DLP エージェント ChromeとEdge ブラウザ拡張機能の管理

Products

Data Loss Prevention Endpoint Prevent

Issue/Introduction

Google ChromeとMicrosoft Edge (Chromium) は、現在タブに表示されているURLをDLPエージェントに報告するために、ブラウザ拡張機能を利用しています。(ネイティブメッセージングホスト - brkrprcs64.exeを経由して、edpa.exeへ)
ポリシーを処理する際、宛先を把握し、インシデント発生時にURLを報告するためにURLが必要となります。
拡張機能は、拡張機能の参照が実装されたそれぞれのブラウザが起動されるまでインストールされません。

MacのChromeの拡張機能については、「macOS エンドポイントで Google Chrome での監視をサポートする MDM 設定プロファイルの作成」をご覧ください。

「Symantec Extension」のレジストリの値やデータに関しては、以下をご覧ください。

Chrome
Symantec Extension - DLP 15.7 とそれ以前のバージョン

(https://chrome.google.com/webstore/detail/symantec-extension/eelojgpfkmhiikmhkineneemcahoehjo)

レジストリデータ型(種類)/データ/値:
(すでに他のローカル拡張機能のポリシーが実装されている場合、値は異なる場合があります。)

データ型(種類): REG_SZ
値: 1
データ: eelojgpfkmhiikmhkineneemcahoehjo;https://clients2.google.com/service/update2/crx

Symantec Extension - DLP 15.8 とそれ以降のバージョン

(https://chrome.google.com/webstore/detail/symantec-extension/dehobbhellcfbmcaeppgfjhnldeimdph)

レジストリデータ型(種類)/データ/値 :
(すでに他のローカル拡張機能のポリシーが実装されている場合、値は異なる場合があります。)

データ型(種類): REG_SZ
値: 1
データ: dehobbhellcfbmcaeppgfjhnldeimdph;https://clients2.google.com/service/update2/crx

Edge
Symantec Extension - DLP すべてのバージョン

(https://microsoftedge.microsoft.com/addons/detail/symantec-extension/lgliocaeggimgcpgbbejhdnbmajgaiii)

レジストリデータ型(種類)/データ/値 :
(すでに他のローカル拡張機能のポリシーが実装されている場合、値は異なる場合があります。)

データ型(種類): REG_SZ
値: 1
データ: lgliocaeggimgcpgbbejhdnbmajgaiii

上記の値は、下記のレジストリキーにそれぞれのブラウザごとに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist

これらの拡張機能のポリシーは、ローカルグループポリシー「%windir%\System32\GroupPolicy\Machine\registry.pol」にも追加されます。
LGPOに拡張機能のポリシーを配置すると、グループポリシーの処理中にregistry.polファイルからレジストリにポリシーが再ロードされるため、ユーザがレジストリエントリを削除することによって永続的に拡張機能が無効に設定されることを防ぎます。

DLP 15.5と15.7では、Chromeのポリシーエントリーはエージェントのインストール時に作成されます。
エージェントインストーラは、Local Group Policy Windows API コールを使用し、「HKLM/Software/Policies/Google/Chrome/ExtensionInstallForceList 」にあるLGPO にChromeブラウザのSymantec Extensionをインストール/アンインストールします。
位置を決定するために、LGPO APIはLGPO内 (Registry.pol) でのみ定義されたこれらのエントリを列挙し、最後の文字列値+1 を実行し、Symantec Extensionのエントリをインクリメントします。
同一のキー (non-GPO / ExtensionInstallForceList) 内に直接作成された相反する位置の値を持つレジストリエントリは、グループポリシーの処理が行われると上書きされます。
つまり、1の位置に直接書き込まれたレジストリエントリは、他にLGPOのエントリが定義されていない場合、位置の値 1 を持つ Symantec Extension のエントリで上書きされます。

DLP 15.8、および以降のバージョンでは、ChromeとEdgeのポリシーエントリは、各チャネル (HTTPS) が有効化/無効化された時やエージェントサービスが起動した際に、オンデマンドで管理されます。
エージェントの拡張設定ExtensionEnablement.INSTALL_BROWSER_EXTENSION.intでは、エージェントがChromeやEdgeのExtensionInstallForceList LGPO ポリシーを作成する (1) か、しない (0) かを決定します。

バージョンが15.5から15.7のエージェントでは、エージェントインストール時にinstall_agent.batファイルのインストールコマンドにINSTALLCHROMEPLUGIN=0 のパラメータを追加することで、Chrome拡張機能のインストールをスキップすることができます。

Environment

DLP 15.x

DLP 16.0

Resolution

ドメインGPOレベルでChromeやEdge のExtensionInstallForcelistポリシーを適用しているお客様は、各ブラウザの拡張機能をドメインポリシーに追加し、(ユーザレベルではなく)「Computer (Machine Hive)」レベルで管理されることをお勧めします。

これはクロミウムのポリシーの動作と組み合わさった時のWindows GPOポリシーの処理の順番によるためです。
GPOの処理では、ドメインポリシーは最後に処理され、ドメインGPOに定義されているキーはローカルGPOより完全に優先されます。つまり、競合するGPOで同じハイブに定義されているレジストリキーがある場合、値はマージされません。
以下の文書に記載されているように、クロミウムブラウザのポリシーの処理は、次の順番で最初にポリシーが定義されている場所で停止します。

(1) デバイス/マシンポリシー -> (2) マシンレベルクラウドポリシー -> (3) OS ユーザポリシー -> (4) Chrome プロファイル

Understand Chrome policy management

例:

「LGPO - Computer (Machine)」と「ドメイン GPO - Computer (Machine)」に拡張機能のポリシーが定義されている場合
- ドメイン GPO - Computer (Machine) ポリシーは、最後に処理され、ドメインポリシーでExtensionInstallForcelistキーを完全に上書きするため、最も優先されます。
「LGPO - Computer (Machine)」と「ドメイン GPO – ユーザ」に拡張機能のポリシーが定義されている場合
- GPOの処理後、LGPOのポリシーが残り、クロミウムはユーザのポリシーよりマシンのポリシーを優先するため、LGPOのポリシーが最も優先されます。

ブラウザの拡張機能のポリシーがどこからロードされているか確認するために、エンドポイントのポリシーの結果セット(RSoP) を表示するには、rsop.mscを実行してください。実行後、以下のような結果が表示されます。