Отключить сохранение паролей в браузерах (Chrome, Edge, Firefox) с помощью GPO

Во всех современных браузере есть встроенный менеджер паролей, которые предлагает вам сохранить пароли для вебсайтов. В следующий раз, когда вы посетите такой сайт, менеджер паролей браузера может автоматически подставит сохраненный пароль. В корпоративной среде хранение паролей в браузерах обычно считается плохой практикой, поэтому администраторы предпочитают полностью отключить эту возможность. Это позволит закрыть риск утечки корпоративных учетных данных, которые могут синхронизироваться через браузер на персональные устройства пользователей. В этой статье мы покажем, как запретить сохранять пароли в браузерах Google Chrome, Edge и Firefox с помощью скриптов PowerShell или групповых политик.

Запретить сохранение паролей в настройках браузеров

Сначала рассмотрим, как вручную запретить сохранять пароли в браузерах:

• Google Chrome : Settings -> Autofill and passwords -> Google password manager -> Settings -> Offer to save password -> отключить. Для быстрого перехода в этот раздел меню просто откройте в браузере адрес chrome://password-manager/settings
• Microsoft Edge : Profiles -> Passwords -> Offer to save passwords -> Off (или перейдите по адресу edge://settings/passwords )
  Обратите внимание, что Edge позволяет дополнительно защитить сохранённые пароли с помощью мастер-пароля.

• Mozilla Firefox : Settings -> Logins and Passwords -> Ask to save logins and passwords for websites .

Отключить встроенный менеджер паролей в браузерах через GPO

Если вам нужно запретить пользователям сохранять пароли в браузерах на компьютерах в домене, удобнее всего воспользоваться групповыми политиками .

Скачайте и установите административные шаблоны GPO для браузера, который используется в вашей среде. Ниже есть ссылки на загрузку файлов ADMX шаблонов для разных браузеров:

• Google Chrome — https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
• Edge — https://aka.ms/EdgeEnterprise (Get policy files)
• Mozilla Firefox — https://github.com/mozilla/policy-templates/releases

Распакуйте архивы и скопируйте ADMX (и опционально ADML) файлы в центральное хранилище административных шаблонов GPO на контроллере домена ( \remontka.locSYSVOLremontka.locPoliciesPolicyDefinitions ).

Затем откройте консоль управления доменными GPO ( gpmc.msc ). Создайте новую GPO и назначьте ее на OU с пользователями. В зависимости от браузера нужно включить следующие параметры GPO:

• Google Chrome : User Configuration -> Policies -> Administrative Templates -> Google Chrome -> Enable saving passwords to the password manager = Disabled
• Microsoft Edge : User Configuration -> Policies -> Administrative Templates -> Microsoft Edge -> Microsoft Edge/Password manager and protection -> Enable saving passwords to the password manager = Disabled
• Mozilla Firefox : User Configuration -> Policies -> Administrative Templates -> Mozilla -> Firefox. Отключите здесь следующие параметры: Offer to save logins = Disabled , Password Manager = Disabled .

Обновите настройки групповых политик в сессии пользователя. Проверьте, что браузер теперь не предлагает сохранить пароли и встроенный менеджер паролей стал недоступен.

На скриншоте ниже видно, что в Edge появилась надпись, что настройками браузера управляет организация, а кнопка разрешить сохранить пароли в браузере стала неактивной.

Если вы не хотите устанавливать ADMX шаблоны для браузеров, вы можете запретить сохранение паролей через реестр.

• Google Chrome:

  [HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChrome]_x000D_"PasswordManagerEnabled"=dword:00000000

• Microsoft Edge:

  [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftEdge]_x000D_"PasswordManagerEnabled"=dword:00000000_x000D_

• Firefox:

  [HKEY_LOCAL_MACHINESoftwarePoliciesMozillaFirefox]_x000D_"PasswordManagerEnabled"=dword:00000000_x000D_

Вы можете распространить эти параметры реестра с помощью Group Policy Preferences . Также можно создать ключи реестра с помощью PowerShell скрипта. Например:

$KeyPath = "HKLM:SOFTWAREPoliciesGoogleChrome"_x000D_$ValueName = "PasswordManagerEnabled"_x000D_$ValueData = "0"_x000D_$test = test-path -path $KeyPath_x000D_if(-not($test)){_x000D_ New-Item -Path $KeyPath -Force_x000D_ New-ItemProperty -Path $KeyPath -Name $ValueName -Value $ValueData -PropertyType DWord -Force_x000D_}_x000D_

Скрипты для очистки сохраненных паролей в браузерах

Если вам нужно удалить пароли, сохраненные пользователем в браузере, воспользуйтесь следующими скриптами PowerShell. Скрипт сначала завершает запущенный процесс браузера и потом удаляет файл, в котором хранятся сохраненные пароли:

Google Chrome:

Get-Process chrome | Stop-process -force
Remove-Item "$env:USERPROFILEAppDataLocalGoogleChromeUser DataDefaultLogin Data"

Microsoft Edge:

taskkill /IM msedge.exe /F
Remove-Item "$env:USERPROFILEAppDataLocalMicrosoftEdgeUser DataDefaultLogin Data"

Firefox:

$ItemstoDelete = Get-ChildItem -Directory -Path $env:APPDATAmozillafirefoxprofiles_x000D_foreach ($item in $ItemstoDelete) {_x000D_ if (Test-Path "$($item.fullname)logins.json") {Remove-item -Path "$($item.fullname)logins.json"}_x000D_ if (Test-Path "$($item.fullname)key3.db") {Remove-item -Path "$($item.fullname)key2.db"}_x000D_ if (Test-Path "$($item.fullname)key4.db") {Remove-item -Path "$($item.fullname)key3.db"}_x000D_}_x000D_