In Windows können nur Admins Programme installieren. Chrome-Erweiterungen darf aber jeder hinzufügen – ein oft übersehenes Sicherheitsrisiko. Soll auch dafür die Berechtigung eines Administrators nötig sein, wendet ihr einen bewährten Trick an.
Chrome-Erweiterungen sind praktisch, aber auch ein Einfallstor für Malware und unerwünschte Software. Gerade in Unternehmen oder auf gemeinsam genutzten Rechnern ist es sinnvoll, die Installation von Browser-Add-Ons zu beschränken. Google Chrome speichert alle Erweiterungen lokal im Benutzerprofil – und genau hier setzen wir mit den Windows-Dateiberechtigungen an.
Schritt 1: Chrome-Profil identifizieren
Zunächst müsst ihr herausfinden, welches Chrome-Profil eingeschränkt werden soll. Der Pfad kann durch Eingabe von chrome://version in die URL-Leiste des Browsers abgerufen werden. Alternativ findet ihr das Profil unter „Einstellungen > Über Chrome“ oder durch Klick auf euer Profilbild oben rechts.
Seit 2024 nutzt Chrome ein verbessertes Profil-Management. Die Standard-Profile heißen meist „Default“, „Profile 1“, „Profile 2“ usw. Bei mehreren Profilen ist es wichtig, das richtige zu identifizieren.
Schritt 2: Ordner-Berechtigungen anpassen
Jetzt als Administrator ein neues Explorer-Fenster öffnen und den Pfad aufrufen:
C:UsersBeispielAppDataLocalGoogleChromeUser DataProfil-Name
Dort die Eigenschaften des Ordners Extensions öffnen und zum Tab Sicherheit wechseln. In der Liste dann das Konto auswählen, das keine Erweiterungen hinzufügen oder ändern können soll. Nach einem Klick auf Bearbeiten lassen sich die Haken bei Schreiben entfernen.
Alternative: Gruppenrichtlinien nutzen
Seit Chrome Version 110 (2023) bietet Google erweiterte Enterprise-Policies. Über Gruppenrichtlinien könnt ihr die Installation von Erweiterungen zentral steuern. Dazu öffnet ihr gpedit.msc und navigiert zu:
Computerkonfiguration > Administrative Vorlagen > Google Chrome > Erweiterungen
Hier lassen sich White- und Blacklists für Erweiterungen definieren oder die Installation komplett verbieten. Diese Methode funktioniert allerdings nur in Windows Pro, Enterprise und Education.
Registry-Hack für alle Windows-Versionen
Für Windows Home-Nutzer gibt es einen Registry-Trick. Öffnet regedit als Administrator und navigiert zu:
HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChrome
Erstellt einen neuen DWORD-Wert namens „ExtensionInstallBlacklist“ und setzt ihn auf „*“ um alle Erweiterungen zu blockieren. Alternativ könnt ihr mit „ExtensionInstallWhitelist“ nur bestimmte Erweiterungen erlauben.
Moderne Browser-Management-Tools
2025 hat sich das Browser-Management professionalisiert. Tools wie Microsoft Intune, VMware Workspace ONE oder spezialisierte Lösungen wie BrowserStack ermöglichen granulare Kontrolle über Browser-Einstellungen. Diese Lösungen sind besonders für Unternehmen interessant, die hunderte Arbeitsplätze verwalten.
Was passiert bei blockierten Erweiterungen?
Wenn ein Benutzer versucht, eine Erweiterung zu installieren, erscheint eine Fehlermeldung. Bereits installierte Erweiterungen bleiben funktionsfähig, können aber nicht mehr aktualisiert werden. Das kann Sicherheitslücken zur Folge haben – ein Abwägungspunkt bei der Umsetzung.
Edge und Firefox einbeziehen
Vergisst nicht die anderen Browser. Microsoft Edge speichert Erweiterungen unter:
C:Users[Name]AppDataLocalMicrosoftEdgeUser DataDefaultExtensions
Firefox nutzt ein anderes System mit Profil-Ordnern unter:
C:Users[Name]AppDataRoamingMozillaFirefoxProfiles
Empfehlung für die Praxis
Die Ordner-Berechtigungen sind die einfachste Lösung für einzelne Rechner. In Unternehmen solltet ihr auf Gruppenrichtlinien oder moderne Device-Management-Lösungen setzen. Wichtig: Kommuniziert die Änderungen transparent, damit Nutzer verstehen, warum bestimmte Funktionen nicht verfügbar sind.
Denkt auch daran, dass zu restriktive Einstellungen die Produktivität beeinträchtigen können. Eine Whitelist mit wichtigen Business-Erweiterungen wie Passwort-Managern oder VPN-Tools ist oft der bessere Kompromiss als ein komplettes Verbot.
Zuletzt aktualisiert am 04.04.2026
