В статье описывается, как менять невидимые настройки Google Chrome — корпоративные правила (policies).
В Google Chrome есть поддержка правил безопасности, они же корпоративные правила. Подробно об этом написано на официальном сайте — https://chromeenterprise.google/policies/.
В целом подразумевается, что правила безопасности должны устанавливаться организацией, их прямая модификация пользователем не рекомендуется, хотя и возможна. Часть правил имеет аналоги в настройках, когда такое правило задано, оно переопределяет и блокирует соответствующую настройку.
В Chrome есть специальная страница, где перечислены все доступные правила и их статус, просто наберите в адресной строке chrome://policy/. По умолчанию там показываются только заданные правила, чтобы показать все, включите чекбокс Show policies with no value set. Название каждого правила выглядит примерно так: AdvancedProtectionAllowed или DefaultNotificationsSetting, клик по правилу открывает соответствующую страницу с описанием.
Менять значения в этом списке нельзя, предполагается, что это делает глобально администратор организации. Но так как у нас браузер не управляется организацией, то мы будем делать это самостоятельно. Для каждой из операционных систем используются различные методы. Кроме того, для разных платформ (операционных систем) есть свои правила.
Если задано хотя бы одно правило, в главном меню Chrome в самом низу появляется пункт с текстом Managed by your organization, клик по нему переходит на специальный сервисный адрес chrome://management/, где дополнительно написано, что Your browser is managed by your organization.
Правила нельзя рассматривать как дополнительные настройки, однако часть необходимых настроек можно менять только через них, к сожалению.
Настройка правил в Linux¶
Основная официальная документация: https://support.google.com/chrome/a/answer/9027408?hl=ru
В Linux правила настраиваются глобально для всех пользователей через JSON-файл в каталоге /etc/opt/chrome/policies/managed/. Структура файла простая: внутри объект, ключами которого служат названия правил, а значениями — собственно значения. Вы можете все правила поместить в один файл, можете разбить на несколько.
Для начала нужно создать каталог для правил:
$ sudo mkdir -p /etc/opt/chrome/policies/managed
Далее создаём файл с правилами вашим любимым редактором:
$ sudo vi /etc/opt/chrome/policies/managed/policies.json
Например, чтобы запретить полноэкранный режим, заполняем файл так:
{
"FullscreenAllowed": false
}
Чтобы изменения применились сразу, нужно зайти на страницу chrome://policy/ и нажать кнопку Reload Policies в верхнем левом углу страницы. Но они после изменения применятся сами через некоторое время.
Другой пример — отключение Encrypted Client Hello (ECH). Штатными способами этого сделать нельзя, но через правила можно:
{
"EncryptedClientHelloEnabled": true
}
Подробнее об истории с ECH, роскомнадзором и блокировками вы можете прочитать тут, например. Проверить работу правила из России вы можете, например, на адресе https://research.cloudflare.com/ — там включена поддержка ECH. При отсутствующем правиле адрес у вас в chrome не откроется.
Через правила можно управлять настройками, которые больше никаким образом не доступны. Например, можно включить поддержку расширений с манифестом версии 2:
{
"ExtensionManifestV2Availability": 2
}
Настройка правил в macos¶
В macos управление правилами происходит через систему defaults. Например, вот так устанавливается правило EncryptedClientHelloEnabled в false:
$ defaults write com.google.Chrome EncryptedClientHelloEnabled -bool false
Вот так правило удаляется:
$ defaults delete com.google.Chrome EncryptedClientHelloEnabled
Числовые значения устанавливаются так:
$ defaults write com.google.Chrome PolicyRefreshRate -integer 3000
Списковые значения устанавливаются так (на примере правила ClipboardBlockedForUrls):
$ defaults write com.google.Chrome ClipboardBlockedForUrls -array '*.example.com' 'microsoft.com'
В описанном выше виде правила применяются только к локальному пользователю.