Sistem

Domain Ortamında Google Chrome Yönetimi

29.09.2025 23 dk okuma 162 görüntülenme
Güncellendi 31.10.2025
Domain Ortamında Google Chrome Yönetimi

Domain Ortamında Google Chrome Yönetimi: GPO ile Güvenlik ve Kontrol.

Domain ortamındaki bilgisayarlarda Google Chrome kullanımı, yönetilmediği takdirde ciddi güvenlik riskleri oluşturabilir. Kullanıcılar Google hesaplarıyla Chrome'da oturum açtıklarında, şahsi bilgisayarlarındaki eklentiler ve ayarlar otomatik olarak şirket bilgisayarına senkronize olur. Bu durum, özellikle VPN eklentileri gibi güvenlik açığı yaratabilecek uzantıların kurumsal ağa sızmasına neden olabilir.

Bu yazıda, Active Directory Group Policy Objects (GPO) kullanarak Chrome'u merkezi olarak nasıl yönetebileceğinizi ve kurumsal güvenliği nasıl sağlayabileceğinizi detaylı olarak anlatacağız.

🚨 Güvenlik Riskleri

Senkronizasyon Kaynaklı Tehditler

Kullanıcı Senaryosu: Bir çalışan, evindeki bilgisayarında VPN eklentisi, ad-blocker ve çeşitli browser uzantıları kullanıyor. İş yerinde Google hesabıyla Chrome'da oturum açtığında:

  1. ❌ Tüm şahsi eklentileri şirket bilgisayarına yüklenir
  2. ❌ VPN eklentileri kurumsal ağ güvenliğini bypass edebilir
  3. ❌ Bilinmeyen kaynaklardan eklentiler veri sızıntısına neden olabilir
  4. ❌ Ad-blocker'lar kurumsal web filtreleme politikalarını etkisizleştirebilir
  5. ❌ Proxy ayarları değişebilir ve ağ trafiği şirket dışına yönlendirilebilir

Kritik Güvenlik Sorunları

VPN Eklentileri:

  • Kurumsal güvenlik duvarını bypass eder
  • Tüm web trafiğini şifrelenerek şirket dışına çıkarır
  • DLP (Data Loss Prevention) sistemlerini etkisiz hale getirir
  • Kötü amaçlı yazılım bulaşma riskini artırır

Bilinmeyen Eklentiler:

  • Keylogger içerebilir
  • Ekran görüntüsü alabilir
  • Form verilerini çalabilir
  • Session cookie'leri ele geçirebilir

Proxy ve Ağ Ayarları:

  • Kurumsal internet trafiği kontrolünü bypass eder
  • SIEM ve log sistemlerinden kaçırabilir
  • Zararlı sitelere erişimi mümkün kılar

🛡️ Çözüm: Chrome ADMX Şablonları ile Merkezi Yönetim

Active Directory Group Policy kullanarak Chrome'u merkezi olarak yönetebilir ve tüm güvenlik risklerini minimize edebilirsiniz.

📥 Adım 1: Chrome ADMX Şablonlarını İndirme

İndirme Linki

Chrome yönetim şablonlarını resmi Google kaynağından indirin: https://chromeenterprise.google/browser/download/#manage-policies-tab

Paket İçeriği

İndirdiğiniz ZIP dosyasında şunlar bulunur:

  • chrome.admx - Ana şablon dosyası (English)
  • windows/admx/ klasörü - ADMX dosyaları
  • windows/admx/tr-TR/ klasörü - Türkçe dil dosyaları (chrome.adml)
  • Diğer dil klasörleri (en-US, de-DE, vb.)

📂 Adım 2: Şablonları Active Directory'e Yükleme

Central Store Yapısı

Active Directory ortamında Group Policy şablonlarını merkezi bir konumda tutmak best practice'tir.

Hedef Klasör:

C:\Windows\SYSVOL\sysvol\\Policies\PolicyDefinitions\

Örnek:

C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\

Yükleme Adımları

1. Domain Controller'a Bağlanın

# Domain Controller'a RDP ile bağlan
mstsc /v:dc01.sirketadi.local

2. PolicyDefinitions Klasörüne Gidin

# PowerShell ile klasöre git
cd C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\

3. Central Store Oluşturun (İlk Kurulumsa)

# PolicyDefinitions klasörü yoksa oluştur
if (!(Test-Path "PolicyDefinitions")) {
    New-Item -ItemType Directory -Path "PolicyDefinitions"
}

# Türkçe dil klasörünü oluştur
if (!(Test-Path "PolicyDefinitions\tr-TR")) {
    New-Item -ItemType Directory -Path "PolicyDefinitions\tr-TR"
}

4. ADMX Dosyasını Kopyalayın İndirdiğiniz paket içinden:

  • chrome.admx dosyasını PolicyDefinitions\ klasörüne kopyalayın
  • tr-TR\chrome.adml dosyasını PolicyDefinitions\tr-TR\ klasörüne kopyalayın
# PowerShell ile kopyalama
Copy-Item "C:\Downloads\Chrome-Policy\windows\admx\chrome.admx" `
    -Destination "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\"

Copy-Item "C:\Downloads\Chrome-Policy\windows\admx\tr-TR\chrome.adml" `
    -Destination "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\tr-TR\"

5. Dosya İzinlerini Kontrol Edin

# Domain Admins ve System'in Full Control yetkisi olmalı
Get-Acl "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\chrome.admx" | Format-List

Doğrulama

GPMC Kontrolü:

  1. gpmc.msc açın
  2. Yeni bir GPO oluşturun veya var olan birini düzenleyin
  3. Computer Configuration > Policies > Administrative Templates'e gidin
  4. Google > Google Chrome klasörünü görmelisiniz

🔧 Adım 3: GPO Oluşturma ve Yapılandırma

Yeni GPO Oluşturma

Group Policy Management Console (GPMC) ile:

1. gpmc.msc açın
2. Domain altında Group Policy Objects'e sağ tıklayın
3. New > GPO adını girin: "Chrome Security Policy"
4. Oluşturulan GPO'ya sağ tıklayıp Edit seçin

PowerShell ile GPO Oluşturma:

# Yeni GPO oluştur
New-GPO -Name "Chrome Security Policy" -Comment "Chrome güvenlik ve eklenti yönetim politikası"

# GPO'yu bir OU'ya link et
New-GPLink -Name "Chrome Security Policy" -Target "OU=Workstations,DC=sirketadi,DC=local"

GPO Scope ve Filtreleme

Security Filtering:

  • Default olarak "Authenticated Users" grupuna uygulanır
  • Belirli bilgisayar gruplarına sınırlamak için: 
    Delegation > Advanced > Add > Computers-Chrome-Users

WMI Filtering (Opsiyonel): Chrome yüklü bilgisayarlara özel uygulama:

SELECT * FROM Win32_Product WHERE Name LIKE '%Google Chrome%'

🚫 Adım 4: Tüm Eklentileri Engelleme

Configure Extension Installation Blocklist

Politika Yolu:

Computer Configuration > Policies > Administrative Templates > Google > Google Chrome > Extensions

Politika Adı: Configure extension installation blocklist

Yapılandırma:

  1. Politikayı Enabled yapın
  2. "Show..." butonuna tıklayın
  3. Listeye * (yıldız) karakteri ekleyin
  4. OK ile kaydedin

Anlamı: * karakteri tüm eklentileri engeller. Bu wildcard, herhangi bir eklenti ID'siyle eşleşir.

PowerShell ile Yapılandırma:

# Registry anahtarını oluştur
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist"
New-Item -Path $regPath -Force

# Tüm eklentileri engelle
Set-ItemProperty -Path $regPath -Name "1" -Value "*" -Type String

Registry Değeri:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist]
"1"="*"

Doğrulama

Kullanıcı bilgisayarında test:

1. chrome://policy açın
2. "ExtensionInstallBlocklist" politikasını arayın
3. Value: "*" olarak görünmeli
4. Status: OK

✅ Adım 5: Belirli Eklentilere İzin Verme

Configure Extension Installation Allowlist

Bazı eklentiler iş süreçleri için gerekli olabilir. Bu eklentilere izin vermek için:

Politika Yolu:

Computer Configuration > Policies > Administrative Templates > Google > Google Chrome > Extensions

Politika Adı: Configure extension installation allowlist

Yapılandırma:

  1. Politikayı Enabled yapın
  2. "Show..." butonuna tıklayın
  3. İzin vermek istediğiniz eklentilerin ID'lerini ekleyin
  4. OK ile kaydedin

Eklenti ID'si Nasıl Bulunur?

Yöntem 1: Chrome Web Store

1. Chrome Web Store'da eklentiyi açın
2. URL'deki ID'yi kopyalayın
   Örnek: https://chrome.google.com/webstore/detail/eklenti-adi/XXXXX
   XXXXX kısmı eklenti ID'sidir

Yöntem 2: chrome://extensions

1. Chrome'da chrome://extensions açın
2. Sağ üstten "Developer mode" aktif edin
3. Her eklentinin altında ID görünür

Yöntem 3: Eklenti Klasörü

C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Extensions\

Örnek İzin Verilen Eklentiler

Microsoft Office Eklentisi:

ID: ndjpnladcallmjemlbaebfadecfhkepb

LastPass:

ID: hdokiejnpimakedhajhdlcegeplioahd

Grammarly:

ID: kbfnbcaeplbcioakkpcpgfkobkghlhen

uBlock Origin:

ID: cjpalhdlnbpafiamejdnhcphjbkeiagm

Cisco WebEx Extension:

ID: jlhmfgmfgeifomenelglieieghnjghma

Özel Şirket İçi Eklenti:

ID: abcdefghijklmnopqrstuvwxyz123456

GPO Konfigürasyonu

Liste Örneği:

ndjpnladcallmjemlbaebfadecfhkepb    # Office
hdokiejnpimakedhajhdlcegeplioahd    # LastPass
jlhmfgmfgeifomenelglieieghnjghma    # WebEx

PowerShell ile Yapılandırma:

# Registry anahtarını oluştur
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist"
New-Item -Path $regPath -Force

# İzin verilen eklentileri ekle
Set-ItemProperty -Path $regPath -Name "1" -Value "ndjpnladcallmjemlbaebfadecfhkepb" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value "hdokiejnpimakedhajhdlcegeplioahd" -Type String
Set-ItemProperty -Path $regPath -Name "3" -Value "jlhmfgmfgeifomenelglieieghnjghma" -Type String

Registry Değerleri:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist]
"1"="ndjpnladcallmjemlbaebfadecfhkepb"
"2"="hdokiejnpimakedhajhdlcegeplioahd"
"3"="jlhmfgmfgeifomenelglieieghnjghma"

Zorunlu Eklenti Yükleme (Opsiyonel)

Belirli eklentilerin otomatik yüklenmesini zorunlu kılmak için:

Politika: Configure the list of force-installed apps and extensions

# Zorunlu eklenti listesi
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist"
New-Item -Path $regPath -Force

# Örnek: Güvenlik eklentisini zorla yükle
Set-ItemProperty -Path $regPath -Name "1" -Value "eklenti-id;https://clients2.google.com/service/update2/crx" -Type String

👤 Adım 6: Oturum Açma Yönetimi

Browser Sign-in Settings

Politika Yolu:

Computer Configuration > Policies > Administrative Templates > Google > Google Chrome

Politika Adı: Browser sign-in settings

Oturum Açma Seçenekleri

0 - Oturum Açma Devre Dışı

Kullanıcılar Chrome'da Google hesabıyla oturum açamaz
Senkronizasyon tamamen engellenir

1 - Oturum Açma Etkin, Senkronizasyon Devre Dışı

Kullanıcılar oturum açabilir ancak ayarlar senkronize olmaz
Şahsi ayarlar şirket bilgisayarına gelmez

2 - Oturum Açma Zorunlu (Önerilmez)

Kullanıcılar Chrome'u kullanmak için oturum açmak zorunda
Kurumsal Google Workspace kullanımı için uygundur

Önerilen Yapılandırma: Senkronizasyon Kontrolü

1. Oturum Açmaya İzin Ver, Ancak Senkronizasyonu Kontrol Et:

Browser sign-in settings = 1 (Oturum açma etkin)
Enable syncing = Disabled (Senkronizasyon kapalı)

2. Veya Tamamen Engelle:

Browser sign-in settings = 0 (Oturum açma kapalı)

PowerShell Yapılandırması:

# Oturum açmayı engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
Set-ItemProperty -Path $regPath -Name "BrowserSignin" -Value 0 -Type DWord

# Veya oturum açmaya izin ver ama senkronizasyonu kapat
Set-ItemProperty -Path $regPath -Name "BrowserSignin" -Value 1 -Type DWord
Set-ItemProperty -Path $regPath -Name "SyncDisabled" -Value 1 -Type DWord

Senkronizasyon Detay Kontrolü

Belirli senkronizasyon türlerini kontrol edin:

Politika: Sync types

# Sadece şifre senkronizasyonunu kapat
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
Set-ItemProperty -Path $regPath -Name "PasswordManagerEnabled" -Value 0 -Type DWord

# Eklenti senkronizasyonunu kapat
Set-ItemProperty -Path $regPath -Name "SyncTypesListDisabled" -Value "extensions" -Type String

# Bookmark senkronizasyonuna izin ver
Set-ItemProperty -Path $regPath -Name "SyncTypesListDisabled" -Value "bookmarks" -Type String

🔐 Ek Güvenlik Politikaları

1. Gizli Mod (Incognito) Kontrolü

Politika: Incognito mode availability

Computer Configuration > Google > Google Chrome

Seçenekler:

  • 0: İzin ver
  • 1: Engelle
  • 2: Sadece gizli mod zorla

Önerilen: 0 veya 1 (İş politikasına göre)

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "IncognitoModeAvailability" -Value 1 -Type DWord

2. Proxy Ayarları Kontrolü

Politika: Proxy settings

# Kullanıcıların proxy ayarlarını değiştirmesini engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "ProxyMode" -Value "system" -Type String

# Veya belirli proxy sunucusu zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "ProxyServer" -Value "proxy.sirketadi.local:8080" -Type String

3. Developer Tools Engelleme

Politika: Developer Tools availability

# Developer tools tamamen engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DeveloperToolsAvailability" -Value 2 -Type DWord

Değerler:

  • 0: İzin ver
  • 1: Enterprise politikası tarafından yüklenmediyse engelle
  • 2: Tamamen engelle

4. URL Filtreleme

Politika: URL blocklist ve URL allowlist

# Belirli URL'leri engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\URLBlocklist"
New-Item -Path $regPath -Force
Set-ItemProperty -Path $regPath -Name "1" -Value "*.torrent" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value "*://proxy-site.com/*" -Type String
Set-ItemProperty -Path $regPath -Name "3" -Value "*://vpn-service.com/*" -Type String

5. Download Kısıtlamaları

Politika: Downloads ayarları

# İndirme klasörünü zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DownloadDirectory" -Value "C:\CompanyDownloads" -Type String

# Belirli dosya türlerini engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\DownloadRestrictions"
New-Item -Path $regPath -Force
Set-ItemProperty -Path $regPath -Name "1" -Value ".exe" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value ".bat" -Type String

6. Auto-fill ve Şifre Yöneticisi

Politika: Password Manager ve AutoFill

# Şifre kaydetmeyi engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "PasswordManagerEnabled" -Value 0 -Type DWord

# AutoFill'i kapat
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "AutoFillEnabled" -Value 0 -Type DWord

7. Safe Browsing Zorla

Politika: Safe Browsing Protection Level

# Enhanced protection zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "SafeBrowsingProtectionLevel" -Value 2 -Type DWord

Değerler:

  • 0: Kapalı (Önerilmez)
  • 1: Standard protection
  • 2: Enhanced protection (Önerilen)

📋 Kapsamlı GPO Şablonu

PowerShell Script: Tüm Ayarları Uygula

# Chrome Güvenlik GPO Yapılandırması
# Yönetici yetkisiyle çalıştırın

$chromeRegPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"

# Ana registry yolunu oluştur
if (!(Test-Path $chromeRegPath)) {
    New-Item -Path $chromeRegPath -Force
}

# 1. Tüm eklentileri engelle
$blocklistPath = "$chromeRegPath\ExtensionInstallBlocklist"
New-Item -Path $blocklistPath -Force
Set-ItemProperty -Path $blocklistPath -Name "1" -Value "*" -Type String

# 2. İzin verilen eklentiler
$allowlistPath = "$chromeRegPath\ExtensionInstallAllowlist"
New-Item -Path $allowlistPath -Force
Set-ItemProperty -Path $allowlistPath -Name "1" -Value "ndjpnladcallmjemlbaebfadecfhkepb" -Type String  # Office
Set-ItemProperty -Path $allowlistPath -Name "2" -Value "hdokiejnpimakedhajhdlcegeplioahd" -Type String  # LastPass

# 3. Oturum açmayı engelle
Set-ItemProperty -Path $chromeRegPath -Name "BrowserSignin" -Value 0 -Type DWord

# 4. Senkronizasyonu kapat
Set-ItemProperty -Path $chromeRegPath -Name "SyncDisabled" -Value 1 -Type DWord

# 5. Gizli modu engelle
Set-ItemProperty -Path $chromeRegPath -Name "IncognitoModeAvailability" -Value 1 -Type DWord

# 6. Developer tools engelle
Set-ItemProperty -Path $chromeRegPath -Name "DeveloperToolsAvailability" -Value 2 -Type DWord

# 7. Şifre yöneticisini kapat
Set-ItemProperty -Path $chromeRegPath -Name "PasswordManagerEnabled" -Value 0 -Type DWord

# 8. AutoFill'i kapat
Set-ItemProperty -Path $chromeRegPath -Name "AutoFillEnabled" -Value 0 -Type DWord

# 9. Safe Browsing enhanced
Set-ItemProperty -Path $chromeRegPath -Name "SafeBrowsingProtectionLevel" -Value 2 -Type DWord

# 10. Proxy ayarlarını sistem ayarlarından al
Set-ItemProperty -Path $chromeRegPath -Name "ProxyMode" -Value "system" -Type String

Write-Host "Chrome güvenlik politikaları başarıyla uygulandı!" -ForegroundColor Green
Write-Host "Değişikliklerin etkili olması için gpupdate /force çalıştırın." -ForegroundColor Yellow

GPO Apply Script

# GPO'yu zorla güncelle
gpupdate /force

# Chrome'u yeniden başlat (tüm kullanıcılar için)
Get-Process chrome -ErrorAction SilentlyContinue | Stop-Process -Force

Write-Host "GPO uygulandı. Kullanıcılar Chrome'u yeniden başlatmalı." -ForegroundColor Green

🧪 Test ve Doğrulama

1. Politika Uygulama Kontrolü

Bilgisayarda GPO Durumu:

# RSoP (Resultant Set of Policy)
gpresult /h C:\GPResult.html
gpresult /r /scope:computer

# Chrome politikalarını kontrol et
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" | Format-List

Chrome Politika Sayfası:

1. Chrome'u açın
2. Adres çubuğuna yazın: chrome://policy
3. "Reload policies" butonuna tıklayın
4. Tüm politikalar ve durumları görünecektir

2. Eklenti Yükleme Testi

Test Senaryoları:

  1. İzinsiz Eklenti:

    • Chrome Web Store'da random bir eklenti bulmaya çalışın
    • "Add to Chrome" butonuna tıklayın
    • "This extension is blocked by the administrator" mesajı görmeli

  2. İzinli Eklenti:

    • Allowlist'te olan bir eklentiyi yüklemeyi deneyin
    • Başarıyla yüklenebilmeli

  3. Mevcut Eklentiler:

    • Politika öncesi yüklenmiş eklentiler otomatik kaldırılmalı
    • chrome://extensions sayfasında görünmemeli

3. Oturum Açma Testi

1. Chrome Settings > Sign in to Chrome
2. BrowserSignin = 0 ise buton görünmemeli
3. BrowserSignin = 1 ise oturum açabilmeli ama sync kapalı olmalı

4. Senkronizasyon Testi

1. Google hesabıyla oturum açın (izin verilmişse)
2. Settings > Sync açık değilse politika çalışıyor
3. Şahsi bilgisayardaki eklentiler gelmemeli

📊 Monitoring ve Raporlama

Event Log İzleme

# Chrome policy uygulanma eventlerini izle
Get-WinEvent -FilterHashtable @{
    LogName='Application';
    ProviderName='Group Policy*'
} -MaxEvents 50 | Where-Object {$_.Message -like '*Chrome*'}

Compliance Raporu

# Domain'deki tüm bilgisayarlarda Chrome politikalarını kontrol et
$computers = Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local"

foreach ($computer in $computers) {
    $regPath = "\\$($computer.Name)\HKLM\SOFTWARE\Policies\Google\Chrome"
    
    try {
        $policies = Get-ItemProperty -Path $regPath -ErrorAction Stop
        
        [PSCustomObject]@{
            Computer = $computer.Name
            BrowserSignin = $policies.BrowserSignin
            SyncDisabled = $policies.SyncDisabled
            Status = "Compliant"
        }
    }
    catch {
        [PSCustomObject]@{
            Computer = $computer.Name
            Status = "Non-Compliant - Policy not applied"
        }
    }
}

Dashboard (Optional - PowerBI/Excel Export)

# CSV export for reporting
$report | Export-Csv -Path "C:\Reports\ChromeCompliance_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

🎯 Best Practices ve Öneriler

1. Aşamalı Deployment

Faz 1: Pilot Grup (1 Hafta)

- IT departmanı bilgisayarları
- 5-10 test kullanıcısı
- Sorun tespiti ve düzeltme

Faz 2: Departman Bazlı (2 Hafta)

- Her departman için ayrı GPO
- Departman özel eklenti ihtiyaçlarını belirle
- Kullanıcı feedback topla

Faz 3: Şirket Geneli (1 Hafta)

- Tüm workstation OU'ya link
- 7/24 destek hazır
- Rollback planı hazır

2. İletişim Stratejisi

Kullanıcı Bildirimi:

Konu: Chrome Güvenlik Güncellemesi

Değerli Çalışanlar,

[Tarih] itibariyle Chrome browser güvenlik politikaları güncellenecektir.

Değişiklikler:
- Chrome eklentileri kısıtlanacaktır
- Sadece onaylı eklentiler kullanılabilecektir
- Şahsi Google hesabı senkronizasyonu engellenecektir

İş için gerekli bir eklenti varsa IT departmanına bildiriniz.

Teşekkürler,
IT Departmanı

3. Exception Handling

Yetkili Kullanıcılar: Developer'lar veya özel yetki gerektiren kullanıcılar için:

# Özel Security Group oluştur
New-ADGroup -Name "Chrome-Unrestricted-Users" -GroupScope Global

# GPO'da Security Filtering
Set-GPPermission -Name "Chrome Security Policy" `
    -TargetName "Chrome-Unrestricted-Users" `
    -TargetType Group `
    -PermissionLevel GpoApply `
    -Replace

Alternatif: Loopback Processing

GPO > Computer Configuration > Policies > Administrative Templates > System > Group Policy
Enable "User Group Policy loopback processing mode" = Replace

4. Documentation

Her GPO için dokümantasyon oluşturun:

# Chrome Security Policy GPO

## Purpose
Chrome güvenlik politikalarını domain bilgisayarlarına uygular

## Applied To
- OU: Workstations
- Security Group: Domain Computers

## Exceptions
- Security Group: Chrome-Unrestricted-Users (Developers)

## Policies Applied
- Extension Blocklist: *
- Extension Allowlist: [Liste]
- Browser Sign-in: Disabled
- Sync: Disabled

## Contact
IT Security Team - security@sirketadi.com

## Last Updated
2025-01-15

## Change Log
- 2025-01-15: Initial deployment
- 2025-01-20: Added Office extension to allowlist

5. Backup ve Rollback Planı

GPO Backup:

# Tüm GPO'ları yedekle
$backupPath = "C:\GPOBackups\$(Get-Date -Format 'yyyyMMdd')"
New-Item -ItemType Directory -Path $backupPath -Force

Backup-GPO -Name "Chrome Security Policy" -Path $backupPath

# Veya tüm GPO'ları
Get-GPO -All | ForEach-Object {
    Backup-GPO -Name $_.DisplayName -Path $backupPath
}

Restore Planı:

# GPO'yu geri yükle
Restore-GPO -Name "Chrome Security Policy" -Path "C:\GPOBackups\20250115"

# Veya yeni GPO olarak restore et
Import-GPO -BackupId [GUID] -TargetName "Chrome Security Policy - Restored" -Path "C:\GPOBackups\20250115"

Emergency Rollback:

# GPO linkini devre dışı bırak
Set-GPLink -Name "Chrome Security Policy" `
    -Target "OU=Workstations,DC=sirketadi,DC=local" `
    -LinkEnabled No

# Bilgisayarlara hemen uygula
Invoke-Command -ComputerName (Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local").Name -ScriptBlock {
    gpupdate /force
}

🔍 Troubleshooting

Yaygın Sorunlar ve Çözümleri

1. Politikalar Uygulanmıyor

Sorun: Chrome'da chrome://policy sayfası boş

Çözüm:

# GPO replikasyonunu kontrol et
repadmin /showrepl

# Client'ta GPO update
gpupdate /force /target:computer

# Registry kontrol
Test-Path "HKLM:\SOFTWARE\Policies\Google\Chrome"

# GPResult detaylı analiz
gpresult /h C:\GPResult.html /f

GPO Uygulama Sırası Kontrol:

# Hangi GPO'lar uygulanıyor?
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\RSoP.html

2. Eklentiler Hala Yüklenebiliyor

Sorun: Blocklist çalışmıyor

Kontrol Listesi:

# 1. Registry değerini kontrol et
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist"

# 2. Chrome policy sayfasında kontrol
# chrome://policy > ExtensionInstallBlocklist should show "*"

# 3. User registry'sinde conflict var mı?
Get-ItemProperty "HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist" -ErrorAction SilentlyContinue

# 4. Chrome tamamen kapatılıp açıldı mı?
Get-Process chrome | Stop-Process -Force

Çözüm:

# User level policy varsa temizle
Remove-Item "HKCU:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force -ErrorAction SilentlyContinue

# Chrome cache temizle
Remove-Item "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Extensions" -Recurse -Force

3. Allowlist Eklentileri Yüklenmiyor

Sorun: İzin verilen eklentiler yüklenemiyor

Debug:

# Allowlist registry kontrol
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist"

# ID doğru mu kontrol et
# Chrome Web Store URL'sinden ID'yi doğrula

Yaygın Hatalar:

  • ❌ Yanlış ID: eklenti-adi yerine 32 karakterlik ID olmalı
  • ❌ Boşluk karakteri: ID'de boşluk olmamalı
  • ❌ Registry value adı: "1", "2", "3" şeklinde sıralı olmalı

Doğru Format:

ExtensionInstallAllowlist
├── 1 = "abcdefghijklmnopqrstuvwxyz123456"
├── 2 = "bcdefghijklmnopqrstuvwxyz1234567"
└── 3 = "cdefghijklmnopqrstuvwxyz12345678"

4. Oturum Açma Hala Aktif

Sorun: BrowserSignin=0 olmasına rağmen kullanıcılar oturum açabiliyor

Kontrol:

# User ve Computer policy conflict
gpresult /r /scope:computer
gpresult /r /scope:user

# Chrome profile kontrol
$profilePath = "$env:LOCALAPPDATA\Google\Chrome\User Data"
Get-ChildItem $profilePath -Filter "Preferences" -Recurse

Çözüm:

# User policy'yi temizle
Remove-Item "HKCU:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force

# Chrome profile sıfırla
Remove-Item "$env:LOCALAPPDATA\Google\Chrome\User Data" -Recurse -Force

# Loopback processing aktif et
Set-GPRegistryValue -Name "Chrome Security Policy" `
    -Key "HKLM\Software\Policies\Microsoft\Windows\System" `
    -ValueName "UserPolicyMode" `
    -Type DWord `
    -Value 2

5. GPO Çakışmaları

Sorun: Birden fazla GPO Chrome ayarlarını değiştirmeye çalışıyor

Analiz:

# Tüm Chrome GPO'larını listele
Get-GPO -All | Where-Object {
    $_ | Get-GPRegistryValue -Key "HKLM\Software\Policies\Google\Chrome" -ErrorAction SilentlyContinue
}

# GPO precedence kontrol
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\GPOPrecedence.html

Çözüm:

  • GPO priority ayarla (düşük numara = yüksek öncelik)
  • Enforce veya Block Inheritance kullan
  • GPO'ları consolidate et

6. Performance Sorunları

Sorun: GPO uygulanması çok uzun sürüyor

Optimizasyon:

# GPO processing süresini ölç
gpupdate /force /wait:0

# Event log kontrol
Get-WinEvent -FilterHashtable @{
    LogName='System'
    ID=1502,1503
} -MaxEvents 10

# Network latency test
Test-NetConnection dc01.sirketadi.local -Port 389

İyileştirmeler:

  • Sysvol replication kontrol
  • GPO'ları consolidate et
  • WMI filtering kullan
  • Loopback processing minimize et

📚 Ek Chrome Politikaları

Homepage ve Startup

# Ana sayfa zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "HomepageLocation" -Value "https://intranet.sirketadi.com" -Type String

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "HomepageIsNewTabPage" -Value 0 -Type DWord

# Başlangıç sayfaları
$startupPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\RestoreOnStartupURLs"
New-Item -Path $startupPath -Force
Set-ItemProperty -Path $startupPath -Name "1" -Value "https://intranet.sirketadi.com" -Type String
Set-ItemProperty -Path $startupPath -Name "2" -Value "https://mail.sirketadi.com" -Type String

Search Engine Kontrolü

# Arama motorunu Google zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DefaultSearchProviderEnabled" -Value 1 -Type DWord

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DefaultSearchProviderName" -Value "Google" -Type String

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DefaultSearchProviderSearchURL" `
    -Value "https://www.google.com/search?q={searchTerms}" -Type String

Certificate Management

# Şirket sertifikalarını güvenilir yap
$certPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForUrls"
New-Item -Path $certPath -Force
Set-ItemProperty -Path $certPath -Name "1" -Value "*.sirketadi.com" -Type String

Bookmark Management

# Bookmark düzenlemeyi engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "EditBookmarksEnabled" -Value 0 -Type DWord

# Managed bookmarks ekle
$bookmarksPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ManagedBookmarks"
New-Item -Path $bookmarksPath -Force

# JSON format için
$managedBookmarks = @"
[
  {
    "name": "Şirket Portalı",
    "url": "https://portal.sirketadi.com"
  },
  {
    "name": "IT Destek",
    "url": "https://helpdesk.sirketadi.com"
  },
  {
    "name": "Şirket İçi",
    "children": [
      {
        "name": "İK Portal",
        "url": "https://hr.sirketadi.com"
      },
      {
        "name": "Finans",
        "url": "https://finance.sirketadi.com"
      }
    ]
  }
]
"@

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "ManagedBookmarks" -Value $managedBookmarks -Type String

Print Restrictions

# Print to PDF kısıtla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "PrintingEnabled" -Value 1 -Type DWord

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "PrintPdfAsImageEnabled" -Value 0 -Type DWord

# Default yazıcı zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DefaultPrinterSelection" -Value "\\print-server\Company-Printer" -Type String

Screen Capture Protection

# Ekran görüntüsü koruması (DLP için)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "ScreenCaptureAllowed" -Value 0 -Type DWord

🎓 Eğitim ve User Adoption

End User Training Checklist

Kullanıcı Eğitimi Konuları:

  1. ✅ Neden bu değişiklikler yapılıyor? (Güvenlik)
  2. ✅ Hangi eklentiler kullanılabilir?
  3. ✅ Yeni eklenti talebi nasıl yapılır?
  4. ✅ Şahsi Chrome profili nasıl yönetilir?
  5. ✅ Sorun yaşandığında ne yapılmalı?

Quick Reference Card

╔══════════════════════════════════════════════╗
║     CHROME GÜVENLİK POLİTİKALARI            ║
╠══════════════════════════════════════════════╣
║                                              ║
║  ❌ YAPAMAYACAKLARINIZ:                      ║
║  • İzinsiz eklenti yüklemek                  ║
║  • VPN eklentisi kullanmak                   ║
║  • Şahsi hesap senkronize etmek              ║
║  • Proxy ayarlarını değiştirmek              ║
║                                              ║
║  ✅ YAPABİLECEKLERİNİZ:                      ║
║  • Onaylı eklentileri kullanmak              ║
║  • Bookmark kaydetmek                        ║
║  • Normal browsing yapmak                    ║
║  • PDF indirmek                              ║
║                                              ║
║  📞 DESTEK:                                  ║
║  • Email: it-support@sirketadi.com          ║
║  • Tel: 444 5 XXX                           ║
║  • Ticket: helpdesk.sirketadi.com           ║
║                                              ║
╚══════════════════════════════════════════════╝

📊 Reporting ve Analytics

Monthly Compliance Report

# Aylık compliance raporu
$report = @{
    Month = (Get-Date -Format 'MMMM yyyy')
    TotalComputers = 0
    CompliantComputers = 0
    NonCompliantComputers = 0
    BlockedExtensions = 0
    AllowedExtensions = 0
}

# Tüm bilgisayarları tara
$computers = Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local"
$report.TotalComputers = $computers.Count

foreach ($computer in $computers) {
    $regPath = "\\$($computer.Name)\HKLM\SOFTWARE\Policies\Google\Chrome"
    
    try {
        $policies = Get-ItemProperty -Path $regPath -ErrorAction Stop
        
        if ($policies.BrowserSignin -eq 0 -and $policies.SyncDisabled -eq 1) {
            $report.CompliantComputers++
        } else {
            $report.NonCompliantComputers++
        }
    }
    catch {
        $report.NonCompliantComputers++
    }
}

# Event log'dan istatistik
$blockedEvents = Get-WinEvent -FilterHashtable @{
    LogName='Application'
    ProviderName='Chrome'
} -MaxEvents 1000 | Where-Object {$_.Message -like '*extension blocked*'}

$report.BlockedExtensions = $blockedEvents.Count

# Rapor oluştur
$reportPath = "C:\Reports\ChromeCompliance_$(Get-Date -Format 'yyyyMM').html"

$html = @"

Chrome Compliance Report

$($report.Month)
Metric Value Percentage
Total Computers $($report.TotalComputers) 100%
Compliant Computers $($report.CompliantComputers) $('{0:P2}' -f ($report.CompliantComputers / $report.TotalComputers))
Non-Compliant Computers $($report.NonCompliantComputers) $('{0:P2}' -f ($report.NonCompliantComputers / $report.TotalComputers))
Blocked Extension Attempts $($report.BlockedExtensions) -

Action Items
  •  
  • Non-compliant bilgisayarlara GPO tekrar uygulanmalı
  •  
  • Blocked extension denemeleri araştırılmalı
  •  
  • Kullanıcı eğitimleri güncellenebilir
  •  

Report generated: $(Get-Date)




"@

$html | Out-File -FilePath $reportPath -Encoding UTF8

Write-Host "Rapor oluşturuldu: $reportPath" -ForegroundColor Green

🔐 Security Audit Checklist

Quarterly Security Review

# Chrome GPO Security Audit - Q[X] 2025

## 1. Policy Configuration Review
- [ ] Tüm güvenlik politikaları aktif
- [ ] Blocklist güncel (*wildcard mevcut)
- [ ] Allowlist sadece gerekli eklentileri içeriyor
- [ ] Browser sign-in doğru konfigüre edilmiş
- [ ] Sync ayarları uygun

## 2. Compliance Check
- [ ] %95+ bilgisayar compliant
- [ ] Non-compliant bilgisayarlar belirlendi
- [ ] Remediation planı hazır

## 3. Extension Audit
- [ ] Allowlist'teki her eklenti hala gerekli mi?
- [ ] Yeni eklenti talepleri değerlendirildi
- [ ] Kullanılmayan eklentiler kaldırıldı

## 4. Incident Review
- [ ] Blocked extension denemeleri incelendi
- [ ] Şüpheli aktiviteler araştırıldı
- [ ] Policy bypass denemeleri tespit edildi

## 5. User Feedback
- [ ] User support ticket'ları analiz edildi
- [ ] Yaygın sorunlar belirlendi
- [ ] İyileştirme önerileri toplandı

## 6. Documentation
- [ ] GPO dokümantasyonu güncel
- [ ] Allowlist güncel
- [ ] Prosedürler güncel

## 7. Backup & DR
- [ ] GPO backup alındı
- [ ] Restore test edildi
- [ ] Rollback planı güncel

## Sign-off
Audited by: _______________
Date: _______________
Next Audit: _______________

🚀 Gelecek İyileştirmeler

Chrome Enterprise Management

Google Chrome Enterprise lisansı ile daha gelişmiş yönetim:

Avantajları:

  • Cloud-based policy management
  • Chrome Browser Cloud Management Console
  • Cross-platform yönetim (Windows, Mac, Linux, ChromeOS)
  • Advanced reporting ve analytics
  • User ve device level policies
  • Chrome OS fleet management

Maliyet:

  • ~$6/device/yıl (fiyatlar değişebilir)
  • Büyük kuruluşlar için discount

Cloud-Based Management

# Chrome Cloud Policy enrollment
# Cihazı cloud management'a kaydet
$enrollmentToken = "YOUR-ENROLLMENT-TOKEN"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "CloudManagementEnrollmentToken" `
    -Value $enrollmentToken `
    -Type String

# Cloud policy'leri aktif et
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "CloudManagementEnrollmentMandatory" `
    -Value 1 `
    -Type DWord

Machine Learning ile Anomaly Detection

# Örnek: Chrome kullanım pattern analizi
# Anormal eklenti yükleme denemeleri tespit et

import pandas as pd
from sklearn.ensemble import IsolationForest

# Event log verilerini oku
events = pd.read_csv('chrome_events.csv')

# Feature extraction
features = events[['extension_attempts', 'sync_attempts', 'policy_violations']]

# Anomaly detection model
model = IsolationForest(contamination=0.1)
model.fit(features)

# Anormal davranışları tespit et
anomalies = model.predict(features)
suspicious_users = events[anomalies == -1]

print("Şüpheli kullanıcılar:", suspicious_users['username'].tolist())

📖 Sonuç ve Öneriler

Özet

Chrome güvenlik politikalarını GPO ile yönetmek:

Avantajlar:

  • Merkezi kontrol ve yönetim
  • Güvenlik risklerini minimize eder
  • Compliance sağlar
  • VPN ve zararlı eklentileri engeller
  • User data loss prevention

Zorluklar:

  • İlk kurulum ve konfigürasyon
  • User resistance ve değişim yönetimi
  • Sürekli monitoring gerektirir
  • Exception management

Final Öneriler

1. Güvenlik Öncelikli Yaklaşım:

  • Tüm eklentileri engelle, sadece gerekenlere izin ver
  • VPN eklentilerini kesinlikle engelle
  • Developer tools'u kısıtla

2. Kullanıcı Deneyimini Dengele:

  • Gerekli eklentilere hızlı onay süreci
  • Clear communication
  • Self-service portal düşün

3. Sürekli İyileştirme:

  • Quarterly policy review
  • User feedback integration
  • Security incident learning

4. Automation:

  • PowerShell scripts ile rutin görevleri otomatikleştir
  • Compliance reporting otomatikleştir
  • Alert sistemleri kur

5. Documentation:

  • Her politikayı dokümante et
  • Runbook'lar hazırla
  • Knowledge base oluştur

Son Kontrol Listesi

☐ ADMX templates yüklendi
☐ GPO oluşturuldu ve yapılandırıldı
☐ Blocklist aktif (*wildcard)
☐ Allowlist tanımlandı
☐ Browser sign-in kontrol altında
☐ Sync devre dışı
☐ GPO link edildi
☐ Pilot test yapıldı
☐ User communication gönderildi
☐ Monitoring kuruldu
☐ Documentation tamamlandı
☐ Backup alındı
☐ Rollback planı hazır
☐ Support team hazır
☐ Production deployment OK

Kaynaklar:

Chrome güvenlik politikalarıyla kurumsal ağınızı koruyun! 🛡️

Etiketler

#Chrome #Google #Group Plocy
Önceki Yazı Awesome Nano-Banana Images
Awesome Nano-Banana Images

Google'ın Gemini 2.5 Flash tabanlı görsel üretim modeli Nano-Banana, AI dest...
Sonraki Yazı Unicorn: Sosyal Mühendisliğin "Sihirli" Aracı ve Nasıl Korunursunuz?
Unicorn: Sosyal Mühendisliğin "Sihirli" Aracı ve Nasıl Korunursunuz?

Unicorn: Sosyal Mühendisliğin "Sihirli" Aracı ve Nasıl Korunursunuz?...

Bu Kategoriden Diğer Yazılar

Windows Sandbox

Windows Sandbox, Microsoft’un Windows 10 ve 11 kullanıcılarına sunduğu, g�...

30 Oct 21 görüntülenme
Windows 11 25H2: IT Ekiplerine Bloatware Kontrolü

Windows 11 25H2, IT ekiplerine bloatware (ön yüklü uygulamalar) üzerinde tam...

30 Oct 12 görüntülenme
Ubuntu Statik IP ile Route

Bir Ubuntu sunucusunda birden fazla ağ arayüzü (örneğin biri internete, di�...

30 Oct 18 görüntülenme
Active Directory'de adminCount=1, AdminSDHolder ve Güvenli Delegasyon
Active Directory'de adminCount=1, AdminSDHolder ve Güvenli Delegasyon

Active Directory (AD) ile ilgili en yaygın hatalardan biri, yönetim delegasyon...

24 Oct 44 görüntülenme
Microsoft Autopilot Manager ile Modern Cihaz Yönetiminde Verimlilik
Microsoft Autopilot Manager ile Modern Cihaz Yönetiminde Verimlilik

Bu güçlü araç, cihaz yönetimini kolaylaştırarak hem IT ekiplerinin hem de...

17 Oct 85 görüntülenme
Windows Artık Entra ID Grup ve Rol SID'lerini Gerçek İsimlere Çeviriyor!
Windows Artık Entra ID Grup ve Rol SID'lerini Gerçek İsimlere Çeviriyor!

Microsoft'un bu küçük ama etkili güncellemesi, günlük IT operasyonlarımı...

17 Oct 93 görüntülenme
DNS Önbellek Davranışlarının Anatomisi
DNS Önbellek Davranışlarının Anatomisi

DNS dünyasında her şey dengeyle ilgili - performans ve güvenlik, güncellik ...

17 Oct 75 görüntülenme
Active Directory'de CSV dosyasından toplu kullanıcı oluşturmak

Active Directory ortamında çok sayıda kullanıcıyı hızlı ve verimli bir �...

14 Oct 76 görüntülenme
AdminDroid PowerShell Scripts
AdminDroid PowerShell Scripts

Microsoft 365 ortamlarını yönetmek, raporlamak ve denetlemek için tasarlanm�...

29 Sep 80 görüntülenme
Yaygın CMD ve Network Komutları
Yaygın CMD ve Network Komutları

CMD komutları, Windows sistemlerinde ağ sorunlarını teşhis etmekten sistem ...

29 Sep 133 görüntülenme