本文供为企业或学校管理 Chrome 浏览器或 ChromeOS 设备的管理员参考。
Chrome 管理员可以使用 DownloadRestrictions 政策禁止用户下载有害文件,例如恶意软件或带有病毒的文件。您可以禁止用户下载所有文件,或者被 Google 安全浏览功能识别为危险内容的文件。如果用户尝试下载危险文件,他们就会收到无法绕过的安全警告。
要了解此政策会影响哪些文件类型以及哪些文件可能会被屏蔽,请点击此处查看 Chromium 代码。
第 1 步:查看政策
Chrome 中有多种类型的下载警告,一般分为以下几类:
- 由安全浏览服务器标记的恶意文件。
- 由安全浏览服务器标记的不常见或不需要的文件。
- 危险文件类型。例如,所有 DLL 下载内容和很多 EXE 下载内容。
要详细了解这些类别,请参阅 Google Chrome 会拦截下载内容。
设置 DownloadRestrictions 政策后,可以拦截这些下载内容的不同子集,具体取决于此政策的值:
- 0 - 默认值。无特殊限制。
- 1 - 拦截以下文件:
- 被安全浏览功能标记为 DANGEROUS_ACCOUNT_COMPROMISE 或 DANGEROUS_ACCOUNT_COMPROMISE 的文件
- 被安全浏览功能标记的下载网址
- danger_level 为 danger_level 且 danger_level 的文件。
注意:建议仅为很少将实体(例如文件或进程)错误识别为恶意实体的组织部门、浏览器或用户设置此政策。
- 2 - 拦截以下文件:
- 被安全浏览功能标记为 DANGEROUS、UNCommon、POTENTIALLY_UNWANTED、DANGEROUS_HOST、DANGEROUS_ACCOUNT_COMPROMISE 的文件
- 被安全浏览功能标记的下载网址
- danger_level 为 danger_level 且 danger_level 的文件。
danger_level:建议仅为很少将实体(例如文件或进程)错误识别为恶意实体的组织部门、浏览器或用户设置此政策。
- 3 - 拦截所有下载内容。不推荐,特殊使用情形除外。
- 4 - 推荐。屏蔽被标记为 DANGEROUS、DANGEROUS_HOST、ACCOUNT_COMPROMISE 的文件,或者屏蔽相应网址被安全浏览功能标记的文件。
不设置此政策:系统将默认采用上述无限制设置。
危险级别为了管理文件下载,我们会按文件的潜在危险性对其进行分类。
注意:我们会经常更新危险文件类型和安全浏览器警告的列表。建议您定期检查代码,方法是在 Chromium 代码搜索的搜索栏中输入 danger_level
危险级别如下:
- NOT_DANGEROUS
- ALLOW_ON_USER_GESTURE
- DANGEROUS
没有 danger_level 的文件使用默认的 danger_level。对于这类文件,ping_setting 决定了安全浏览服务器是否检查相应文件。
- FULL_PING - 一律与安全浏览服务器通信
- SAMPLED_PING - 下载内容的 1% 与安全浏览服务器通信,但前提是用户启用了增强型安全浏览
- NO_PING - 一律不与安全浏览服务器通信
安全浏览警告 | 说明 |
---|---|
安全 | 系统认为下载内容是安全的。 |
DANGEROUS | 系统认为下载内容是危险的。Chrome 会向用户显示警告。 |
UNCOMMON | 下载内容不常见。Chrome 会显示不太严重的警告。 |
POTENTIALLY_UNWANTED | 下载内容可能是垃圾内容。 |
DANGEROUS_HOST | 下载内容来自危险的主机。 |
未知 | 安全浏览功能无法对文件给出确定的判断。如果已为此文件类型配置默认警告,则 Chrome 会显示相应警告。 |
DANGEROUS_ACCOUNT_COMPROMISE | 下载内容与窃取 Cookie 和账号盗用有关。Chrome 会显示严重警告。 |
URL is Flagged | 相应网址被视为危险网址。Chrome 会向用户显示警告。 |
使用 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 政策创建一个由文件类型扩展名构成的字典及配套的网域列表,指定这些扩展名不会在哪些网域中触发基于文件类型扩展名的下载警告。
仅当下载限制设置为 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 时,才能使用 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings 和 ExemptDomainFileTypePairsFromFileTypeDownloadWarnings。如果 DownloadRestrictions 设为 DownloadRestrictions、DownloadRestrictions 或 DownloadRestrictions,则 DownloadRestrictions 的优先级更高,且系统会屏蔽其认为危险的文件。
设置此政策可限制用户在网页上下载内容,如点击页面上的下载链接或右键点击文件并选择链接另存为。
当用户通过点击文件 网页另存为或打印 另存为 PDF 来保存网页时,系统不会应用相应限制。
有关详情,请参阅什么是安全浏览。
第 2 步:设置政策
根据您希望采取的政策管理方式,点击下方的相应标题查看具体步骤。
管理控制台-
-
在管理控制台中,依次点击“菜单”图标 设备Chrome设置。默认情况下,系统会打开用户和浏览器设置页面。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器设置。
-
To apply the setting to all users and enrolled browsers, leave the top organizational unit selected. Otherwise, select a child organizational unit.
- 前往 Chrome 安全浏览。
- 点击下载限制。
- 根据需要选择操作步骤:
- 无特殊限制
- 禁止所有下载恶意软件的操作
- 拦截危险下载内容
- 拦截可能造成危险的下载内容
- 拦截所有下载内容
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如果之后要恢复继承的值,请点击继承。
使用组策略
- 依次点击策略 管理模板 Google Google Chrome。
- 启用允许下载限制。
- 设置所需的选项:
- 无特殊限制
- 禁止所有下载恶意软件的操作
- 拦截危险下载内容
- 拦截可能造成危险的下载内容
- 拦截所有下载内容
- 为用户部署政策。
在 Chrome 配置文件中,添加或更新以下键,然后为用户部署更改。
将 DownloadRestrictions 键设为 <integer><值></integer>,其中 <值> 可为 DownloadRestrictions 、DownloadRestrictions 、DownloadRestrictions 或 DownloadRestrictions 或 4。
示例代码:
<key>DownloadRestrictions</key>
<dict>
<integer>1</integer>
</dict>
在您的首选 JSON 文件编辑器中添加或更新 JSON 文件,然后为您的用户部署更改。
- 前往 etc/opt/chrome/policies/managed 文件夹。
- 将 DownloadRestrictions 键设为 DownloadRestrictions、DownloadRestrictions、DownloadRestrictions、DownloadRestrictions 或 4。
示例代码:
{
"DownloadRestrictions": "1"
}