Kleine Information für Administratoren, die den Google Chrome in Unternehmensumgebungen unter Windows einsetzen und die Installation von Chrome Extensions durch Benutzer per Gruppenrichtlinien verwalten. Ab Chrome 86 hat sich die Benennung einer Richtlinie geändert – wer die betreffenden ADMX-Einträge nicht berücksichtigt hat, läuft in eine Falle – die Nutzer können beliebige Erweiterungen in Chrome installieren.
Sperrliste Chrome-Erweiterungen
Google stellt Administratoren Richtlinien zur Verwaltung des Google Chrome-Browsers unter Windows zur Verfügung. Um beispielsweise die Erweiterungen, die der Nutzer unter Chrome installieren darf, zu verwalten, gab es eine Richtlinie „Sperrliste für Installation von Erweiterungen konfigurieren“, die auf die Schlüssel:
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER
wirkte und über Software\Policies\Google\Chrome\ExtensionInstallBlacklist verwaltet wurde. Google hat diese Richtlinie aber als veraltet eingestuft, diese sollte nicht mehr verwendet werden.
In die Falle getappt
Das Ganze hat sich bereits bei der Chrome Version 86 geändert – sollte Administratoren also bekannt sein. Die Tage ist mir aber nachfolgender Tweet von Julian Mooren (Senior Consultant Citrix Technology) aufgefallen.
Mooren wunderte sich, dass Nutzer im Google Chrome plötzlich alle Chrome Erweiterungen aus dem Store in Virtual Desktops installieren konnten. Dabei hatte er doch per Gruppenrichtlinie eine nette Blacklist definiert. Beim Nachschauen kam er dann darauf, dass Google mit der Build 86 des Chrome-Browsers die Richtlinie umbenannt hatte. Statt ExtensionInstallBlacklist nennt sich der Schlüssel jetzt ExtensionInstallBlocklist. Es hat sich nur ein Buchstabe im Namen geändert – übersieht man leicht. Als Folge werden keine Extensions mehr geblockt. Wer die aktualisierten ADMX-Dateien für den Chrome verwendet, kann die neue Richtlinien für Sperrlisten verwenden. Aber vermutlich ist das alles längst bekannt.
