Во всех современных браузере есть встроенный менеджер паролей, которые предлагает вам сохранить пароли для вебсайтов. В следующий раз, когда вы посетите такой сайт, менеджер паролей браузера может автоматически подставит сохраненный пароль. В корпоративной среде хранение паролей в браузерах обычно считается плохой практикой, поэтому администраторы предпочитают полностью отключить эту возможность. Это позволит закрыть риск утечки корпоративных учетных данных, которые могут синхронизироваться через браузер на персональные устройства пользователей. В этой статье мы покажем, как запретить сохранять пароли в браузерах Google Chrome, Edge и Firefox с помощью скриптов PowerShell или групповых политик.
Запретить сохранение паролей в настройках браузеров
Сначала рассмотрим, как вручную запретить сохранять пароли в браузерах:
- Google Chrome: Settings -> Autofill and passwords -> Google password manager -> Settings -> Offer to save password -> отключить. Для быстрого перехода в этот раздел меню просто откройте в браузере адрес
chrome://password-manager/settings
- Microsoft Edge: Profiles -> Passwords -> Offer to save passwords -> Off (или перейдите по адресу
edge://settings/passwords)Обратите внимание, что Edge позволяет дополнительно защитить сохранённые пароли с помощью мастер-пароля.
- Mozilla Firefox: Settings -> Logins and Passwords -> Ask to save logins and passwords for websites.
Отключить встроенный менеджер паролей в браузерах через GPO
Если вам нужно запретить пользователям сохранять пароли в браузерах на компьютерах в домене, удобнее всего воспользоваться групповыми политиками.
Скачайте и установите административные шаблоны GPO для браузера, который используется в вашей среде. Ниже есть ссылки на загрузку файлов ADMX шаблонов для разных браузеров:
- Google Chrome — https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
- Edge — https://aka.ms/EdgeEnterprise (Get policy files)
- Mozilla Firefox — https://github.com/mozilla/policy-templates/releases
Распакуйте архивы и скопируйте ADMX (и опционально ADML) файлы в центральное хранилище административных шаблонов GPO на контроллере домена (
\\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions
).
Затем откройте консоль управления доменными GPO (
gpmc.msc
). Создайте новую GPO и назначьте ее на OU с пользователями. В зависимости от браузера нужно включить следующие параметры GPO:
- Google Chrome: User Configuration -> Policies -> Administrative Templates -> Google Chrome -> Enable saving passwords to the password manager = Disabled
- Microsoft Edge: User Configuration -> Policies -> Administrative Templates -> Microsoft Edge -> Microsoft Edge/Password manager and protection -> Enable saving passwords to the password manager = Disabled
- Mozilla Firefox: User Configuration -> Policies -> Administrative Templates -> Mozilla -> Firefox. Отключите здесь следующие параметры: Offer to save logins = Disabled, Password Manager= Disabled.
Обновите настройки групповых политик в сессии пользователя. Проверьте, что браузер теперь не предлагает сохранить пароли и встроенный менеджер паролей стал недоступен.
На скриншоте ниже видно, что в Edge появилась надпись, что настройками браузера управляет организация, а кнопка разрешить сохранить пароли в браузере стала неактивной.
Если вы не хотите устанавливать ADMX шаблоны для браузеров, вы можете запретить сохранение паролей через реестр.
- Google Chrome:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "PasswordManagerEnabled"=dword:00000000
- Microsoft Edge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "PasswordManagerEnabled"=dword:00000000
- Firefox:
[HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox] "PasswordManagerEnabled"=dword:00000000
Вы можете распространить эти параметры реестра с помощью Group Policy Preferences. Также можно создать ключи реестра с помощью PowerShell скрипта. Например:
$KeyPath = "HKLM:\SOFTWARE\Policies\Google\Chrome"
$ValueName = "PasswordManagerEnabled"
$ValueData = "0"
$test = test-path -path $KeyPath
if(-not($test)){
New-Item -Path $KeyPath -Force
New-ItemProperty -Path $KeyPath -Name $ValueName -Value $ValueData -PropertyType DWord -Force
}
Скрипты для очистки сохраненных паролей в браузерах
Если вам нужно удалить пароли, сохраненные пользователем в браузере, воспользуйтесь следующими скриптами PowerShell. Скрипт сначала завершает запущенный процесс браузера и потом удаляет файл, в котором хранятся сохраненные пароли:
Google Chrome:
Get-Process chrome | Stop-process -force
Remove-Item "$env:USERPROFILE\AppData\Local\Google\Chrome\User Data\Default\Login Data"
Microsoft Edge:
taskkill /IM msedge.exe /F
Remove-Item "$env:USERPROFILE\AppData\Local\Microsoft\Edge\User Data\Default\Login Data"
Firefox:
$ItemstoDelete = Get-ChildItem -Directory -Path $env:APPDATA\mozilla\firefox\profiles\
foreach ($item in $ItemstoDelete) {
if (Test-Path "$($item.fullname)\logins.json") {Remove-item -Path "$($item.fullname)\logins.json"}
if (Test-Path "$($item.fullname)\key3.db") {Remove-item -Path "$($item.fullname)\key2.db"}
if (Test-Path "$($item.fullname)\key4.db") {Remove-item -Path "$($item.fullname)\key3.db"}
}
История с баша.
У всех сотрудников были восьмизначные пароли с достаточной сложностью. Сотрудники со временем выучили их. Однажды директор решил усилить безопасность и распорядился установить минимальную длину пароля 16 знаков. С этого момента у каждого сотрудника под клавиатурой лежала бумажка с паролем. ))))
Два раза по старому паролю и бумажки не нужны. И даже проще, не надо с бумажек ничего переписывать