Отключить сохранение паролей в браузерах (Chrome, Edge, Firefox) с помощью GPO

Во всех современных браузере есть встроенный менеджер паролей, которые предлагает вам сохранить пароли для вебсайтов. В следующий раз, когда вы посетите такой сайт, менеджер паролей браузера может автоматически подставит сохраненный пароль. В корпоративной среде хранение паролей в браузерах обычно считается плохой практикой, поэтому администраторы предпочитают полностью отключить эту возможность. Это позволит закрыть риск утечки корпоративных учетных данных, которые могут синхронизироваться через браузер на персональные устройства пользователей. В этой статье мы покажем, как запретить сохранять пароли в браузерах Google Chrome, Edge и Firefox с помощью скриптов PowerShell или групповых политик.

Запретить сохранение паролей в настройках браузеров

Сначала рассмотрим, как вручную запретить сохранять пароли в браузерах:

• Google Chrome: Settings -> Autofill and passwords -> Google password manager -> Settings -> Offer to save password -> отключить. Для быстрого перехода в этот раздел меню просто откройте в браузере адрес chrome://password-manager/settings
• Microsoft Edge: Profiles -> Passwords -> Offer to save passwords -> Off (или перейдите по адресу edge://settings/passwords )
  Обратите внимание, что Edge позволяет дополнительно защитить сохранённые пароли с помощью мастер-пароля.

  

• Mozilla Firefox: Settings -> Logins and Passwords -> Ask to save logins and passwords for websites.

Отключить встроенный менеджер паролей в браузерах через GPO

Если вам нужно запретить пользователям сохранять пароли в браузерах на компьютерах в домене, удобнее всего воспользоваться групповыми политиками.

Скачайте и установите административные шаблоны GPO для браузера, который используется в вашей среде. Ниже есть ссылки на загрузку файлов ADMX шаблонов для разных браузеров:

• Google Chrome — https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
• Edge — https://aka.ms/EdgeEnterprise (Get policy files)
• Mozilla Firefox — https://github.com/mozilla/policy-templates/releases

Распакуйте архивы и скопируйте ADMX (и опционально ADML) файлы в центральное хранилище административных шаблонов GPO на контроллере домена ( \winitpro.locSYSVOLwinitpro.locPoliciesPolicyDefinitions ).

Затем откройте консоль управления доменными GPO ( gpmc.msc ). Создайте новую GPO и назначьте ее на OU с пользователями. В зависимости от браузера нужно включить следующие параметры GPO:

• Google Chrome: User Configuration -> Policies -> Administrative Templates -> Google Chrome -> Enable saving passwords to the password manager = Disabled
• Microsoft Edge: User Configuration -> Policies -> Administrative Templates -> Microsoft Edge -> Microsoft Edge/Password manager and protection -> Enable saving passwords to the password manager = Disabled
• Mozilla Firefox: User Configuration -> Policies -> Administrative Templates -> Mozilla -> Firefox. Отключите здесь следующие параметры: Offer to save logins = Disabled, Password Manager= Disabled.

Обновите настройки групповых политик в сессии пользователя. Проверьте, что браузер теперь не предлагает сохранить пароли и встроенный менеджер паролей стал недоступен.

На скриншоте ниже видно, что в Edge появилась надпись, что настройками браузера управляет организация, а кнопка разрешить сохранить пароли в браузере стала неактивной.

Если вы не хотите устанавливать ADMX шаблоны для браузеров, вы можете запретить сохранение паролей через реестр.

• Google Chrome:

  [HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChrome] "PasswordManagerEnabled"=dword:00000000
• Microsoft Edge:

  [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftEdge] "PasswordManagerEnabled"=dword:00000000 

• Firefox:

  [HKEY_LOCAL_MACHINESoftwarePoliciesMozillaFirefox] "PasswordManagerEnabled"=dword:00000000 

Вы можете распространить эти параметры реестра с помощью Group Policy Preferences. Также можно создать ключи реестра с помощью PowerShell скрипта. Например:

$KeyPath = "HKLM:SOFTWAREPoliciesGoogleChrome" $ValueName = "PasswordManagerEnabled" $ValueData = "0" $test = test-path -path $KeyPath if(-not($test)){    New-Item -Path $KeyPath -Force    New-ItemProperty -Path $KeyPath -Name $ValueName -Value $ValueData -PropertyType DWord -Force } 

Скрипты для очистки сохраненных паролей в браузерах

Если вам нужно удалить пароли, сохраненные пользователем в браузере, воспользуйтесь следующими скриптами PowerShell. Скрипт сначала завершает запущенный процесс браузера и потом удаляет файл, в котором хранятся сохраненные пароли:

Google Chrome:

Get-Process chrome | Stop-process -force
Remove-Item "$env:USERPROFILEAppDataLocalGoogleChromeUser DataDefaultLogin Data"

Microsoft Edge:

taskkill /IM msedge.exe /F
Remove-Item "$env:USERPROFILEAppDataLocalMicrosoftEdgeUser DataDefaultLogin Data"

Firefox:

$ItemstoDelete = Get-ChildItem -Directory -Path $env:APPDATAmozillafirefoxprofiles foreach ($item in $ItemstoDelete) {   if (Test-Path "$($item.fullname)logins.json") {Remove-item -Path "$($item.fullname)logins.json"}   if (Test-Path "$($item.fullname)key3.db") {Remove-item -Path "$($item.fullname)key2.db"}   if (Test-Path "$($item.fullname)key4.db") {Remove-item -Path "$($item.fullname)key3.db"} }