Domain ortamındaki bilgisayarlarda Google Chrome kullanımı, yönetilmediği takdirde ciddi güvenlik riskleri oluşturabilir.
Domain Ortamında Google Chrome Yönetimi: GPO ile Güvenlik ve Kontrol.
Domain ortamındaki bilgisayarlarda Google Chrome kullanımı, yönetilmediği takdirde ciddi güvenlik riskleri oluşturabilir. Kullanıcılar Google hesaplarıyla Chrome'da oturum açtıklarında, şahsi bilgisayarlarındaki eklentiler ve ayarlar otomatik olarak şirket bilgisayarına senkronize olur. Bu durum, özellikle VPN eklentileri gibi güvenlik açığı yaratabilecek uzantıların kurumsal ağa sızmasına neden olabilir.
Bu yazıda, Active Directory Group Policy Objects (GPO) kullanarak Chrome'u merkezi olarak nasıl yönetebileceğinizi ve kurumsal güvenliği nasıl sağlayabileceğinizi detaylı olarak anlatacağız.
🚨 Güvenlik Riskleri
Senkronizasyon Kaynaklı Tehditler
Kullanıcı Senaryosu: Bir çalışan, evindeki bilgisayarında VPN eklentisi, ad-blocker ve çeşitli browser uzantıları kullanıyor. İş yerinde Google hesabıyla Chrome'da oturum açtığında:
- ❌ Tüm şahsi eklentileri şirket bilgisayarına yüklenir
- ❌ VPN eklentileri kurumsal ağ güvenliğini bypass edebilir
- ❌ Bilinmeyen kaynaklardan eklentiler veri sızıntısına neden olabilir
- ❌ Ad-blocker'lar kurumsal web filtreleme politikalarını etkisizleştirebilir
- ❌ Proxy ayarları değişebilir ve ağ trafiği şirket dışına yönlendirilebilir
Kritik Güvenlik Sorunları
VPN Eklentileri:
- Kurumsal güvenlik duvarını bypass eder
- Tüm web trafiğini şifrelenerek şirket dışına çıkarır
- DLP (Data Loss Prevention) sistemlerini etkisiz hale getirir
- Kötü amaçlı yazılım bulaşma riskini artırır
Bilinmeyen Eklentiler:
- Keylogger içerebilir
- Ekran görüntüsü alabilir
- Form verilerini çalabilir
- Session cookie'leri ele geçirebilir
Proxy ve Ağ Ayarları:
- Kurumsal internet trafiği kontrolünü bypass eder
- SIEM ve log sistemlerinden kaçırabilir
- Zararlı sitelere erişimi mümkün kılar
🛡️ Çözüm: Chrome ADMX Şablonları ile Merkezi Yönetim
Active Directory Group Policy kullanarak Chrome'u merkezi olarak yönetebilir ve tüm güvenlik risklerini minimize edebilirsiniz.
📥 Adım 1: Chrome ADMX Şablonlarını İndirme
İndirme Linki
Chrome yönetim şablonlarını resmi Google kaynağından indirin: https://chromeenterprise.google/browser/download/#manage-policies-tab
Paket İçeriği
İndirdiğiniz ZIP dosyasında şunlar bulunur:
chrome.admx- Ana şablon dosyası (English)windows/admx/klasörü - ADMX dosyalarıwindows/admx/tr-TR/klasörü - Türkçe dil dosyaları (chrome.adml)- Diğer dil klasörleri (en-US, de-DE, vb.)
📂 Adım 2: Şablonları Active Directory'e Yükleme
Central Store Yapısı
Active Directory ortamında Group Policy şablonlarını merkezi bir konumda tutmak best practice'tir.
Hedef Klasör:
C:\Windows\SYSVOL\sysvol\\Policies\PolicyDefinitions\
Örnek:
C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\
Yükleme Adımları
1. Domain Controller'a Bağlanın
# Domain Controller'a RDP ile bağlan
mstsc /v:dc01.sirketadi.local
2. PolicyDefinitions Klasörüne Gidin
# PowerShell ile klasöre git
cd C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\
3. Central Store Oluşturun (İlk Kurulumsa)
# PolicyDefinitions klasörü yoksa oluştur
if (!(Test-Path "PolicyDefinitions")) {
New-Item -ItemType Directory -Path "PolicyDefinitions"
}
# Türkçe dil klasörünü oluştur
if (!(Test-Path "PolicyDefinitions\tr-TR")) {
New-Item -ItemType Directory -Path "PolicyDefinitions\tr-TR"
}
4. ADMX Dosyasını Kopyalayın İndirdiğiniz paket içinden:
chrome.admxdosyasınıPolicyDefinitions\klasörüne kopyalayıntr-TR\chrome.admldosyasınıPolicyDefinitions\tr-TR\klasörüne kopyalayın
# PowerShell ile kopyalama
Copy-Item "C:\Downloads\Chrome-Policy\windows\admx\chrome.admx" `
-Destination "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\"
Copy-Item "C:\Downloads\Chrome-Policy\windows\admx\tr-TR\chrome.adml" `
-Destination "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\tr-TR\"
5. Dosya İzinlerini Kontrol Edin
# Domain Admins ve System'in Full Control yetkisi olmalı
Get-Acl "C:\Windows\SYSVOL\sysvol\sirketadi.local\Policies\PolicyDefinitions\chrome.admx" | Format-List
Doğrulama
GPMC Kontrolü:
gpmc.mscaçın- Yeni bir GPO oluşturun veya var olan birini düzenleyin
- Computer Configuration > Policies > Administrative Templates'e gidin
- Google > Google Chrome klasörünü görmelisiniz
🔧 Adım 3: GPO Oluşturma ve Yapılandırma
Yeni GPO Oluşturma
Group Policy Management Console (GPMC) ile:
1. gpmc.msc açın
2. Domain altında Group Policy Objects'e sağ tıklayın
3. New > GPO adını girin: "Chrome Security Policy"
4. Oluşturulan GPO'ya sağ tıklayıp Edit seçin
PowerShell ile GPO Oluşturma:
# Yeni GPO oluştur
New-GPO -Name "Chrome Security Policy" -Comment "Chrome güvenlik ve eklenti yönetim politikası"
# GPO'yu bir OU'ya link et
New-GPLink -Name "Chrome Security Policy" -Target "OU=Workstations,DC=sirketadi,DC=local"
GPO Scope ve Filtreleme
Security Filtering:
- Default olarak "Authenticated Users" grupuna uygulanır
- Belirli bilgisayar gruplarına sınırlamak için:
Delegation > Advanced > Add > Computers-Chrome-Users
WMI Filtering (Opsiyonel): Chrome yüklü bilgisayarlara özel uygulama:
SELECT * FROM Win32_Product WHERE Name LIKE '%Google Chrome%'
🚫 Adım 4: Tüm Eklentileri Engelleme
Configure Extension Installation Blocklist
Politika Yolu:
Computer Configuration > Policies > Administrative Templates > Google > Google Chrome > Extensions
Politika Adı: Configure extension installation blocklist
Yapılandırma:
- Politikayı Enabled yapın
- "Show..." butonuna tıklayın
- Listeye
*(yıldız) karakteri ekleyin - OK ile kaydedin
Anlamı: * karakteri tüm eklentileri engeller. Bu wildcard, herhangi bir eklenti ID'siyle eşleşir.
PowerShell ile Yapılandırma:
# Registry anahtarını oluştur
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist"
New-Item -Path $regPath -Force
# Tüm eklentileri engelle
Set-ItemProperty -Path $regPath -Name "1" -Value "*" -Type String
Registry Değeri:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist]
"1"="*"
Doğrulama
Kullanıcı bilgisayarında test:
1. chrome://policy açın
2. "ExtensionInstallBlocklist" politikasını arayın
3. Value: "*" olarak görünmeli
4. Status: OK
✅ Adım 5: Belirli Eklentilere İzin Verme
Configure Extension Installation Allowlist
Bazı eklentiler iş süreçleri için gerekli olabilir. Bu eklentilere izin vermek için:
Politika Yolu:
Computer Configuration > Policies > Administrative Templates > Google > Google Chrome > Extensions
Politika Adı: Configure extension installation allowlist
Yapılandırma:
- Politikayı Enabled yapın
- "Show..." butonuna tıklayın
- İzin vermek istediğiniz eklentilerin ID'lerini ekleyin
- OK ile kaydedin
Eklenti ID'si Nasıl Bulunur?
Yöntem 1: Chrome Web Store
1. Chrome Web Store'da eklentiyi açın
2. URL'deki ID'yi kopyalayın
Örnek: https://chrome.google.com/webstore/detail/eklenti-adi/XXXXX
XXXXX kısmı eklenti ID'sidir
Yöntem 2: chrome://extensions
1. Chrome'da chrome://extensions açın
2. Sağ üstten "Developer mode" aktif edin
3. Her eklentinin altında ID görünür
Yöntem 3: Eklenti Klasörü
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Extensions\
Örnek İzin Verilen Eklentiler
Microsoft Office Eklentisi:
ID: ndjpnladcallmjemlbaebfadecfhkepb
LastPass:
ID: hdokiejnpimakedhajhdlcegeplioahd
Grammarly:
ID: kbfnbcaeplbcioakkpcpgfkobkghlhen
uBlock Origin:
ID: cjpalhdlnbpafiamejdnhcphjbkeiagm
Cisco WebEx Extension:
ID: jlhmfgmfgeifomenelglieieghnjghma
Özel Şirket İçi Eklenti:
ID: abcdefghijklmnopqrstuvwxyz123456
GPO Konfigürasyonu
Liste Örneği:
ndjpnladcallmjemlbaebfadecfhkepb # Office
hdokiejnpimakedhajhdlcegeplioahd # LastPass
jlhmfgmfgeifomenelglieieghnjghma # WebEx
PowerShell ile Yapılandırma:
# Registry anahtarını oluştur
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist"
New-Item -Path $regPath -Force
# İzin verilen eklentileri ekle
Set-ItemProperty -Path $regPath -Name "1" -Value "ndjpnladcallmjemlbaebfadecfhkepb" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value "hdokiejnpimakedhajhdlcegeplioahd" -Type String
Set-ItemProperty -Path $regPath -Name "3" -Value "jlhmfgmfgeifomenelglieieghnjghma" -Type String
Registry Değerleri:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist]
"1"="ndjpnladcallmjemlbaebfadecfhkepb"
"2"="hdokiejnpimakedhajhdlcegeplioahd"
"3"="jlhmfgmfgeifomenelglieieghnjghma"
Zorunlu Eklenti Yükleme (Opsiyonel)
Belirli eklentilerin otomatik yüklenmesini zorunlu kılmak için:
Politika: Configure the list of force-installed apps and extensions
# Zorunlu eklenti listesi
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist"
New-Item -Path $regPath -Force
# Örnek: Güvenlik eklentisini zorla yükle
Set-ItemProperty -Path $regPath -Name "1" -Value "eklenti-id;https://clients2.google.com/service/update2/crx" -Type String
👤 Adım 6: Oturum Açma Yönetimi
Browser Sign-in Settings
Politika Yolu:
Computer Configuration > Policies > Administrative Templates > Google > Google Chrome
Politika Adı: Browser sign-in settings
Oturum Açma Seçenekleri
0 - Oturum Açma Devre Dışı
Kullanıcılar Chrome'da Google hesabıyla oturum açamaz
Senkronizasyon tamamen engellenir
1 - Oturum Açma Etkin, Senkronizasyon Devre Dışı
Kullanıcılar oturum açabilir ancak ayarlar senkronize olmaz
Şahsi ayarlar şirket bilgisayarına gelmez
2 - Oturum Açma Zorunlu (Önerilmez)
Kullanıcılar Chrome'u kullanmak için oturum açmak zorunda
Kurumsal Google Workspace kullanımı için uygundur
Önerilen Yapılandırma: Senkronizasyon Kontrolü
1. Oturum Açmaya İzin Ver, Ancak Senkronizasyonu Kontrol Et:
Browser sign-in settings = 1 (Oturum açma etkin)
Enable syncing = Disabled (Senkronizasyon kapalı)
2. Veya Tamamen Engelle:
Browser sign-in settings = 0 (Oturum açma kapalı)
PowerShell Yapılandırması:
# Oturum açmayı engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
Set-ItemProperty -Path $regPath -Name "BrowserSignin" -Value 0 -Type DWord
# Veya oturum açmaya izin ver ama senkronizasyonu kapat
Set-ItemProperty -Path $regPath -Name "BrowserSignin" -Value 1 -Type DWord
Set-ItemProperty -Path $regPath -Name "SyncDisabled" -Value 1 -Type DWord
Senkronizasyon Detay Kontrolü
Belirli senkronizasyon türlerini kontrol edin:
Politika: Sync types
# Sadece şifre senkronizasyonunu kapat
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
Set-ItemProperty -Path $regPath -Name "PasswordManagerEnabled" -Value 0 -Type DWord
# Eklenti senkronizasyonunu kapat
Set-ItemProperty -Path $regPath -Name "SyncTypesListDisabled" -Value "extensions" -Type String
# Bookmark senkronizasyonuna izin ver
Set-ItemProperty -Path $regPath -Name "SyncTypesListDisabled" -Value "bookmarks" -Type String
🔐 Ek Güvenlik Politikaları
1. Gizli Mod (Incognito) Kontrolü
Politika: Incognito mode availability
Computer Configuration > Google > Google Chrome
Seçenekler:
- 0: İzin ver
- 1: Engelle
- 2: Sadece gizli mod zorla
Önerilen: 0 veya 1 (İş politikasına göre)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "IncognitoModeAvailability" -Value 1 -Type DWord
2. Proxy Ayarları Kontrolü
Politika: Proxy settings
# Kullanıcıların proxy ayarlarını değiştirmesini engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "ProxyMode" -Value "system" -Type String
# Veya belirli proxy sunucusu zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "ProxyServer" -Value "proxy.sirketadi.local:8080" -Type String
3. Developer Tools Engelleme
Politika: Developer Tools availability
# Developer tools tamamen engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DeveloperToolsAvailability" -Value 2 -Type DWord
Değerler:
- 0: İzin ver
- 1: Enterprise politikası tarafından yüklenmediyse engelle
- 2: Tamamen engelle
4. URL Filtreleme
Politika: URL blocklist ve URL allowlist
# Belirli URL'leri engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\URLBlocklist"
New-Item -Path $regPath -Force
Set-ItemProperty -Path $regPath -Name "1" -Value "*.torrent" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value "*://proxy-site.com/*" -Type String
Set-ItemProperty -Path $regPath -Name "3" -Value "*://vpn-service.com/*" -Type String
5. Download Kısıtlamaları
Politika: Downloads ayarları
# İndirme klasörünü zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DownloadDirectory" -Value "C:\CompanyDownloads" -Type String
# Belirli dosya türlerini engelle
$regPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\DownloadRestrictions"
New-Item -Path $regPath -Force
Set-ItemProperty -Path $regPath -Name "1" -Value ".exe" -Type String
Set-ItemProperty -Path $regPath -Name "2" -Value ".bat" -Type String
6. Auto-fill ve Şifre Yöneticisi
Politika: Password Manager ve AutoFill
# Şifre kaydetmeyi engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "PasswordManagerEnabled" -Value 0 -Type DWord
# AutoFill'i kapat
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "AutoFillEnabled" -Value 0 -Type DWord
7. Safe Browsing Zorla
Politika: Safe Browsing Protection Level
# Enhanced protection zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "SafeBrowsingProtectionLevel" -Value 2 -Type DWord
Değerler:
- 0: Kapalı (Önerilmez)
- 1: Standard protection
- 2: Enhanced protection (Önerilen)
📋 Kapsamlı GPO Şablonu
PowerShell Script: Tüm Ayarları Uygula
# Chrome Güvenlik GPO Yapılandırması
# Yönetici yetkisiyle çalıştırın
$chromeRegPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
# Ana registry yolunu oluştur
if (!(Test-Path $chromeRegPath)) {
New-Item -Path $chromeRegPath -Force
}
# 1. Tüm eklentileri engelle
$blocklistPath = "$chromeRegPath\ExtensionInstallBlocklist"
New-Item -Path $blocklistPath -Force
Set-ItemProperty -Path $blocklistPath -Name "1" -Value "*" -Type String
# 2. İzin verilen eklentiler
$allowlistPath = "$chromeRegPath\ExtensionInstallAllowlist"
New-Item -Path $allowlistPath -Force
Set-ItemProperty -Path $allowlistPath -Name "1" -Value "ndjpnladcallmjemlbaebfadecfhkepb" -Type String # Office
Set-ItemProperty -Path $allowlistPath -Name "2" -Value "hdokiejnpimakedhajhdlcegeplioahd" -Type String # LastPass
# 3. Oturum açmayı engelle
Set-ItemProperty -Path $chromeRegPath -Name "BrowserSignin" -Value 0 -Type DWord
# 4. Senkronizasyonu kapat
Set-ItemProperty -Path $chromeRegPath -Name "SyncDisabled" -Value 1 -Type DWord
# 5. Gizli modu engelle
Set-ItemProperty -Path $chromeRegPath -Name "IncognitoModeAvailability" -Value 1 -Type DWord
# 6. Developer tools engelle
Set-ItemProperty -Path $chromeRegPath -Name "DeveloperToolsAvailability" -Value 2 -Type DWord
# 7. Şifre yöneticisini kapat
Set-ItemProperty -Path $chromeRegPath -Name "PasswordManagerEnabled" -Value 0 -Type DWord
# 8. AutoFill'i kapat
Set-ItemProperty -Path $chromeRegPath -Name "AutoFillEnabled" -Value 0 -Type DWord
# 9. Safe Browsing enhanced
Set-ItemProperty -Path $chromeRegPath -Name "SafeBrowsingProtectionLevel" -Value 2 -Type DWord
# 10. Proxy ayarlarını sistem ayarlarından al
Set-ItemProperty -Path $chromeRegPath -Name "ProxyMode" -Value "system" -Type String
Write-Host "Chrome güvenlik politikaları başarıyla uygulandı!" -ForegroundColor Green
Write-Host "Değişikliklerin etkili olması için gpupdate /force çalıştırın." -ForegroundColor Yellow
GPO Apply Script
# GPO'yu zorla güncelle
gpupdate /force
# Chrome'u yeniden başlat (tüm kullanıcılar için)
Get-Process chrome -ErrorAction SilentlyContinue | Stop-Process -Force
Write-Host "GPO uygulandı. Kullanıcılar Chrome'u yeniden başlatmalı." -ForegroundColor Green
🧪 Test ve Doğrulama
1. Politika Uygulama Kontrolü
Bilgisayarda GPO Durumu:
# RSoP (Resultant Set of Policy)
gpresult /h C:\GPResult.html
gpresult /r /scope:computer
# Chrome politikalarını kontrol et
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" | Format-List
Chrome Politika Sayfası:
1. Chrome'u açın
2. Adres çubuğuna yazın: chrome://policy
3. "Reload policies" butonuna tıklayın
4. Tüm politikalar ve durumları görünecektir
2. Eklenti Yükleme Testi
Test Senaryoları:
-
İzinsiz Eklenti:
- Chrome Web Store'da random bir eklenti bulmaya çalışın
- "Add to Chrome" butonuna tıklayın
- "This extension is blocked by the administrator" mesajı görmeli
-
İzinli Eklenti:
- Allowlist'te olan bir eklentiyi yüklemeyi deneyin
- Başarıyla yüklenebilmeli
-
Mevcut Eklentiler:
- Politika öncesi yüklenmiş eklentiler otomatik kaldırılmalı
- chrome://extensions sayfasında görünmemeli
3. Oturum Açma Testi
1. Chrome Settings > Sign in to Chrome
2. BrowserSignin = 0 ise buton görünmemeli
3. BrowserSignin = 1 ise oturum açabilmeli ama sync kapalı olmalı
4. Senkronizasyon Testi
1. Google hesabıyla oturum açın (izin verilmişse)
2. Settings > Sync açık değilse politika çalışıyor
3. Şahsi bilgisayardaki eklentiler gelmemeli
📊 Monitoring ve Raporlama
Event Log İzleme
# Chrome policy uygulanma eventlerini izle
Get-WinEvent -FilterHashtable @{
LogName='Application';
ProviderName='Group Policy*'
} -MaxEvents 50 | Where-Object {$_.Message -like '*Chrome*'}
Compliance Raporu
# Domain'deki tüm bilgisayarlarda Chrome politikalarını kontrol et
$computers = Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local"
foreach ($computer in $computers) {
$regPath = "\\$($computer.Name)\HKLM\SOFTWARE\Policies\Google\Chrome"
try {
$policies = Get-ItemProperty -Path $regPath -ErrorAction Stop
[PSCustomObject]@{
Computer = $computer.Name
BrowserSignin = $policies.BrowserSignin
SyncDisabled = $policies.SyncDisabled
Status = "Compliant"
}
}
catch {
[PSCustomObject]@{
Computer = $computer.Name
Status = "Non-Compliant - Policy not applied"
}
}
}
Dashboard (Optional - PowerBI/Excel Export)
# CSV export for reporting
$report | Export-Csv -Path "C:\Reports\ChromeCompliance_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
🎯 Best Practices ve Öneriler
1. Aşamalı Deployment
Faz 1: Pilot Grup (1 Hafta)
- IT departmanı bilgisayarları
- 5-10 test kullanıcısı
- Sorun tespiti ve düzeltme
Faz 2: Departman Bazlı (2 Hafta)
- Her departman için ayrı GPO
- Departman özel eklenti ihtiyaçlarını belirle
- Kullanıcı feedback topla
Faz 3: Şirket Geneli (1 Hafta)
- Tüm workstation OU'ya link
- 7/24 destek hazır
- Rollback planı hazır
2. İletişim Stratejisi
Kullanıcı Bildirimi:
Konu: Chrome Güvenlik Güncellemesi
Değerli Çalışanlar,
[Tarih] itibariyle Chrome browser güvenlik politikaları güncellenecektir.
Değişiklikler:
- Chrome eklentileri kısıtlanacaktır
- Sadece onaylı eklentiler kullanılabilecektir
- Şahsi Google hesabı senkronizasyonu engellenecektir
İş için gerekli bir eklenti varsa IT departmanına bildiriniz.
Teşekkürler,
IT Departmanı
3. Exception Handling
Yetkili Kullanıcılar: Developer'lar veya özel yetki gerektiren kullanıcılar için:
# Özel Security Group oluştur
New-ADGroup -Name "Chrome-Unrestricted-Users" -GroupScope Global
# GPO'da Security Filtering
Set-GPPermission -Name "Chrome Security Policy" `
-TargetName "Chrome-Unrestricted-Users" `
-TargetType Group `
-PermissionLevel GpoApply `
-Replace
Alternatif: Loopback Processing
GPO > Computer Configuration > Policies > Administrative Templates > System > Group Policy
Enable "User Group Policy loopback processing mode" = Replace
4. Documentation
Her GPO için dokümantasyon oluşturun:
# Chrome Security Policy GPO
## Purpose
Chrome güvenlik politikalarını domain bilgisayarlarına uygular
## Applied To
- OU: Workstations
- Security Group: Domain Computers
## Exceptions
- Security Group: Chrome-Unrestricted-Users (Developers)
## Policies Applied
- Extension Blocklist: *
- Extension Allowlist: [Liste]
- Browser Sign-in: Disabled
- Sync: Disabled
## Contact
IT Security Team - security@sirketadi.com
## Last Updated
2025-01-15
## Change Log
- 2025-01-15: Initial deployment
- 2025-01-20: Added Office extension to allowlist
5. Backup ve Rollback Planı
GPO Backup:
# Tüm GPO'ları yedekle
$backupPath = "C:\GPOBackups\$(Get-Date -Format 'yyyyMMdd')"
New-Item -ItemType Directory -Path $backupPath -Force
Backup-GPO -Name "Chrome Security Policy" -Path $backupPath
# Veya tüm GPO'ları
Get-GPO -All | ForEach-Object {
Backup-GPO -Name $_.DisplayName -Path $backupPath
}
Restore Planı:
# GPO'yu geri yükle
Restore-GPO -Name "Chrome Security Policy" -Path "C:\GPOBackups\20250115"
# Veya yeni GPO olarak restore et
Import-GPO -BackupId [GUID] -TargetName "Chrome Security Policy - Restored" -Path "C:\GPOBackups\20250115"
Emergency Rollback:
# GPO linkini devre dışı bırak
Set-GPLink -Name "Chrome Security Policy" `
-Target "OU=Workstations,DC=sirketadi,DC=local" `
-LinkEnabled No
# Bilgisayarlara hemen uygula
Invoke-Command -ComputerName (Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local").Name -ScriptBlock {
gpupdate /force
}
🔍 Troubleshooting
Yaygın Sorunlar ve Çözümleri
1. Politikalar Uygulanmıyor
Sorun: Chrome'da chrome://policy sayfası boş
Çözüm:
# GPO replikasyonunu kontrol et
repadmin /showrepl
# Client'ta GPO update
gpupdate /force /target:computer
# Registry kontrol
Test-Path "HKLM:\SOFTWARE\Policies\Google\Chrome"
# GPResult detaylı analiz
gpresult /h C:\GPResult.html /f
GPO Uygulama Sırası Kontrol:
# Hangi GPO'lar uygulanıyor?
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\RSoP.html
2. Eklentiler Hala Yüklenebiliyor
Sorun: Blocklist çalışmıyor
Kontrol Listesi:
# 1. Registry değerini kontrol et
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist"
# 2. Chrome policy sayfasında kontrol
# chrome://policy > ExtensionInstallBlocklist should show "*"
# 3. User registry'sinde conflict var mı?
Get-ItemProperty "HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist" -ErrorAction SilentlyContinue
# 4. Chrome tamamen kapatılıp açıldı mı?
Get-Process chrome | Stop-Process -Force
Çözüm:
# User level policy varsa temizle
Remove-Item "HKCU:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force -ErrorAction SilentlyContinue
# Chrome cache temizle
Remove-Item "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Extensions" -Recurse -Force
3. Allowlist Eklentileri Yüklenmiyor
Sorun: İzin verilen eklentiler yüklenemiyor
Debug:
# Allowlist registry kontrol
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallAllowlist"
# ID doğru mu kontrol et
# Chrome Web Store URL'sinden ID'yi doğrula
Yaygın Hatalar:
- ❌ Yanlış ID:
eklenti-adiyerine 32 karakterlik ID olmalı - ❌ Boşluk karakteri: ID'de boşluk olmamalı
- ❌ Registry value adı: "1", "2", "3" şeklinde sıralı olmalı
Doğru Format:
ExtensionInstallAllowlist
├── 1 = "abcdefghijklmnopqrstuvwxyz123456"
├── 2 = "bcdefghijklmnopqrstuvwxyz1234567"
└── 3 = "cdefghijklmnopqrstuvwxyz12345678"
4. Oturum Açma Hala Aktif
Sorun: BrowserSignin=0 olmasına rağmen kullanıcılar oturum açabiliyor
Kontrol:
# User ve Computer policy conflict
gpresult /r /scope:computer
gpresult /r /scope:user
# Chrome profile kontrol
$profilePath = "$env:LOCALAPPDATA\Google\Chrome\User Data"
Get-ChildItem $profilePath -Filter "Preferences" -Recurse
Çözüm:
# User policy'yi temizle
Remove-Item "HKCU:\SOFTWARE\Policies\Google\Chrome" -Recurse -Force
# Chrome profile sıfırla
Remove-Item "$env:LOCALAPPDATA\Google\Chrome\User Data" -Recurse -Force
# Loopback processing aktif et
Set-GPRegistryValue -Name "Chrome Security Policy" `
-Key "HKLM\Software\Policies\Microsoft\Windows\System" `
-ValueName "UserPolicyMode" `
-Type DWord `
-Value 2
5. GPO Çakışmaları
Sorun: Birden fazla GPO Chrome ayarlarını değiştirmeye çalışıyor
Analiz:
# Tüm Chrome GPO'larını listele
Get-GPO -All | Where-Object {
$_ | Get-GPRegistryValue -Key "HKLM\Software\Policies\Google\Chrome" -ErrorAction SilentlyContinue
}
# GPO precedence kontrol
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\GPOPrecedence.html
Çözüm:
- GPO priority ayarla (düşük numara = yüksek öncelik)
- Enforce veya Block Inheritance kullan
- GPO'ları consolidate et
6. Performance Sorunları
Sorun: GPO uygulanması çok uzun sürüyor
Optimizasyon:
# GPO processing süresini ölç
gpupdate /force /wait:0
# Event log kontrol
Get-WinEvent -FilterHashtable @{
LogName='System'
ID=1502,1503
} -MaxEvents 10
# Network latency test
Test-NetConnection dc01.sirketadi.local -Port 389
İyileştirmeler:
- Sysvol replication kontrol
- GPO'ları consolidate et
- WMI filtering kullan
- Loopback processing minimize et
📚 Ek Chrome Politikaları
Homepage ve Startup
# Ana sayfa zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "HomepageLocation" -Value "https://intranet.sirketadi.com" -Type String
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "HomepageIsNewTabPage" -Value 0 -Type DWord
# Başlangıç sayfaları
$startupPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\RestoreOnStartupURLs"
New-Item -Path $startupPath -Force
Set-ItemProperty -Path $startupPath -Name "1" -Value "https://intranet.sirketadi.com" -Type String
Set-ItemProperty -Path $startupPath -Name "2" -Value "https://mail.sirketadi.com" -Type String
Search Engine Kontrolü
# Arama motorunu Google zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DefaultSearchProviderEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DefaultSearchProviderName" -Value "Google" -Type String
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DefaultSearchProviderSearchURL" `
-Value "https://www.google.com/search?q={searchTerms}" -Type String
Certificate Management
# Şirket sertifikalarını güvenilir yap
$certPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForUrls"
New-Item -Path $certPath -Force
Set-ItemProperty -Path $certPath -Name "1" -Value "*.sirketadi.com" -Type String
Bookmark Management
# Bookmark düzenlemeyi engelle
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "EditBookmarksEnabled" -Value 0 -Type DWord
# Managed bookmarks ekle
$bookmarksPath = "HKLM:\SOFTWARE\Policies\Google\Chrome\ManagedBookmarks"
New-Item -Path $bookmarksPath -Force
# JSON format için
$managedBookmarks = @"
[
{
"name": "Şirket Portalı",
"url": "https://portal.sirketadi.com"
},
{
"name": "IT Destek",
"url": "https://helpdesk.sirketadi.com"
},
{
"name": "Şirket İçi",
"children": [
{
"name": "İK Portal",
"url": "https://hr.sirketadi.com"
},
{
"name": "Finans",
"url": "https://finance.sirketadi.com"
}
]
}
]
"@
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "ManagedBookmarks" -Value $managedBookmarks -Type String
Print Restrictions
# Print to PDF kısıtla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "PrintingEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "PrintPdfAsImageEnabled" -Value 0 -Type DWord
# Default yazıcı zorla
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "DefaultPrinterSelection" -Value "\\print-server\Company-Printer" -Type String
Screen Capture Protection
# Ekran görüntüsü koruması (DLP için)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "ScreenCaptureAllowed" -Value 0 -Type DWord
🎓 Eğitim ve User Adoption
End User Training Checklist
Kullanıcı Eğitimi Konuları:
- ✅ Neden bu değişiklikler yapılıyor? (Güvenlik)
- ✅ Hangi eklentiler kullanılabilir?
- ✅ Yeni eklenti talebi nasıl yapılır?
- ✅ Şahsi Chrome profili nasıl yönetilir?
- ✅ Sorun yaşandığında ne yapılmalı?
Quick Reference Card
╔══════════════════════════════════════════════╗
║ CHROME GÜVENLİK POLİTİKALARI ║
╠══════════════════════════════════════════════╣
║ ║
║ ❌ YAPAMAYACAKLARINIZ: ║
║ • İzinsiz eklenti yüklemek ║
║ • VPN eklentisi kullanmak ║
║ • Şahsi hesap senkronize etmek ║
║ • Proxy ayarlarını değiştirmek ║
║ ║
║ ✅ YAPABİLECEKLERİNİZ: ║
║ • Onaylı eklentileri kullanmak ║
║ • Bookmark kaydetmek ║
║ • Normal browsing yapmak ║
║ • PDF indirmek ║
║ ║
║ 📞 DESTEK: ║
║ • Email: it-support@sirketadi.com ║
║ • Tel: 444 5 XXX ║
║ • Ticket: helpdesk.sirketadi.com ║
║ ║
╚══════════════════════════════════════════════╝
📊 Reporting ve Analytics
Monthly Compliance Report
# Aylık compliance raporu
$report = @{
M -Format 'MMMM yyyy')
TotalComputers = 0
CompliantComputers = 0
N
BlockedExtensi
AllowedExtensi
}
# Tüm bilgisayarları tara
$computers = Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=sirketadi,DC=local"
$report.TotalComputers = $computers.Count
foreach ($computer in $computers) {
$regPath = "\\$($computer.Name)\HKLM\SOFTWARE\Policies\Google\Chrome"
try {
$policies = Get-ItemProperty -Path $regPath -ErrorAction Stop
if ($policies.BrowserSignin -eq 0 -and $policies.SyncDisabled -eq 1) {
$report.CompliantComputers++
} else {
$report.NonCompliantComputers++
}
}
catch {
$report.NonCompliantComputers++
}
}
# Event log'dan istatistik
$blockedEvents = Get-WinEvent -FilterHashtable @{
LogName='Application'
ProviderName='Chrome'
} -MaxEvents 1000 | Where-Object {$_.Message -like '*extension blocked*'}
$report.BlockedExtensi
# Rapor oluştur
$reportPath = "C:\Reports\ChromeCompliance_$(Get-Date -Format 'yyyyMM').html"
$html = @"
Chrome Compliance Report
$($report.Month)
| Metric | Value | Percentage |
|---|---|---|
| Total Computers | $($report.TotalComputers) | 100% |
| Compliant Computers | $($report.CompliantComputers) | $('{0:P2}' -f ($report.CompliantComputers / $report.TotalComputers)) |
| Non-Compliant Computers | $($report.NonCompliantComputers) | $('{0:P2}' -f ($report.NonCompliantComputers / $report.TotalComputers)) |
| Blocked Extension Attempts | $($report.BlockedExtensions) | - |
Action Items
- Non-compliant bilgisayarlara GPO tekrar uygulanmalı
- Blocked extension denemeleri araştırılmalı
- Kullanıcı eğitimleri güncellenebilir
Report generated: $(Get-Date)
"@
$html | Out-File -FilePath $reportPath -Encoding UTF8
Write-Host "Rapor oluşturuldu: $reportPath" -ForegroundColor Green
🔐 Security Audit Checklist
Quarterly Security Review
# Chrome GPO Security Audit - Q[X] 2025
## 1. Policy Configuration Review
- [ ] Tüm güvenlik politikaları aktif
- [ ] Blocklist güncel (*wildcard mevcut)
- [ ] Allowlist sadece gerekli eklentileri içeriyor
- [ ] Browser sign-in doğru konfigüre edilmiş
- [ ] Sync ayarları uygun
## 2. Compliance Check
- [ ] %95+ bilgisayar compliant
- [ ] Non-compliant bilgisayarlar belirlendi
- [ ] Remediation planı hazır
## 3. Extension Audit
- [ ] Allowlist'teki her eklenti hala gerekli mi?
- [ ] Yeni eklenti talepleri değerlendirildi
- [ ] Kullanılmayan eklentiler kaldırıldı
## 4. Incident Review
- [ ] Blocked extension denemeleri incelendi
- [ ] Şüpheli aktiviteler araştırıldı
- [ ] Policy bypass denemeleri tespit edildi
## 5. User Feedback
- [ ] User support ticket'ları analiz edildi
- [ ] Yaygın sorunlar belirlendi
- [ ] İyileştirme önerileri toplandı
## 6. Documentation
- [ ] GPO dokümantasyonu güncel
- [ ] Allowlist güncel
- [ ] Prosedürler güncel
## 7. Backup & DR
- [ ] GPO backup alındı
- [ ] Restore test edildi
- [ ] Rollback planı güncel
## Sign-off
Audited by: _______________
Date: _______________
Next Audit: _______________
🚀 Gelecek İyileştirmeler
Chrome Enterprise Management
Google Chrome Enterprise lisansı ile daha gelişmiş yönetim:
Avantajları:
- Cloud-based policy management
- Chrome Browser Cloud Management Console
- Cross-platform yönetim (Windows, Mac, Linux, ChromeOS)
- Advanced reporting ve analytics
- User ve device level policies
- Chrome OS fleet management
Maliyet:
- ~$6/device/yıl (fiyatlar değişebilir)
- Büyük kuruluşlar için discount
Cloud-Based Management
# Chrome Cloud Policy enrollment
# Cihazı cloud management'a kaydet
$enrollmentToken = "YOUR-ENROLLMENT-TOKEN"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "CloudManagementEnrollmentToken" `
-Value $enrollmentToken `
-Type String
# Cloud policy'leri aktif et
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
-Name "CloudManagementEnrollmentMandatory" `
-Value 1 `
-Type DWord
Machine Learning ile Anomaly Detection
# Örnek: Chrome kullanım pattern analizi
# Anormal eklenti yükleme denemeleri tespit et
import pandas as pd
from sklearn.ensemble import IsolationForest
# Event log verilerini oku
events = pd.read_csv('chrome_events.csv')
# Feature extraction
features = events[['extension_attempts', 'sync_attempts', 'policy_violations']]
# Anomaly detection model
model = IsolationForest(c
model.fit(features)
# Anormal davranışları tespit et
anomalies = model.predict(features)
suspicious_users = events[anomalies == -1]
print("Şüpheli kullanıcılar:", suspicious_users['username'].tolist())
📖 Sonuç ve Öneriler
Özet
Chrome güvenlik politikalarını GPO ile yönetmek:
✅ Avantajlar:
- Merkezi kontrol ve yönetim
- Güvenlik risklerini minimize eder
- Compliance sağlar
- VPN ve zararlı eklentileri engeller
- User data loss prevention
❌ Zorluklar:
- İlk kurulum ve konfigürasyon
- User resistance ve değişim yönetimi
- Sürekli monitoring gerektirir
- Exception management
Final Öneriler
1. Güvenlik Öncelikli Yaklaşım:
- Tüm eklentileri engelle, sadece gerekenlere izin ver
- VPN eklentilerini kesinlikle engelle
- Developer tools'u kısıtla
2. Kullanıcı Deneyimini Dengele:
- Gerekli eklentilere hızlı onay süreci
- Clear communication
- Self-service portal düşün
3. Sürekli İyileştirme:
- Quarterly policy review
- User feedback integration
- Security incident learning
4. Automation:
- PowerShell scripts ile rutin görevleri otomatikleştir
- Compliance reporting otomatikleştir
- Alert sistemleri kur
5. Documentation:
- Her politikayı dokümante et
- Runbook'lar hazırla
- Knowledge base oluştur
Son Kontrol Listesi
☐ ADMX templates yüklendi
☐ GPO oluşturuldu ve yapılandırıldı
☐ Blocklist aktif (*wildcard)
☐ Allowlist tanımlandı
☐ Browser sign-in kontrol altında
☐ Sync devre dışı
☐ GPO link edildi
☐ Pilot test yapıldı
☐ User communication gönderildi
☐ Monitoring kuruldu
☐ Documentation tamamlandı
☐ Backup alındı
☐ Rollback planı hazır
☐ Support team hazır
☐ Production deployment OK
Kaynaklar:
- Chrome Enterprise Policy List
- Chrome Browser Cloud Management
- Chrome ADMX Templates
- Google Workspace Admin Help
Chrome güvenlik politikalarıyla kurumsal ağınızı koruyun! 🛡️
