iT邦幫忙

1

QQ與google瀏覽器造成的資安風險

evio0502 6 月前1845 瀏覽

各位大大午安!!

近期發現google chrome存在資安風險,使用者可無需管理員權限就可以自行新增APP應用程式。且相關行為都是透過google chrome執行,因此無法進行有效管控。
例如:我公司不允許私自安裝電腦版LINE,但是使用者可透過google Chrome去部屬LINE APP 來使用。導致防火牆應用程式只會顯示google chrome運行443port,本機應用程式紀錄也只會顯示google chrome運行紀錄,IM軟體更無法側錄聊天紀錄與行為。

目前已透過群組原則封鎖了google Chrome的應用程式安裝權限,但是QQ瀏覽器採用google chrome 的核心,由於QQ官方卻沒有像google提供admin群組原則元件,想請問各位先進,是否有針對此部分調整修改過的經驗

看更多先前的討論...收起先前的討論...
haoming iT邦研究生 1 級 ‧ 6 月前 檢舉
如果 chrome 瀏覽器可以限制, 那你就讓 client 限定只可裝你許可清單的browser 就好了. 開放這麼多 browser 就更難掌握了
evio0502 iT邦新手 4 級 ‧ 6 月前 檢舉
國家習慣不同的緣故,大陸QQ是無法管制且必需要的軟體(類似SKYPE對企業)
裝了QQ就會附帶QQ瀏覽器~又不可能一台一台去移除
目前思考的方向是
1.群組原則值接禁用QQ瀏覽器
2.找尋瀏覽器應用程式安裝定義的登錄檔,再透過群組原則去調整
但是兩種可能都有不足的地方
gvision iT邦研究生 3 級 ‧ 6 月前 檢舉
QQ 是騰訊的IM 通訊軟體 , 有個人版 以及手機版 ,也贈送QQE-mail , 傳幾十M 的檔案很有用。 wechat 也是騰訊的手機軟體 兄弟, 二者可以共用QQ 號碼 。 QQ 瀏覽器沒有強迫安裝阿 。 所說的用chrome核心瀏覽器, 好像 UC 瀏覽器比較好一點 ,阿里巴巴的一份子, 淘寶瀏覽器好像是貼牌出來的UC , 看淘寶網才會正常, 當中國會員一樣 。
liurambo0911 iT邦高手 1 級 ‧ 6 月前 檢舉
就直接擋443PORT不行嗎?
evio0502 iT邦新手 4 級 ‧ 6 月前 檢舉
回應 gvision
新版QQ預裝時,使用者如果沒有修改安裝選項,QQ會自動幫你裝上QQ安全管家/QQ瀏覽器/QQ音樂...等服務!而且QQ瀏覽器常駐一堆廣告彈跳視窗

liurambo0911
瀏覽器檔443那會導致所有跑QQ瀏覽器的服務都死掉,因為透過瀏覽器執行時每次都會跳不同IP,鎖IP不可行,鎖應用程式443可能衍生的問題更多~
原本是想透過類似google chrome步驟~由gpo群組原則去disable程式集,可是QQ平沒有提供ADM範本~所以目前只能透過批次~去移除用戶端的QQ瀏覽器

1 個回答

1
vino1
iT邦大師 1 級 ‧ 6 月前

這...應該不難.. 我只告訴你方法, 至於做出來, 還是要怎樣寫 script, 請自行處理

  1. 要先了解....QQ chrome extension 安裝資料夾名稱
    其安裝網址為 https://chrome.google.com/webstore/detail/chromeqq/pjkebmlmkppdjcdcilfcjdkifljollfd?hl=zh-TW
    記下 pjkebmlmkppdjcdcilfcjdkifljollfd 這串文字

  2. Chrome Web Extension 安裝路徑
    XP
    %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions
    Win7
    %LocalAppData%\Google\Chrome\User Data\Default\Extensions\
    Win8 - Win10
    我手上沒有電腦可查詢, 不過應該跟 win7 差不多位置

檢查user 電腦上述資料夾, 已安裝的會有 pjkebmlmkppdjcdcilfcjdkifljollfd 這個資料夾,
直接刪除, 然後在 Google\Chrome\User Data\Default\Extensions\ 這資料夾內新增一個檔案,
檔案名稱為 pjkebmlmkppdjcdcilfcjdkifljollfd , 權限設定為任何人都沒有權限

以上說明~

vino1 iT邦大師 1 級 ‧ 6 月前 檢舉

或者兇殘一點, Google\Chrome\User Data\Default\Extensions\ 這層資料夾設定為everyone都唯讀, 就什麼也都不能裝了~

小財神 iT邦研究生 1 級 ‧ 6 月前 檢舉

蠻兇殘的~(抖)

我要發表回答

立即登入回答