Отключить сохранение паролей в браузерах (Chrome, Edge, Firefox) с помощью GPO

Во всех современных браузере есть встроенный менеджер паролей, которые предлагает вам сохранить пароли для вебсайтов. В следующий раз, когда вы посетите такой сайт, менеджер паролей браузера может автоматически подставит сохраненный пароль. В корпоративной среде хранение паролей в браузерах обычно считается плохой практикой, поэтому администраторы предпочитают полностью отключить эту возможность. Это позволит закрыть риск утечки корпоративных учетных данных, которые могут синхронизироваться через браузер на персональные устройства пользователей. В этой статье мы покажем, как запретить сохранять пароли в браузерах Google Chrome, Edge и Firefox с помощью скриптов PowerShell или групповых политик.

браузер предлагает сохранить пароли

Запретить сохранение паролей в настройках браузеров

Сначала рассмотрим, как вручную запретить сохранять пароли в браузерах:

  • Google Chrome: Settings -> Autofill and passwords -> Google password manager -> Settings -> Offer to save password -> отключить. Для быстрого перехода в этот раздел меню просто откройте в браузере адрес chrome://password-manager/settings Отключить сохранение пароля в Google Chrome
  • Microsoft Edge: Profiles -> Passwords -> Offer to save passwords -> Off (или перейдите по адресу edge://settings/passwords )
    Обратите внимание, что Edge позволяет дополнительно защитить сохранённые пароли с помощью мастер-пароля.
    Запретить сохранять пароли в браузере Microsoft Edge
  • Mozilla Firefox: Settings -> Logins and Passwords -> Ask to save logins and passwords for websites. Firefox - отключить сохранение пароля для веб сайтов

Отключить встроенный менеджер паролей в браузерах через GPO

Если вам нужно запретить пользователям сохранять пароли в браузерах на компьютерах в домене, удобнее всего воспользоваться групповыми политиками.

Скачайте и установите административные шаблоны GPO для браузера, который используется в вашей среде. Ниже есть ссылки на загрузку файлов ADMX шаблонов для разных браузеров:

Распакуйте архивы и скопируйте ADMX (и опционально ADML) файлы в центральное хранилище административных шаблонов GPO на контроллере домена ( \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions ).

Затем откройте консоль управления доменными GPO ( gpmc.msc ). Создайте новую GPO и назначьте ее на OU с пользователями. В зависимости от браузера нужно включить следующие параметры GPO:

  • Google Chrome: User Configuration -> Policies -> Administrative Templates -> Google Chrome -> Enable saving passwords to the password manager = Disabled
  • Microsoft Edge: User Configuration -> Policies -> Administrative Templates -> Microsoft Edge -> Microsoft Edge/Password manager and protection -> Enable saving passwords to the password manager = Disabled Отключить сохранение паролей в браузере Edge с помощью GPO
  • Mozilla Firefox: User Configuration -> Policies -> Administrative Templates -> Mozilla -> Firefox. Отключите здесь следующие параметры: Offer to save logins = Disabled, Password Manager= Disabled.

Обновите настройки групповых политик в сессии пользователя. Проверьте, что браузер теперь не предлагает сохранить пароли и встроенный менеджер паролей стал недоступен.

На скриншоте ниже видно, что в Edge появилась надпись, что настройками браузера управляет организация, а кнопка разрешить сохранить пароли в браузере стала неактивной.

Политика предприятия запрещает сохранять пароли в браузере

Если вы не хотите устанавливать ADMX шаблоны для браузеров, вы можете запретить сохранение паролей через реестр.

  • Google Chrome:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
    "PasswordManagerEnabled"=dword:00000000
  • Microsoft Edge:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
    "PasswordManagerEnabled"=dword:00000000
    
  • Firefox:
    [HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox]
    "PasswordManagerEnabled"=dword:00000000
    

Вы можете распространить эти параметры реестра с помощью Group Policy Preferences. Также можно создать ключи реестра с помощью PowerShell скрипта. Например:

$KeyPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
$ValueName = "PasswordManagerEnabled"
$ValueData = "0"
$test = test-path -path $KeyPath
if(-not($test)){
   New-Item -Path $KeyPath -Force
   New-ItemProperty -Path $KeyPath -Name $ValueName -Value $ValueData -PropertyType DWord -Force
}

Скрипты для очистки сохраненных паролей в браузерах

Если вам нужно удалить пароли, сохраненные пользователем в браузере, воспользуйтесь следующими скриптами PowerShell. Скрипт сначала завершает запущенный процесс браузера и потом удаляет файл, в котором хранятся сохраненные пароли:

Google Chrome:

Get-Process chrome | Stop-process -force
Remove-Item "$env:USERPROFILE\AppData\Local\Google\Chrome\User Data\Default\Login Data"

Microsoft Edge:

taskkill /IM msedge.exe /F
Remove-Item "$env:USERPROFILE\AppData\Local\Microsoft\Edge\User Data\Default\Login Data"

Firefox:

$ItemstoDelete = Get-ChildItem -Directory -Path $env:APPDATA\mozilla\firefox\profiles\
foreach ($item in $ItemstoDelete) {
  if (Test-Path "$($item.fullname)\logins.json") {Remove-item -Path "$($item.fullname)\logins.json"}
  if (Test-Path "$($item.fullname)\key3.db") {Remove-item -Path "$($item.fullname)\key2.db"}
  if (Test-Path "$($item.fullname)\key4.db") {Remove-item -Path "$($item.fullname)\key3.db"}
}

Предыдущая статья Следующая статья


Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)