitjar la tecla INTRO > Acceptar la sol·licitud de permisos administració.

Chrome-19 Chrome-20

En la consola que s’acabo d’obrir, seleccionar el menú Archivo > Agregar o quitar complementos > Seleccionar Editor de objetos de Directiva de grupo > Agregar > Queda marcat l’equip local > Finalizar > Aceptar.

Chrome-21 Chrome-22
Chrome-23 Chrome-24

Desplegant l’arbre de la dreta, s’observa la part de màquina (configuración del equipo) i la part d’usuari (configuración de usuario). La que interessa és la d’equip.

Chrome-25

Seleccionar Configuración del equipo > Plantillas Administrativas > Es mostra la carpeta de Google amb dues subcarpetes. Una que obliga la configuració i l’altre amb paràmetres que l’usuari pot modificar, és a dir, no es sobreescriuen.

Chrome-26

Seleccionar Google Chrome (paràmetres obligatoris)

Establir la següent configuració. Naturalment, pot ser més restrictiva (bloquejar la lliure instal·lació de complements) o eliminar algun paràmetre més permissiu (acceleració 3D).

Tot seguit es visualitza el nom de la carpeta i els paràmetres que ÉS modifiquen. La resta de paràmetres es queden en valor No configurado, no es força el valor. En cas de voler tornar a deixar un paràmetre sense que s’apliqui, només cal posar el seu valor a No configurado de nou.

Google Chrome

  • Continuar ejecutando aplicaciones en segundo plano cuando Google Chrome esté cerrado – Deshabilitada
  • Ejecutar siempre complementos que requieran autorización – Habilitada
  • Habilitar Autocompletar – Deshabilitada
  • Habilitar el envío de documentos a Google Cloud Print – Deshabilitada
  • Habilitar el proxy de Google Cloud Print – Deshabilitada
  • Habilitar informes de uso de datos sobre fallos – Deshabilitada
  • Habilitar la navegación segura – Habilitada
  • Habilitar predicción de red – Deshabilitada
  • Habilitar sugerencias de búsqueda – Deshabilitada
  • Importar las contraseñas guardadas desde el navegador predeterminado en la primera ejecución – Deshabilitada
  • Inhabilitar compatibilidad con API de gráficos 3D – Habilitada*
  • Inhabilitar la realización de capturas de pantalla – Habilitada
  • Habilitada  Inhabilitar protocolo SPDY – Habilitada
  • Inhabilitar seguir navegando desde la página de advertencia sobre navegación segura – Habilitada
  • Inhabilitar sincronización de datos con Google – Habilitada
  • Permitir la ejecución de complementos obsoletos – Deshabilitada
  • Se realizan comprobaciones OCSP/CRL si estás online – Habilitada

Administrador de contraseñas

  • Permitir que los usuarios muestren contraseñas en el Administrador de contraseñas – Deshabilitada
  • Habilitar el administrador de contraseñas – Deshabilitada

Configuración de contenido

  • Configuración de ubicación geográfica predeterminada – Habilitada
    No permitir que ningún sitio haga un seguimiento de la ubicación física de los usuarios
  • Configuración de notificación predeterminada – Habilitada
    Preguntar siempre que un sitio quiera mostrar notificaciones de escritorio

Configuración de usuarios administrados de forma local

  • Habilitar la creación de usuarios supervisados – Deshabilitada

Configurar opciones de acceso remoto

  • Habilitar que se pueda pasar a través de un cortafuegos desde un host de acceso remoto – Deshabilitada

Políticas de autenticación HTTP

  • Esquemas de autenticación admitidos – Habilitada

Chrome-28

Al tancar la consola queda establerta la política.

Canviar la pàgina d’inici per defecte de Google a www.google.es, per evitar que iniciï sessió al arrancar.

Iniciar Google Chrome, seleccionar el botó Google (tres línies horitzontals) > Configuración > Opció Al iniciar > Abrir una página específica o un conjunto de páginas. > Clicar Establecer páginas

Chrome-29 Chrome-30

A l’apartat “Añadir una nueva página”, escriure www.google.es. Clicar el botó Aceptar.

Chrome-31

Per assegurar que s’apliquen les noves polítiques definides a l’apartat de màquina, reiniciar.

Al iniciar de nou l’ordinador, es pot comprovar si Google Chrome ha agafat els paràmetres definits. Repetim l’operació de l’sniffer. Es comprova que no hi ha peticions al compte (accounts.google…) de Google.

Chrome-32

A la part de configuració de Google Chrome, seleccionar “Mostrar opciones avanzadas“, es pot comprovar que hi ha opcions en gris, que no es poden modificar. Indica que la política de configuració s’aplica correctament.

 

Bona navegació i recordar que la última paraula la té l’usuari. és a dir, TU. No us poseu en llocs dubtosos i llegiu el que us demanen abans de prendre qualsevol acció. En cas de dubte, tanqueu la pàgina!

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

Similar Posts by The Author:

 

3 comentaris per a
“Google Chrome empresarial”

  1. Chrome com a app a Ipads dona molts problemes d’estabilitat amb mdm com ara Meraki. Potser ja es volgut per Apple? Llàstima per als qui treballem amb aquestes tauletes.

     
    1. Hola Adam, interessant el comentari, però malauradament t’he de dir que desconec l’ús del MDM de Meraki en dispositius Apple.

      Ara bé, sobre les tecnologies MDM (control de dispositius mòbils) és important escollir i valorar molt bé, amb proves pilot, amb les aplicacions corporatives, ja què precisament d’ells en depèn una experiència d’usuari satisfactòria. I, al final, si la seva experiència és dolenta, et pot tirar per terra tot el projecte.

      Personalment els MDMs que m’agraden i amb els que he tingut contacte són el MobileIron, AirWatch o InTune. Més sovint del què ens pensem, escollir només per preu, sense un bon anàlisi ens pots portar a projectes abandonats i això sí què és car.

      Salut.

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada