ブラウザ内のVPN接続を可能にする拡張機能をブロックする方法について教えてください。
インストール済みのソフトウェア解決策は求めていません。なぜなら、これらは私のネットワークにあるデバイスすべてをカバーしていないからです。よりグローバルな方法を探しています。
例:Chrome用のBrowsec。無料でかなり高速なVPNがいくつもあります。クライアントマシンをパケットキャプチャし、この拡張機能がアクセスしているIP範囲を特定し、ファイアウォールのレイヤー7ルールで大きなCIDR範囲をブロックしました。その後、その拡張機能は単に動かなくなります。
何か考えはありますか?
GAFEを使っている場合は、Chrome管理コンソールの「デバイス管理」->「Chrome管理」->「アプリと拡張機能」->「許可されたアプリと拡張機能」で拡張機能をホワイトリストまたはブラックリストに登録してください。
ユーザーがサインインしていないWindowsのChromeブラウザだけの場合、Chromeの管理テンプレートを使ったGPOの設定を検討してください:
特に、「コンピュータ構成」->「ポリシー」->「管理用テンプレート」->「Google」->「Google Chrome」->「拡張機能」->「拡張機能のインストールブラックリストの設定」についてです。
私なら、できる範囲で最善を尽くしてブロックします。その後、管理側に問題を提起します。学生やスタッフがこの種の活動に関わった場合、最小限でもAUP違反となります。そうなると、私の考えでは、これは管理上の判断です。
GAFE組織の場合:すべての学
生サブ組織のChromeポリシーを設定し、アプリと拡張機能についてはホワイトリストのみを許可してください。
GAFEを使っていない場合や、Chromeにサインインしないユーザーの場合(ポリシーを回避):Chrome GPOを使ってアプリ/拡張機能をホワイトリストだけに設定してください。
これにより、私たちの地区でのVPN使用はほぼゼロに抑えられました。もちろん、ローカルのVPNクライアントやプロキシを防ぐ適切な実行可能ポリシーも確立してください。
簡単な解決策を見つけたかもしれません。多くのVPNアプリにはバックグラウンドで動作し、ブラウザのプロキシ設定を変更してトラフィックをVPNにリダイレクトするプログラムがあります。管理されたChromeまたはChromeデバイスを使っている場合は、「プロキシを使わない」に設定できるはずです。
VPNアプリが起動すると、バックグラウンドプログラムが実行されますが、トラフィックのリダイレクトに失敗し、無効になります。
すべての状況に効果的ではないかもしれませんが、ホワイトリストを作成する前に試す価値はあるかもしれません。
私たちのメインサイトのファイアウォール(Fortigate 500D)は深層パケット検査を行っており、これがこの種の対策を妨げています。特にBrowsecをテストしましたが、効果はありませんでした。
Macのクライアント側でこれを実現する方法について何か知見があれば教えてください。私のGoogle検索では、ポリシーを強制して拡張機能をブラックリストに登録することに行き着きました。
Google Adminで全ての拡張機能をブラックリストにするポリシーはありますが、Macでは純粋なChromeのインストールをしています。子供がGoogleアカウントでサインインすれば、拡張機能へのアクセスは無制限です。
誰かサンプルのプロファイルやplistを共有してもらえますか?