Die Erweiterung per Active-Directory-GPO verteilen
Verteilen Sie die Zeuslock-Browser-Erweiterung per Gruppenrichtlinie auf domänengebundene PCs. Die Erweiterung wird auf Ihrem eigenen Webserver gehostet (kein Store) und funktioniert für Edge und Chrome.
Kein Intune oder Google Workspace? Sie können die Erweiterung per Gruppenrichtlinie (GPO) verteilen. Hier liegt die Erweiterung auf Ihrem eigenen Webserver (kein Store), und die Gruppenrichtlinie weist jeden PC an, sie zu installieren. Das funktioniert für Edge und Chrome. Die Einrichtung dauert länger, ist aber nur einmal nötig.
Was Sie benötigen
- Eine Active-Directory-Domäne mit der Gruppenrichtlinien-Verwaltungskonsole (
gpmc.msc). - Windows 10/11-PCs, die der Domäne beigetreten sind, in einer OU.
- Ein Webserver in Ihrem Netzwerk (IIS eignet sich gut), um zwei Dateien zu hosten.
- Ihr API-Schlüssel sowie Edge und/oder Chrome auf den PCs.
Schritt 1 — Die Erweiterungsdateien holen
Laden Sie zeus-extension.crx (die Erweiterung), zeus-extension.pem (einen privaten Schlüssel — sicher aufbewahren für künftige Updates) und extension-id.txt herunter. Überall verwenden Sie einen Wert wieder, die Erweiterungs-ID:
hgooghpcnalhpjbemnnmdoabfjhchoipSchritt 2 — Die Update-Datei erstellen
Browser benötigen eine kleine update.xml, die auf die Erweiterung verweist:
<?xml version='1.0' encoding='UTF-8'?>
<gupdate xmlns='http://www.google.com/update2/response' protocol='2.0'>
<app appid='hgooghpcnalhpjbemnnmdoabfjhchoip'>
<updatecheck codebase='http://YOUR_SERVER/zeus/zeus-extension.crx' version='3.24.0' />
</app>
</gupdate>Ersetzen Sie YOUR_SERVER durch den Namen oder die IP-Adresse Ihres Servers.
Schritt 3 — Die Dateien auf Ihren Webserver legen
- Installieren Sie IIS und erstellen Sie den Ordner
C:\inetpub\wwwroot\zeus. - Kopieren Sie
zeus-extension.crxundupdate.xmlhinein. - Erlauben Sie IIS, die Erweiterung auszuliefern, indem Sie einen MIME-Typ hinzufügen — Erweiterung
.crx, Typapplication/x-chrome-extension. (Ohne dies schlägt der Download fehl.) - Testen Sie von einem anderen PC: Öffnen Sie
http://YOUR_SERVER/zeus/update.xml(Sie sollten XML sehen) und der.crx-Link sollte heruntergeladen werden.
Schritt 4 — Die Browser-Richtlinienvorlagen hinzufügen
Damit die Gruppenrichtlinie die Erweiterungseinstellungen anzeigt, kopieren Sie die ADMX-Vorlagen von Edge und Chrome in den Central Store Ihrer Domäne (den Ordner PolicyDefinitions). Öffnen Sie dann gpmc.msc, bearbeiten Sie eine GPO und prüfen Sie, dass Microsoft Edge und Google Chrome nun unter Computerkonfiguration → Administrative Vorlagen erscheinen, jeweils mit einem Abschnitt Erweiterungen.
Schritt 5 — Den PCs sagen, dass sie die Erweiterung installieren sollen
Erstellen Sie eine neue GPO, die mit Ihrer Arbeitsplatz-OU verknüpft ist, und aktivieren Sie die erzwungene Installation:
Edge: Computerkonfiguration → Administrative Vorlagen → Microsoft Edge → Erweiterungen → „Steuern, welche Erweiterungen unbeaufsichtigt installiert werden“ → Aktiviert → Anzeigen → fügen Sie hinzu:
hgooghpcnalhpjbemnnmdoabfjhchoip;http://YOUR_SERVER/zeus/update.xmlChrome: Computerkonfiguration → Administrative Vorlagen → Google → Google Chrome → Erweiterungen → „Liste der zwangsweise installierten Apps und Erweiterungen konfigurieren“ → Aktiviert → Anzeigen → fügen Sie dieselbe Zeile hinzu.
Schritt 6 — Ihre Zeuslock-Einstellungen hinzufügen
Dies gibt der Erweiterung Ihren API-Schlüssel, damit sie sich automatisch verbindet. Fügen Sie unter Computerkonfiguration → Einstellungen → Windows-Einstellungen → Registrierung die folgenden Werte hinzu, unter dem Schlüssel für jeden genutzten Browser:
- Edge:
HKLM\SOFTWARE\Policies\Microsoft\Edge\3rdparty\extensions\hgooghpcnalhpjbemnnmdoabfjhchoip\policy - Chrome:
HKLM\SOFTWARE\Policies\Google\Chrome\3rdparty\extensions\hgooghpcnalhpjbemnnmdoabfjhchoip\policy
| Einstellung | Typ | Wert |
|---|---|---|
apiUrl | REG_SZ | https://api.zeuslock.ai |
apiKey | REG_SZ | YOUR_API_KEY |
orgName | REG_SZ | Ihr Organisationsname |
enabled | REG_DWORD | 1 (Schutz an) |
blockMode | REG_DWORD | 1 = blockieren, 0 = nur warnen |
showNotifications | REG_DWORD | 1 (Hinweise anzeigen) |
allowUserConfig | REG_DWORD | 0 (Einstellungen sperren) |
Tipp: Erstellen Sie den ersten Registrierungseintrag und kopieren Sie ihn dann für die übrigen — ändern Sie jeweils nur Name und Wert.
Schritt 7 — Ausrollen und prüfen
- Führen Sie auf einem Test-PC
gpupdate /forceaus und starten Sie den Browser neu. - Öffnen Sie
edge://extensionsoderchrome://extensions— Zeuslock zeigt „Von Ihrer Organisation installiert“ und kann nicht abgeschaltet werden. - Schnelltest: Fügen Sie
4111 1111 1111 1111in ChatGPT ein und senden Sie — Sie sollten das rote Banner „SENDEN BLOCKIERT“ sehen und den Vorfall in Ihrem Dashboard.
Sobald es auf einem PC funktioniert, führen Sie gpupdate /force in der gesamten OU aus (oder lassen Sie die Richtlinie bei der nächsten Anmeldung greifen).