“端点验证”收集的设备属性

本文档详细介绍了 通过访问贵组织资源的设备进行端点验证。 “端点验证”会收集 设备属性 设备身份属性可配置的设备属性以及 Chrome 浏览器属性

设备属性

下表介绍了 您可以使用端点验证来创建访问权限级别:

属性名称 说明 支持的操作系统 CEL 表达式
is_secured_with_screenlock 一个布尔值,用于指明屏幕锁定函数是否 。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.is_secured_with_screenlock == true
encryption_status

设备的加密状态。可能的值:

  • ENCRYPTION_UNSPECIFIED = 0 表示 未指定或未知设备的加密状态。
  • ENCRYPTION_UNSUPPORTED = 1 表示设备不支持加密。
  • ENCRYPTION_UNENCRYPTED = 2 表示设备支持加密,但未加密。
  • ENCRYPTED = 3 表示设备已加密。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED
os_type

设备上运行的操作系统。 可能的值:

  • OS_UNSPECIFIED = 0 表示设备的操作系统未指定或未知。
  • DESKTOP_MAC = 1
  • DESKTOP_WINDOWS = 2
  • DESKTOP_LINUX = 3
  • DESKTOP_CHROME_OS = 6
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.os_type == OsType.DESKTOP_MAC
os_version 设备上运行的操作系统的版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
  • device.os_version == "MacOS 13.4.0"
  • device.os_version == "ChromeOs 14541.0.0"
  • device.os_version == "Windows 10.0.19045"
  • device.os_version == "Linux rodete"
verified_chrome_os 一个布尔值,指示请求是否来自装有经过验证的 ChromeOS 的设备。 ChromeOS(仅适用于已注册到企业的设备) device.verified_chrome_os == true
model 设备的型号。
  • macOS
  • Windows
  • Linux
device.model == "MacBookPro16,1"
is_managed_browser_profile 一个布尔值,用于指明 Chrome 内容区域账号 与设备关联的 Chrome 个人资料账号一致。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.is_managed_browser_profile == true
certificates 与设备关联的证书的属性。 例如,企业证书
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")
windows_domain_name Windows 计算机的域名。 Windows device.clients["bce"].data["windows_domain_name"] == "GOOGLE"
is_os_native_firewall_enabled 一个布尔值,指示操作系统的 内置防火墙。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.clients["bce"].data["is_os_native_firewall_enabled"] == true
is_secure_boot_enabled 一个布尔值,表示设备上是否启用了安全启动选项。 Windows device.clients["bce"].data["is_secure_boot_enabled"] == true
av_installed 设备上安装的防病毒软件产品列表。 Windows device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true
av_enabled 设备上已安装并启用的防病毒软件产品的列表。 Windows device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true
hotfixes 在 Windows 系统上应用的补丁列表。 Windows device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true

设备身份属性

下表介绍了 可用于识别设备的端点验证。这些属性不能 创建访问权限级别

属性名称 说明 支持的操作系统
序列号 设备的序列号。
  • macOS
  • ChromeOS(仅适用于已注册到企业的设备)
  • Windows
  • Linux
主机名 设备的主机名。
  • macOS
  • Windows
  • Linux
设备 ID 与设备关联的唯一标识符。
  • macOS
  • Windows
  • Linux
Wi-Fi MAC 地址 设备的 MAC 地址。
  • macOS
  • ChromeOS
  • Windows
  • Linux

可配置的设备属性

Endpoint Verification 提供了一个选项,用于收集称为可配置的设备属性的精细设备属性,例如文件、文件夹和二进制文件的元数据属性;注册表条目;以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。

默认情况下,此选项未启用。如需收集这些可配置的精细设备属性,请配置端点验证设置

下表介绍了文件、文件夹和二进制文件属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用该属性的示例
presence

表示文件、文件夹或二进制文件的存在。可能的值:

  • VALUE_UNKNOWN = 0 表示由于在评估之前发生了失败,因此未知是否存在。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问信号的资源。
  • VALUE_NOT_FOUND = 2 表示找不到资源。
  • VALUE_FOUND = 3 表示找到了资源。
  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
is_running 指示二进制文件是否正在运行。对于文件或文件夹,此属性始终为 false。
  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true
sha256_hash

提供文件或二进制文件的 SHA-256 哈希值。对于文件夹,此字段始终为空字符串。

  • macOS
  • Windows
  • Linux
device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""
public_key_sha256

提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹,该字段始终为空字符串。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")
product_name

可执行文件的商品名称。对于文件或文件夹,此字段始终为空字符串。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"
version

可执行文件的产品版本。对于文件或文件夹,此字段始终为空字符串。

  • macOS
  • Windows
device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"

下表描述了基于注册表条目和 plist 属性的属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用该属性的示例
presence

指示是否存在注册表或 plist 条目。可能的值:

  • VALUE_UNKNOWN = 0 表示由于在评估之前发生了失败,因此未知是否存在。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问信号的资源。
  • VALUE_NOT_FOUND = 2 表示找不到资源。
  • VALUE_FOUND = 3 表示找到了资源。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
  • device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
value

提供存储在注册表或 plist 中的数据。可能的值:

  • macOS:NSStringNSNumber
  • Windows:REG_SZREG_DWORDREG_QWORD

字符串的长度上限为 1024 字节。

  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
  • device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 浏览器属性

下表介绍了 Google Chrome 浏览器通过 您可以使用端点验证来创建访问权限级别:

属性名称 说明 支持的操作系统 CEL 表达式中使用该属性的示例
versionAtLeast(min_version) Chrome 浏览器的最低版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.versionAtLeast("88.0.4321.44")
management_state

设备的浏览器管理状态。 如果浏览器已注册 Chrome 浏览器云管理,则会被视为受管理的浏览器。可能的值:

  • CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0 表示 设备的管理状态未指定或未知。
  • CHROME_MANAGEMENT_STATE_UNMANAGED = 1 表示 浏览器或个人资料不由任何组织管理。
  • CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2 表示 浏览器是由某个其他组织管理的。
  • CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3 表示 浏览器不受管理,个人资料由组织管理。
  • CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4 表示浏览器和个人资料由组织管理。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN
is_file_upload_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件上传分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_file_upload_analysis_enabled == true
is_file_download_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件下载分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_file_download_analysis_enabled == true
is_bulk_data_entry_analysis_enabled 一个布尔值,用于指示设备上是否启用了批量文本(粘贴)分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_bulk_data_entry_analysis_enabled == true
is_security_event_analysis_enabled 一个布尔值,指示设备上是否启用了安全事件报告连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_security_event_analysis_enabled == true
is_realtime_url_check_enabled 一个布尔值,用于指示设备上是否启用了实时网址检查连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_realtime_url_check_enabled == true
safe_browsing_protection_level

浏览器的浏览保护级别政策。可能的值:

  • SAFE_BROWSING_LEVEL_UNSPECIFIED = 0 表示浏览器 未设置该设备的保护级别政策。
  • SAFE_BROWSING_LEVEL_DISABLED = 1 表示已为设备停用浏览器保护级别政策,并且设备未受到针对危险网站、下载内容和扩展程序的保护。
  • SAFE_BROWSING_LEVEL_STANDARD = 2 表示设备受到保护,可防范已知危险的网站、下载内容和扩展程序。
  • SAFE_BROWSING_LEVEL_ENHANCED = 3
  • 表示设备已启用主动保护功能,可防范危险的网站、下载内容和扩展程序。
  • Mac
  • ChromeOS
  • Windows
  • Linux
device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD
is_site_isolation_enabled 一个布尔值,用于指明网站隔离功能是否已启用 。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_site_isolation_enabled == true
is_built_in_dns_client_enabled 一个布尔值,指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_built_in_dns_client_enabled == true
password_protection_warning_trigger

浏览器的密码保护警告触发政策。可能的值:

  • PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0 表示未设置密码保护警告触发器政策。
  • PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1 表示 绝不会检测到重复使用密码的情况
  • PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2 表示当最终用户在未获许可的网站上重复使用受保护的密码时,系统会显示警告。
  • PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3 表示当最终用户在钓鱼式网站上重复使用受保护的密码时,系统会显示警告。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE
is_chrome_remote_desktop_app_blocked 一个布尔值,指示 Chrome 远程桌面远程应用是否已被屏蔽。
  • macOS
  • ChromeOS
  • Windows
  • Linux
device.chrome.is_chrome_remote_desktop_app_blocked == true
is_chrome_cleanup_enabled 一个布尔值,用于指示是否已启用 Chrome 清理工具 Windows device.chrome.is_chrome_cleanup_enabled == true
is_third_party_blocking_enabled 一个布尔值,用于指示是否已启用第三方软件注入屏蔽功能。 Windows device.chrome.is_third_party_blocking_enabled == true

后续步骤