Chromium

Aus NComputing Knowledge Base
Wechseln zu: Navigation, Suche

In NoTouch OS sind die neuesten Versionen des Webbrowsers Chromium integriert. Chromium wird zum Beispiel für folgendes benutzt:

  • Zugriff auf webbasierte Unternehmensanwendungen - ausschließlich oder neben VDI-Verbindungen
  • Erstellen Sie ein Web-Kiosk-System mit benutzerdefinierter Hardware und NComputing NoTouch
  • Herstellen einer Verbindung mit Citrix oder anderen VDI-Verbindungen, die den Browser als Frontend verwenden

Die Verwendung von Chromium kann Ihre IT-Sicherheit beeinträchtigen. Wir möchten Sie auf die Gefahren aufmerksam machen, bevor Sie Chromium verwenden - lesen Sie hierzu den Abschnitt #Sicherheitsüberlegungen. Abhängig von Ihren Sicherheitsanforderungen, der Organisationsgröße und -kultur und dem Vertrauen in Ihre Endbenutzer empfehlen wir Ihnen sogar, Chromium möglicherweise überhaupt nicht zu verwenden!

Eine Randnotiz: Chromium ist der Standard-Web-Browser, der ausgeliefert und unterstützt wird. Andere Browser sind jedoch ebenfalls verfügbar, siehe hier: Mozilla Firefox

Grundlegende Konfiguration

Dies setzt voraus, dass Sie mit der lokalen Konfiguration von NoTouch oder über NoTouch Center vertraut sind und insbesondere, wie Serververbindungen erstellt und konfiguriert werden. Das Starten Ihres Endpunkts mit einem Chromium-Webbrowser ist einfach und erfordert nur zwei Schritte:

  1. Erstellen Sie eine Verbindung und stellen Sie den Verbindungsmodus auf "Chromium" (oder "WWW-Browser" in älteren Softwareversionen)
  2. Wenn Sie Ihren Browser mit einer bestimmten URL starten möchten, z.B. Ihrer Firmenwebseite, geben Sie diese URL in den Parameter "Verbindungsziel" ein.

Das reicht schon für das Browser-Setup - es ist wirklich so einfach! Von dort aus können Sie natürlich viele verschiedene Optionen ändern. Zum Beispiel können Sie den Client so konfigurieren, dass er nach dem Booten automatisch erscheint. Sie können alle Chromium-Optionen (Untermenü Chromium-Browser) unter den Verbindungsoptionen ändern. Siehe unten für die Konfigurationsmöglichkeiten.

Wichtiger Hinweis: In der Standardkonfiguration darf Chromium nicht viel tun, es kann nicht einmal auf das Sound/Audio-Gerät zugreifen. Setzen Sie den Parameter "Root-Rechte erzwingen" in den erweiterten Verbindungseinstellungen auf "ein" und lesen Sie weiter unten über die Auswirkungen.

Schreibschutz

Standardmäßig werden alle vom Webbrowser vorgenommenen Schreibvorgänge wie das Ändern der Einstellungen in Chromium, das Speichern von Lesezeichen, Cookies, Web-Cache usw. auf die lokale RAM-Disk geschrieben. Wenn Sie Chromium schließen und später neu starten, sind all diese Änderungen weg. Ein Neustart löscht sogar heruntergeladene Dateien. Dies macht NoTouch standardmäßig zu einem großartigen Web-Kiosk-System. Dieses Verhalten kann ebenso wie andere Aspekte des Systems geändert werden.

Sicherheitsüberlegungen

Bei VDI-Verbindungen, wie RDP, Citrix, VMware usw., findet fast keine Interaktion zwischen Anwendungen innerhalb des Benutzerdesktops und NoTouch statt. Das Ausführen eines lokalen Browsers ist anders, es ist in der Tat eine lokale Anwendung, die lokal den Code ausführt! Firefox ermöglicht es Ihren Benutzern, Linux-Anwendungen, Konfigurationsdateien herunterzuladen und somit das System zu modifizieren, Malware, Spyware, Keylogger zu installieren. Ja, typische Windows-Malware wie der Win32-Code funktioniert nicht, daher schlagen die meisten Standardangriffe fehl, aber Sie können sich nicht darauf verlassen.

Kurz gesagt, wir empfehlen Ihnen dringend filternde Proxy-Server zu installieren oder Chromium auf ein Citrix Web-Portal oder ähnliches zu beschränken. (siehe #URL-basierte Sperrszenarien)

NoTouch verfügt über mehrere Mechanismen, um dauerhafte Änderungen durch den Benutzer oder eine vom Benutzer geladene schädliche Software zu verhindern. Diese Mechanismen sind nicht unzerstörbar, aber sie bieten einen angemessenen Schutz gegen gewöhnliche Angriffe. Es gibt zwei mögliche Angriffsszenarien:

  • Ein lokaler, böswilliger Benutzer mit physischem Zugriff auf den Computer kann die Linux-Sicherheitsmechanismen überlisten, da Chromium mehr Interaktion mit dem System bietet als ein normaler VDI-Client
  • Ein lokaler Benutzer könnte eine vorbereitete Website öffnen, die eine Sicherheitslücke in Chromium ausnutzt

Beide Angriffe könnten dazu führen, dass Keylogger installiert werden (denken Sie daran, dass es auf dem Thin Client keine Benutzerdokumente gibt, die gestohlen werden können, so dass das wertvollste Gut wahrscheinlich die Tastatureingaben des Benutzers sind).

Um die Risiken so gering wie möglich zu halten, schlagen wir vor:

  • Stellen Sie sicher, dass der Parameter "Root-Rechte erzwingen" unter Verbindung->Erweitert auf "aus" steht.
  • Öffentliche Stationen, wie z. B. Empfangsterminals, sollten in einem separaten Subnetz mit gefilterter Internet- oder Serverkonnektivität untergebracht sein, aber keinen Zugriff auf das Unternehmensnetzwerk haben und regelmäßig neu installiert oder sogar PXE-gebootet werden.
  • Firmenstationen, etwa für Endbenutzer, die das Internet nutzen dürfen, sollten hinter einem filternden Proxy-Server platziert werden (wie es bei Windows-PCs ohnehin der Fall sein sollte). Wenn PCs von anderen Benutzern (z. B. nicht gesperrte Arbeitsplätze) genutzt werden können, kann ein gewisses Restrisiko nicht ausgeschlossen werden (wie bei Windows-PCs).