Je gegevens beveiligen met site-isolatie

Chrome-versie 63 en hoger

Geldt voor beheerde Chrome-browsers en ChromeOS-apparaten.

Als Chrome-beheerder kun je gebruikers van de Chrome-browser die naar niet-vertrouwde sites gaan, beschermen met site-isolatie.

Met site-isolatie worden pagina's van verschillende websites gescheiden in verschillende processen. Als site-isolatie aanstaat, is het voor schadelijke sites moeilijker om beveiligingsmaatregelen te omzeilen die gegevensdiefstal moeten voorkomen. Zo kunnen processen bepaalde soorten gevoelige gegevens niet krijgen van andere sites en is het voor schadelijke websites veel moeilijker om gegevens van andere sites te stelen, zelfs als bepaalde regels in hun eigen proces kunnen worden geschonden.

Site-isolatie wordt toegepast op sites als https://example.com. Andere oorsprongen binnen die sites, zoals https://a.example.com, worden doorgaans samen gegroepeerd.

Site-isolatie staat standaard aan op desktopplatforms vanaf Chrome 76, en voor de meeste sites waarop gebruikers inloggen via Android vanaf Chrome 77. Meer informatie over site-isolatie.

Je kunt instellen dat gebruikers site-isolatie niet kunnen uitzetten. Je kunt ook specifiekere oorsprongen isoleren op bepaalde sites. Op Android kun je ook site-isolatie aanzetten voor alle sites.

Stap 1: Het beleid bekijken

Beleid	Beschrijving en instellingen
SitePerProcess	Windows, Mac en Linux Aan: Site-isolatie wordt aangezet voor alle websites voor je hele organisatie. Alle sites die gebruikers bezoeken, worden met een speciaal weergaveproces uitgevoerd en van elkaar geïsoleerd. Gebruikers kunnen de toestemming voor site-isolatie niet intrekken via bijvoorbeeld chrome://flags. Uit of niet ingesteld: Site-isolatie blijft aanstaan, maar gebruikers kunnen de toestemming intrekken, bijvoorbeeld via chrome://flags.
IsolateOrigins	Windows, Mac en Linux Aan: Aanvullende specifieke oorsprongen die gebruikers bezoeken worden geïsoleerd. Oorsprongen die je opgeeft, worden met een speciaal weergaveproces uitgevoerd. Je kunt oorsprongen toevoegen waarop gebruikers inloggen en andere oorsprongen die gevoelige informatie bevatten, zoals productiviteitssites of intranetsites. Uit of niet ingesteld: Site-isolatie blijft aanstaan, maar er worden geen aanvullende oorsprongen geïsoleerd. Gebruikers kunnen aanvullende oorsprongen opgeven om te isoleren, bijvoorbeeld via chrome://flags.
SitePerProcessAndroid	Android Aan: Geldt voor Android-apparaten met minstens 1 GB RAM. Site-isolatie wordt aangezet voor alle websites voor je hele organisatie. Alle sites die gebruikers bezoeken, worden met een speciaal weergaveproces uitgevoerd en van elkaar geïsoleerd. Gebruikers kunnen de toestemming voor site-isolatie niet intrekken via bijvoorbeeld chrome://flags. Niet ingesteld: Geldt voor M77 of hoger en Android-apparaten met minstens 2 GB RAM. Site-isolatie staat alleen aan voor sites waarop gebruikers inloggen. Uit: Site-isolatie staat helemaal uit. Dit beleid overschrijft de instellingen voor zowel sites waarop gebruikers inloggen als het beleid IsolateOriginsAndroid.
IsolateOriginsAndroid	Android Aan: Geldt voor Android-apparaten met minstens 1 GB RAM. Aanvullende specifieke oorsprongen die gebruikers bezoeken worden geïsoleerd. Oorsprongen die je opgeeft, worden met een speciaal weergaveproces uitgevoerd. Je kunt oorsprongen toevoegen waarop gebruikers inloggen en andere oorsprongen die gevoelige informatie bevatten, zoals productiviteitssites of intranetsites. Niet ingesteld: Geldt voor M77 of hoger en Android-apparaten met minstens 2 GB RAM. Site-isolatie staat alleen aan voor sites waarop gebruikers inloggen. Uit: Site-isolatie staat helemaal uit. Dit beleid overschrijft het beleid SitePerProcessAndroid.

Stap 2: Een lijst maken met sites die je wilt isoleren

In Chrome 76 en lager maak je een lijst met alle oorsprongen die je wilt isoleren door elke oorsprong volledig op te geven. Bijvoorbeeld:
https://a.example.com, https://b.example.com, https://c.example.com.

In Chrome 77 en hoger kun je ook een bereik van oorsprongen opgeven om te isoleren met een jokerteken.

Als je bijvoorbeeld https://[*.]voorbeeld.nl opgeeft, isoleer je hiermee https://a.voorbeeld.nl, https://b.voorbeeld.nl en https://c.voorbeeld.nl. Bovendien isoleer je hiermee elke overeenkomende herkomst onder https://[*.]voorbeeld.nl, zoals:

https://a1.voorbeeld.nl
https://a2.a1.voorbeeld.nl
https://a3.a2.a1.voorbeeld.nl

Je kunt de jokertekensnotatie gebruiken om een hele reeks herkomsten op een gemakkelijke manier te isoleren. Als je bijvoorbeeld https://[*.]corp.solarmora.com opgeeft, worden alle bedrijfsherkomsten van Solarmora geïsoleerd.

Stap 3: Site-isolatie aanzetten

Klik hieronder voor de stappen, afhankelijk van hoe je dit beleid wilt beheren.

Beheerdersconsole

Kan worden toegepast op ingelogde gebruikers op elk apparaat of ingeschreven browsers op Windows, Mac, Linux of Android. Zie Begrijpen wanneer de instellingen gelden voor meer informatie.

Belangrijk: Zorg dat de beheerde Chrome-browser aanstaat voor de organisatie-eenheid.

Ga naar Menu Apparaten > Chrome > Instellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.
Hiervoor is het beheerdersrecht Beheer van mobiele apparaten vereist.

Als je je hebt aangemeld voor Chrome Enterprise Core, ga je naar Menu Chrome browser > Instellingen.
To apply the setting to all users and enrolled browsers, leave the top organizational unit selected. Otherwise, select a child organizational unit.
Ga naar het gedeelte Site-isolatie.
Klik in Windows, Mac en Linux op Site-isolatie:
1. Zo vereis je site-isolatie voor alle websites:
  1. Selecteer Site-isolatie vereisen voor alle websites en eventuele oorsprongen hieronder.
  2. (Optioneel) Voer aanvullende bronsites in, gescheiden door komma's, die moeten worden geïsoleerd van de site waar ze bij horen. Vul bijvoorbeeld https://login.example.com in om deze oorsprong te isoleren van de rest van https://example.com.
  3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.
    Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen.
2. Zo zet je isolatie voor alle websites aan, maar sta je ook toe dat gebruikers de toestemming voor site-isolatie kunnen intrekken voor bepaalde websites (standaard):
  1. Selecteer Site-isolatie aanzetten voor alle websites en eventuele oorsprongen hieronder, maar gebruikers toestaan de toestemming hiervoor in te trekken.
  2. (Optioneel) Vul een lijst in met websites en oorsprongen die je wilt isoleren, gescheiden door komma's.
  3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.
    Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen.
. Klik voor Android op Site-isolatie (Chrome op Android):
1. Zo zet je site-isolatie alleen aan voor inlogwebsites (standaard):
  1. Selecteer Site-isolatie alleen aanzetten voor inlogsites en eventuele oorsprongen hieronder.
  2. (Optioneel) Vul een lijst in met websites en oorsprongen die je wilt isoleren, gescheiden door komma's.
  3. Klik op Opslaan.
2. Zo stel je in dat gebruikers kunnen bepalen of ze site-isolatie willen aanzetten:
  1. Selecteer Gebruiker toestaan site-isolatie aan te zetten.
  2. (Optioneel) Vul een lijst in met websites en oorsprongen die je wilt isoleren, gescheiden door komma's.
  3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.
    Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen.
3. Zo zet je site-isolatie aan voor alle websites:
  1. Selecteer Site-isolatie aanzetten voor alle websites en eventuele oorsprongen hieronder.
  2. (Optioneel) Vul een lijst in met websites en oorsprongen die je wilt isoleren, gescheiden door komma's.
  3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.
    Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen.

Windows

Geldt voor Windows-gebruikers die inloggen op een beheerd account in de Chrome-browser.

Met Groepsbeleid

Ga in de groepsbeleideditor naar Computer of Gebruikersconfiguratie Beleid Beheersjablonen Google Google Chrome voor beide beleidsregels hieronder.

Site-isolatie vereisen voor alle websites

Opmerking: Site-isolatie staat altijd aan in Windows. Het beleid SitePerProcess wordt alleen gebruikt om te voorkomen dat gebruikers de toestemming intrekken.

Als je dit beleid op 'Niet geconfigureerd' laat staan, wordt het gedrag gebruikt dat hierboven staat beschreven onder Niet ingesteld.

Zet Site-isolatie aanzetten voor elke website aan.
Tip: Als je dit beleid niet ziet, download je de nieuwste beleidstemplate.
Implementeer de update voor je gebruikers.

Site-isolatie aanzetten voor bepaalde oorsprongen

Als je dit beleid op 'Niet geconfigureerd' laat staan, wordt het gedrag gebruikt dat hierboven staat beschreven onder Niet ingesteld.

Test de site-isolatie voor deze sites lokaal met deze opdrachtregelmarkering:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org
Zet Site-isolatie voor opgegeven oorsprongen aanzetten aan.
Tip: Als je dit beleid niet ziet, download je de nieuwste beleidstemplate.
Vul de URL's die moeten worden geïsoleerd in met een door komma's gescheiden lijst.
Voorbeeld:https://[*.]example.com/,https://subdomain.example.org
Implementeer de update voor je gebruikers.

Mac

Geldt voor AppleMac-gebruikers die zijn ingelogd op een beheerd account in de Chrome-browser.

Voeg de volgende sleutels toe aan het Chrome-configuratieprofiel of update deze. Implementeer de wijziging vervolgens voor je gebruikers.

<dict> <key>SitePerProcess</key> <true/> </dict> <dict> <key>IsolateOrigins</key> <string>”https://site1.com,https://site2.net”</string> </dict>

Linux

Geldt voor Linux-gebruikers die zijn ingelogd op een beheerd account in de Chrome-browser.

Doe het volgende in je voorkeursbewerker voor json-bestanden:

Ga naar de map etc/opt/chrome/policies/managed.
Maak of update een json-bestand en vul de betreffende URL's in:
- SitePerProcess: Stel dit in op true om het beleid af te dwingen.
- IsolateOrigins: Voeg de URL's toe die moeten worden geïsoleerd.
Test de site-isolatie voor deze sites lokaal met deze opdrachtregelmarkering:
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org
Implementeer de update voor je gebruikers.

In dit voorbeeld zie je hoe je het beleid SitePerProcess kunt aanzetten:

{ ”SitePerProcess": "true” }

In dit voorbeeld zie je hoe je a.example.com en b.example.net kunt isoleren:
{ “IsolateOrigins”:”https://a.example.com/,https://b.example.net/” }

Stap 4: Controleren of het beleid is toegepast

Nadat je Chrome-beleid hebt toegepast, moeten gebruikers de Chrome-browser opnieuw starten voordat de instelling van kracht wordt. U kunt op de apparaten van gebruikers controleren of het beleid juist wordt toegepast.

Ga op een beheerd ChromeOS-apparaat naar chrome://policy.
Klik op Beleid opnieuw laden.
Vink het vakje aan voor Beleid weergeven zonder waarde ingesteld.
Controleer of de Status is ingesteld op OK voor het beleid dat je hebt ingesteld.
Klik voor elk beleid op Waarde weergeven en controleer of de velden hetzelfde zijn als je hebt ingesteld voor het beleid.

Site-isolatie uitzetten (alleen Android)

Als je site-isolatie wilt uitzetten, zet je het beleid uit dat je hierboven hebt ingesteld.

Als je het beleid voor site-isolatie uitzet, worden websites in Chrome weer getoond met het procesmodel van voordat site-isolatie aanstond. Verschillende sites kunnen processen met elkaar delen. Frames op verschillende sites kunnen weer met hetzelfde proces worden weergegeven als de bovenliggende pagina. Als je beleid uitzet, worden de praktijktests van beide beleidsregels uitgezet.

Google en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?