“端点验证”收集的设备属性

本文档详细介绍了端点验证从访问贵组织资源的设备收集的设备属性。端点验证会收集设备属性设备身份属性可配置的设备属性Chrome 浏览器属性

设备属性

下表介绍了端点验证功能收集的可用于创建访问权限级别的属性:

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
is_secured_with_screenlock 一个布尔值,用于指示设备是否启用了屏幕锁定功能。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_secured_with_screenlock == true
encryption_status

设备的加密状态。可能的值:

  • ENCRYPTION_UNSPECIFIED = 0 表示设备的加密状态未指定或未知。
  • ENCRYPTION_UNSUPPORTED = 1 表示设备不支持加密。
  • ENCRYPTION_UNENCRYPTED = 2 表示设备支持加密,但未加密。
  • ENCRYPTED = 3 表示设备已加密。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED
os_type

设备上运行的操作系统。 可能的值:

  • OS_UNSPECIFIED = 0 表示设备的操作系统未指定或未知。
  • DESKTOP_MAC = 1
  • DESKTOP_WINDOWS = 2
  • DESKTOP_LINUX = 3
  • DESKTOP_CHROME_OS = 6
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.os_type == OsType.DESKTOP_MAC
os_version 设备上运行的操作系统版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
  • device.os_version == "MacOS 13.4.0"
  • device.os_version == "ChromeOs 14541.0.0"
  • device.os_version == "Windows 10.0.19045"
  • device.os_version == "Linux rodete"
verified_chrome_os 一个布尔值,用于指明请求是否来自于搭载经过验证的 ChromeOS 的设备。 ChromeOS(仅适用于企业注册的设备) device.verified_chrome_os == true
model 设备的型号。
  • macOS
  • Windows
  • Linux
 device.model == "MacBookPro16,1"
is_managed_browser_profile 一个布尔值,用于指示与某台设备关联的 Chrome 内容区域帐号是否与其 Chrome 个人资料帐号相匹配。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_managed_browser_profile == true
certificates 与设备关联的证书的属性。 例如企业证书
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")
windows_domain_name Windows 计算机的域名。 Windows device.clients["bce"].data["windows_domain_name"] == "GOOGLE"
is_os_native_firewall_enabled 一个布尔值,用于指示设备是否启用了操作系统的内置防火墙。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.clients["bce"].data["is_os_native_firewall_enabled"] == true
is_secure_boot_enabled 一个布尔值,用于指示设备上是否启用了安全启动选项。 Windows device.clients["bce"].data["is_secure_boot_enabled"] == true
av_installed 设备上安装的杀毒软件产品的列表。 Windows device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true
av_enabled 在设备上安装并启用的杀毒软件产品的列表。 Windows device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true
hotfixes 在 Windows 系统上应用的修补程序列表。 Windows device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true

设备标识属性

下表介绍了端点验证功能收集的可用于识别设备的属性。这些属性不能用于创建访问权限级别。

属性名称 说明 支持的操作系统
序列号 设备的序列号。
  • macOS
  • ChromeOS(仅适用于企业注册的设备)
  • Windows
  • Linux
主机名 设备的主机名。
  • macOS
  • Windows
  • Linux
设备 ID 与设备相关联的唯一标识号。
  • macOS
  • Windows
  • Linux
Wi-Fi MAC 地址 设备的 MAC 地址。
  • macOS
  • ChromeOS
  • Windows
  • Linux

可配置的设备属性

Endpoint Verification 提供了一个选项,用于收集精细的设备属性(称为可配置的设备属性),例如文件、文件夹和二进制文件的元数据属性、注册表条目以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。

默认情况下,此选项未启用。如需收集这些精细的可配置设备属性,请配置端点验证设置

下表介绍了文件、文件夹和二进制文件属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
presence

表示文件、文件夹或二进制文件是否存在。可能的值:

  • VALUE_UNKNOWN = 0 表示由于评估之前发生的失败,未知是否存在未知。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问该信号的资源。
  • VALUE_NOT_FOUND = 2 表示未找到资源。
  • VALUE_FOUND = 3 表示已找到资源。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
is_running 指示二进制文件是否正在运行。对于文件或文件夹,该参数的值始终为 false。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true
sha256_hash

提供文件或二进制文件的 SHA-256 哈希值。对于文件夹,它始终是空字符串。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""
public_key_sha256

提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹,它始终是空字符串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")
product_name

可执行文件的产品名称。对于文件或文件夹,它始终是空字符串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"
version

可执行文件的产品版本。对于文件或文件夹,它始终是空字符串。

  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"

下表基于 plist 的注册表条目和属性来描述属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
presence

表示存在注册表或 plist 条目。可能的值:

  • VALUE_UNKNOWN = 0 表示由于评估之前发生的失败,未知是否存在未知。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问该信号的资源。
  • VALUE_NOT_FOUND = 2 表示未找到资源。
  • VALUE_FOUND = 3 表示已找到资源。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
  • device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
value

提供存储在注册表或 plist 中的数据。可能的值:

  • macOS:NSStringNSNumber
  • Windows:REG_SZREG_DWORDREG_QWORD

字符串不得超过 1024 个字节。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
  • device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 浏览器属性

下表介绍了端点验证功能收集的 Google Chrome 浏览器属性,您可以使用这些属性来创建访问权限级别:

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
versionAtLeast(min_version) Chrome 浏览器的最低版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.versionAtLeast("88.0.4321.44")
management_state

设备的浏览器管理状态。 如果某个浏览器已注册 Chrome 浏览器云管理,则会被视为受管理浏览器。可能的值:

  • CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0 表示设备的管理状态未指定或未知。
  • CHROME_MANAGEMENT_STATE_UNMANAGED = 1 表示浏览器或个人资料不由任何组织管理。
  • CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2 表示浏览器由其他组织管理。
  • CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3 表示浏览器不受管理,而个人资料由组织管理。
  • CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4 表示浏览器和个人资料由组织管理。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN
is_file_upload_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件上传分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_upload_analysis_enabled == true
is_file_download_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件下载分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_download_analysis_enabled == true
is_bulk_data_entry_analysis_enabled 一个布尔值,用于指示设备是否启用了批量文本(粘贴)分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_bulk_data_entry_analysis_enabled == true
is_security_event_analysis_enabled 一个布尔值,用于指示设备上是否启用了安全事件报告连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_security_event_analysis_enabled == true
is_realtime_url_check_enabled 一个布尔值,用于指示是否已在设备上启用实时网址检查连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_realtime_url_check_enabled == true
safe_browsing_protection_level

浏览器的浏览保护级别政策。可能的值:

  • SAFE_BROWSING_LEVEL_UNSPECIFIED = 0 表示未设置浏览器保护级别政策。
  • SAFE_BROWSING_LEVEL_DISABLED = 1 表示设备停用了浏览器保护级别政策,并且设备未受到保护,无法防范危险的网站、下载内容和扩展程序。
  • SAFE_BROWSING_LEVEL_STANDARD = 2 表示设备已受到保护,无法防范已知危险的网站、下载内容和扩展程序。
  • SAFE_BROWSING_LEVEL_ENHANCED = 3
    • 表示设备会主动防范危险的网站、下载内容和扩展程序。
  • Mac
  • ChromeOS
  • Windows
  • Linux
 device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD
is_site_isolation_enabled 一个布尔值,用于指明是否为每个网站启用了网站隔离
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_site_isolation_enabled == true
is_built_in_dns_client_enabled 一个布尔值,用于指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_built_in_dns_client_enabled == true
password_protection_warning_trigger

浏览器的密码保护警告触发条件政策。可能的值包括:

  • PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0 表示未设置密码保护警告触发政策。
  • PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1 表示一律不检测到密码重复使用行为。
  • PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2 表示当最终用户在不允许的网站上重复使用受保护的密码时,系统会显示警告。
  • PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3 表示当最终用户在钓鱼式攻击网站上重复使用受保护的密码时,系统会显示警告。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE
is_chrome_remote_desktop_app_blocked 指示 Chrome 远程桌面远程桌面应用是否被屏蔽的布尔值。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_chrome_remote_desktop_app_blocked == true
is_chrome_cleanup_enabled 一个布尔值,用于指示是否已启用 Chrome 清理工具 Windows device.chrome.is_chrome_cleanup_enabled == true
is_third_party_blocking_enabled 一个布尔值,用于指明是否已启用第三方软件注入屏蔽 Windows device.chrome.is_third_party_blocking_enabled == true

后续步骤