As an administrator, you can control whether users can access other computers from Chrome using Chrome Remote Desktop.
Note: The parent registry keys you use to control the use of Chrome Remote Desktop may not exist even with Chrome installed. If not, you will need to create them. The "1" and "0" values are of type DWORD-32.
Control Chrome Remote Desktop network settings
To enable Chrome Remote Desktop for local area network or VPN users only, disable firewall traversal by setting the RemoteAccessHostFirewallTraversal policy on Windows® Mac® and Linux® machines.
To disable firewall traversal:
- Windows: Set HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal to 0.
- Mac: Set RemoteAccessHostFirewallTraversal to NO in ~/Library/Preferences/com.google.Chrome.plist.
- Linux: Set RemoteAccessHostFirewallTraversal to FALSE in /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json.
For details on how to define policy settings for Linux, see Set policies
Block Chrome Remote Desktop functionality
To prevent users on your network from remotely accessing other computers or to prevent computers on your network from being remotely accessed with Chrome Remote Desktop, block the appropriate Chrome Remote Desktop URLs.
Chrome Remote Desktop clients include a website [//remotedesktop.google.com] and mobile apps for Android and iOS. All three use the same service API so blocking it will prevent all Chrome Remote Desktop functionality on your network.
Blocking //remotedesktop-pa.googleapis.com prevents all Chrome Remote Desktop functionality for both outgoing connections from clients on your network and incoming connections to hosts on your network. Though not necessary if the API is blocked, you can also block //remotedesktop.google.com to prevent the web client from being loaded.
Enable Curtain mode for Chrome Remote Desktop
You can enable Chrome Remote Desktop to prevent someone physically present at a host machine from seeing what a user is doing when remotely connected. For more information about Curtain mode, see Access another computer with Chrome Remote Desktop.
Steps for all Windows installations:
Note: This feature only works on Windows devices running Windows Professional, Ultimate, Enterprise, or Server.
Using Regedit, set the following keys:
- HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain to 1.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections to 0.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication to 0.
Additional registry key for Windows 10 installations:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer to 1.
Important: If your session terminates immediately, you may have missed a step. Make sure you have completed all the steps above.
You can also copy and run the following command from an elevated command line to set the required registry key values and force them to take effect:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
For more information on these keys and values, see Configure Server Authentication and Encryption Levels.
Steps for Mac installations:
- Open a terminal window.
-
Set the default value of RemoteAccessHostRequireCurtain to true using the defaults command for both the current user and root:
defaults write com.google.Chrome RemoteAccessHostRequireCurtain -boolean true
sudo defaults write com.google.Chrome RemoteAccessHostRequireCurtain -boolean true
Als Administrator können Sie steuern, ob Nutzer mit Chrome Remote Desktop über Chrome auf andere Computer zugreifen dürfen.
Hinweis: Die übergeordneten Registrierungsschlüssel, mit denen Sie die Verwendung von Chrome Remote Desktop steuern, sind möglicherweise nicht vorhanden, obwohl Chrome installiert ist. In einem solchen Fall müssen Sie sie erstellen. Die Werte "1" und "0" sind vom Typ "DWORD-32".
Netzwerkeinstellungen für Chrome Remote Desktop verwalten
Wenn Sie Chrome Remote Desktop nur für LAN- oder VPN-Nutzer aktivieren möchten, müssen Sie die Firewallausnahme deaktivieren, indem Sie die Richtlinie RemoteAccessHostFirewallTraversal auf Windows®-, Mac®- und Linux®-Rechnern festlegen.
So deaktivieren Sie die Firewallausnahme:
- Windows: Setzen Sie HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal auf 0.
- Mac: Setzen Sie RemoteAccessHostFirewallTraversal unter ~/Library/Preferences/com.google.Chrome.plist auf NO [Nein].
- Linux: Setzen Sie RemoteAccessHostFirewallTraversal unter /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json auf FALSE [Falsch].
Weitere Informationen zum Definieren von Richtlinieneinstellungen für Linux finden Sie unter Richtlinien festlegen.
Chrome Remote Desktop blockieren
Wenn Sie verhindern möchten, dass in Ihrem Netzwerk über Chrome Remote Desktop aus der Ferne auf andere Computer zugegriffen wird, blockieren Sie die entsprechenden Chrome Remote Desktop-URLs.
Zu den Chrome Remote Desktop-Clients gehören die Website //remotedesktop.google.com und mobile Apps für Android sowie iOS. Alle drei verwenden dieselbe Service-API. Wenn Sie sie blockieren, werden alle Funktionen von Chrome Remote Desktop in Ihrem Netzwerk blockiert.
Wenn Sie //remotedesktop-pa.googleapis.com blockieren, werden alle Chrome Remote Desktop-Funktionen sowohl für ausgehende Verbindungen von Clients in Ihrem Netzwerk als auch für eingehende Verbindungen zu Hosts in Ihrem Netzwerk blockiert. Sie können außerdem //remotedesktop.google.com blockieren. Dadurch wird verhindert, dass der Webclient geladen wird. Wenn die API bereits blockiert wurde, ist das jedoch nicht erforderlich.
Vorhangmodus für Chrome Remote Desktop aktivieren
Sie können Chrome Remote Desktop aktivieren, um zu verhindern, dass ein Nutzer eines Hostcomputers sieht, welche Aktionen ein anderer Nutzer über eine Remote-Verbindung ausführt. Weitere Informationen zum Vorhangmodus finden Sie unter Mit Chrome Remote Desktop auf einen anderen Computer zugreifen.
Schritte für alle Windows-Installationen:
Hinweis: Diese Funktion ist nur auf Windows-Geräten verfügbar, auf denen Windows Professional, Ultimate, Enterprise oder Server ausgeführt wird.
Legen Sie mithilfe von "Regedit" die folgenden Schlüssel fest:
- HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain auf 1.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections auf 0.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication auf 0.
Zusätzlicher Registrierungsschlüssel für Windows 10-Installationen:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer auf 1.
Wichtig: Wenn Ihre Sitzung sofort beendet wird, haben Sie möglicherweise einen Schritt ausgelassen. Vergewissern Sie sich, dass Sie alle oben genannten Schritte ausgeführt haben.
Sie können auch den folgenden Befehl über eine Befehlszeile mit erhöhten Rechten kopieren und ausführen, um die erforderlichen Registrierungsschlüsselwerte festzulegen und zu erzwingen:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
Weitere Informationen zu diesen Schlüsseln und Werten finden Sie im englischsprachigen Artikel Configure Server Authentication and Encryption Levels [Serverauthentifizierungs- und Verschlüsselungsebenen konfigurieren].
Schritte für Mac-Installationen:
- Öffnen Sie ein Terminalfenster.
-
Setzen Sie den Standardwert von RemoteAccessHostRequireCurtain auf true [wahr]. Verwenden Sie dabei den Standardbefehl für den aktuellen Nutzer und das Stammverzeichnis:
defaults write com.google.Chrome RemoteAccessHostRequireCurtain -boolean true
sudo defaults write com.google.Chrome RemoteAccessHostRequireCurtain -boolean true