Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מאפייני המכשיר שנאספים על ידי Endpoint Verification

במסמך הזה מפורטים מאפייני המכשיר שנאספים על ידי אימות נקודות קצה מהמכשירים שניגשים למשאבים של הארגון. התוסף Endpoint Verification אוסף מאפייני מכשיר, מאפייני זהות מכשיר, מאפייני מכשיר שאפשר להגדיר ומאפייני דפדפן Chrome.

מאפייני המכשיר

בטבלה הבאה מפורטים המאפיינים שנאספים על ידי אימות נקודות קצה, שאפשר להשתמש בהם כדי ליצור רמות גישה.

שם המאפיין	תיאור	מערכת הפעלה נתמכת	דוגמה לשימוש במאפיין בביטויי CEL
`is_secured_with_screenlock`	ערך בוליאני שמציין אם פונקציית נעילת המסך מופעלת במכשיר.	macOS ChromeOS Windows Linux	`device.is_secured_with_screenlock == true`
`encryption_status`	סטטוס ההצפנה של המכשיר. ערכים אפשריים: ‫`ENCRYPTION_UNSPECIFIED = 0` מציין שסטטוס ההצפנה של המכשיר לא צוין או לא ידוע. ‫`ENCRYPTION_UNSUPPORTED = 1` מציין שהמכשיר לא תומך בהצפנה. ‫`ENCRYPTION_UNENCRYPTED = 2` מציין שהמכשיר תומך בהצפנה, אבל לא מוצפן. ‫`ENCRYPTED = 3` מציין שהמכשיר מוצפן.	macOS ChromeOS Windows Linux	`device.encryption_status == DeviceEncryptionStatus.ENCRYPTED`
`os_type`	מערכת ההפעלה שפועלת במכשיר. ערכים אפשריים: ‫`OS_UNSPECIFIED = 0` מציין שמערכת ההפעלה של המכשיר לא צוינה או לא ידועה. `DESKTOP_MAC = 1` `DESKTOP_WINDOWS = 2` `DESKTOP_LINUX = 3` `DESKTOP_CHROME_OS = 6`	macOS ChromeOS Windows Linux	`device.os_type == OsType.DESKTOP_MAC`
`os_version`	הגרסה של מערכת ההפעלה שפועלת במכשיר.	macOS ChromeOS Windows Linux	`device.os_version == "MacOS 13.4.0"` `device.os_version == "ChromeOs 14541.0.0"` `device.os_version == "Windows 10.0.19045"` `device.os_version == "Linux rodete"` הערה: שמות של מערכות הפעלה הם תלויי-רישיות.
`verified_chrome_os`	ערך בוליאני שמציין אם הבקשה מגיעה ממכשיר עם ChromeOS מאומת.	‫ChromeOS (רק למכשירים שרשומים ב-ChromeOS Enterprise)	`device.verified_chrome_os == true`
`model`	הדגם של המכשיר.	macOS Windows Linux	`device.model == "MacBookPro16,1"`
`is_managed_browser_profile`	ערך בוליאני שמציין אם החשבון באזור התוכן של Chrome שמשויך למכשיר תואם לחשבון בפרופיל Chrome שלו.	macOS ChromeOS Windows Linux	`device.is_managed_browser_profile == true`
`certificates`	מאפיינים של האישורים שמשויכים למכשיר. לדוגמה, אישורים של הארגון.	macOS ChromeOS Windows Linux	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")`
`windows_domain_name`	שם הדומיין של מכונת Windows.	Windows	`device.clients["bce"].data["windows_domain_name"] == "GOOGLE"`
`is_os_native_firewall_enabled`	ערך בוליאני שמציין אם חומת האש המובנית של מערכת ההפעלה מופעלת במכשיר. הערה: נדרש הכלי המקורי Endpoint Verification.	macOS ChromeOS Windows Linux	`device.clients["bce"].data["is_os_native_firewall_enabled"] == true`
`is_secure_boot_enabled`	ערך בוליאני שמציין אם האפשרות 'הפעלה מאובטחת' מופעלת במכשיר.	Windows	`device.clients["bce"].data["is_secure_boot_enabled"] == true`
`av_installed`	רשימה של מוצרי תוכנת אנטי-וירוס שמותקנים במכשיר. הערה: נדרש הכלי המקורי לאימות של נקודות קצה.	Windows	`device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true`
`av_enabled`	רשימה של מוצרי תוכנת אנטי-וירוס שמותקנים ומופעלים במכשיר. הערה: נדרש הכלי המקורי Endpoint Verification.	Windows	`device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true`
`hotfixes`	רשימה של תיקונים מהירים שמוחלים על מערכות Windows. הערה: נדרש הכלי המקורי Endpoint Verification.	Windows	`device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true`

מאפייני זהות המכשיר

בטבלה הבאה מפורטים המאפיינים שנאספים על ידי אימות נקודות קצה, שבהם אפשר להשתמש כדי לזהות מכשירים. אי אפשר להשתמש במאפיינים האלה כדי ליצור רמות גישה.

שם המאפיין	תיאור	מערכת הפעלה נתמכת
מספר סידורי	המספר הסידורי של המכשיר.	macOS ‫ChromeOS (רק למכשירים שרשומים ב-ChromeOS Enterprise) Windows Linux
שם המארח	שם המארח של המכשיר.	macOS Windows Linux
מזהה המכשיר	מספר הזיהוי הייחודי שמשויך למכשיר.	macOS Windows Linux
כתובת MAC ב-Wi-Fi	כתובת ה-MAC של המכשיר.	macOS ChromeOS Windows Linux

מאפייני מכשיר שאפשר להגדיר

אימות נקודות קצה מספק אפשרות לאסוף מאפייני מכשיר מפורטים שנקראים מאפייני מכשיר שניתנים להגדרה, כמו מאפייני מטא-נתונים של קבצים, תיקיות וקבצים בינאריים, רשומות במרשם ומאפיינים בקובץ plist. אפשר להשתמש במאפיינים האלה של הגדרות המכשיר כדי ליצור רמות גישה.

האפשרות הזו לא מופעלת כברירת מחדל. כדי לאסוף את המאפיינים האלה של המכשיר, שאפשר להגדיר אותם ברמת פירוט גבוהה, צריך להגדיר את ההגדרות של אימות נקודות קצה.

בטבלה הבאה מתוארים המאפיינים של הקובץ, התיקייה והקובץ הבינארי.

שם המאפיין	תיאור	מערכת הפעלה נתמכת	דוגמה לשימוש במאפיין בביטויי CEL
`presence`	מציין את הנוכחות של קובץ, תיקייה או קובץ בינארי. ערכים אפשריים: ‫`VALUE_UNKNOWN = 0` מציין שהנוכחות לא ידועה בגלל כשל שהתרחש לפני ההערכה. ‫`VALUE_INACCESSIBLE = 1` מציין שלארגון אין גישה למשאב של האות. ‫`VALUE_NOT_FOUND = 2` מציין שהמשאב לא נמצא. ‫`VALUE_FOUND = 3` מציין שהמשאב נמצא.	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND`
`is_running`	מציין אם קובץ בינארי פועל. הערך תמיד יהיה false עבור קובץ או תיקייה.	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true`
`sha256_hash`	הפונקציה מחזירה גיבוב SHA-256 של קובץ או קובץ בינארי. הערך הזה הוא תמיד מחרוזת ריקה עבור תיקייה. הערה: השוואות של מחרוזות הן תלויות אותיות רישיות.	macOS Windows Linux	`device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""`
`public_key_sha256`	מספק רשימה של ערכי גיבוב (hash) SHA-256 של המפתחות הציבוריים שמשמשים לחתימה על קובץ ההפעלה. הערך הוא תמיד מחרוזת ריקה לקובץ או לתיקייה. הערה: השוואות של מחרוזות הן תלויות-רישיות.	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")`
`product_name`	שם המוצר של הקובץ הניתן להפעלה. הערך הוא תמיד מחרוזת ריקה לקובץ או לתיקייה. הערה: השוואות של מחרוזות הן תלויות-רישיות.	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"`
`version`	גרסת המוצר של קובץ ההפעלה. הערך הוא תמיד מחרוזת ריקה לקובץ או לתיקייה. הערה: השוואות של מחרוזות הן תלויות-רישיות.	macOS Windows	`device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"`

בטבלה הבאה מפורטים המאפיינים על סמך רשומות הרישום והמאפיינים של קובץ plist.

שם המאפיין תיאור מערכת הפעלה נתמכת דוגמה לשימוש במאפיין בביטויי CEL

presence

מציין את הנוכחות של רשומה או רשומה ב-plist. ערכים אפשריים:

‫VALUE_UNKNOWN = 0 מציין שהנוכחות לא ידועה בגלל כשל שהתרחש לפני ההערכה.
‫VALUE_INACCESSIBLE = 1 מציין שלארגון אין גישה למשאב של האות.
‫VALUE_NOT_FOUND = 2 מציין שהמשאב לא נמצא.
‫VALUE_FOUND = 3 מציין שהמשאב נמצא.

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND

value

מספק את הנתונים שמאוחסנים במאגר או בקובץ plist. ערכים אפשריים:

macOS: ‏ NSString או NSNumber
‫Windows: ‏ REG_SZ,‏ REG_DWORD או REG_QWORD

המחרוזות מוגבלות ל-1,024 בייט.

macOS
Windows

device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

מאפיינים של דפדפן Chrome

דפדפן Chrome הוא פלטפורמת נקודות הקצה של Chrome Enterprise Premium שמבוססת על גישת אפס אמון, ומאפשרת לעובדים בארגונים לעבוד מכל מקום בצורה מאובטחת. ‫Chrome Enterprise Premium משולב באופן מקורי בדפדפן Chrome ומציע ניהול מרכזי של מדיניות אבטחה, הגנה על נקודות קצה ללא סוכן וגישה משולבת של אפס אמון.

‫Chrome Enterprise Premium מציע את היכולות הבאות לאבטחת נקודות קצה:

הגנה על נתונים: מניעת דליפה של מידע אישי רגיש (לדוגמה, פרטים אישיים מזהים) בקבצים שמועברים ובתוכן שמועלה על ידי הדפדפן.
הגנה מפני איומים: הגנה מפני העברות של תוכנות זדוניות באמצעות מוניטין, חתימות וארגז חול בענן.
ניתוח נתונים ברמת הארגון: ניתוח וחקירה של אירועי אבטחה כמו העברת תוכנות זדוניות, ביקור באתר פישינג, גניבת פרטי כניסה או העברת מידע אישי ורגיש.

כדי לוודא שהמשתמשים ניגשים למשאבים מסביבות מאובטחות, אתם יכולים להגדיר מדיניות של אפס אמון, שתבטיח שבדפדפן של המשתמש מופעלות היכולות האלה של הגנה מפני איומים והגנה על נתונים.

חשוב: התכונות של Chrome תקפות רק לתנועה שמבוססת על דפדפן. לתכונות אין השפעה כשהבקשות לא מגיעות מדפדפן, למשל בקשות מ-gcloud CLI או מ- Google Cloud SDKs.

בטבלה הבאה מתוארים המאפיינים של דפדפן Google Chrome שנאספים על ידי אימות נקודות קצה, שאפשר להשתמש בהם כדי ליצור רמות גישה:

שם המאפיין	תיאור	מערכת הפעלה נתמכת	דוגמה לשימוש במאפיין בביטויי CEL
`versionAtLeast(min_version)`	הגרסה המינימלית של דפדפן Chrome.	macOS ChromeOS Windows Linux	`device.chrome.versionAtLeast("88.0.4321.44")`
`management_state`	מצב הניהול של הדפדפן במכשיר. דפדפן נחשב כמנוהל אם הוא רשום בממשק המרכזי לניהול דפדפן Chrome. ערכים אפשריים: ‫`CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0` מציין שמצב הניהול של המכשיר לא צוין או לא ידוע. ‫`CHROME_MANAGEMENT_STATE_UNMANAGED = 1` מציין שהדפדפן או הפרופיל לא מנוהלים על ידי ארגון כלשהו. `CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2` מציין שהדפדפן מנוהל, אבל על ידי ארגון אחר. ‫`CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3` מציין שהדפדפן לא מנוהל והפרופיל מנוהל על ידי ארגון. ‫`CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4` מציין שהדפדפן והפרופיל מנוהלים על ידי ארגון.	macOS ChromeOS Windows Linux	`device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN`
`is_file_upload_analysis_enabled`	ערך בוליאני שמציין אם מחבר ניתוח העלאת קבצים מופעל במכשיר.	macOS ChromeOS Windows Linux	`device.chrome.is_file_upload_analysis_enabled == true \| false`
`is_file_download_analysis_enabled`	ערך בוליאני שמציין אם מחבר הניתוח של הורדת קבצים מופעל במכשיר.	macOS ChromeOS Windows Linux	`device.chrome.is_file_download_analysis_enabled == true \| false`
`is_bulk_data_entry_analysis_enabled`	ערך בוליאני שמציין אם מחבר הניתוח של טקסט בכמות גדולה (הדבקה) מופעל במכשיר.	macOS ChromeOS Windows Linux	`device.chrome.is_bulk_data_entry_analysis_enabled == true \| false`
`is_security_event_analysis_enabled`	ערך בוליאני שמציין אם מחבר הדיווח על אירועי אבטחה מופעל במכשיר.	macOS ChromeOS Windows Linux	`device.chrome.is_security_event_analysis_enabled == true \| false`
`is_realtime_url_check_enabled`	ערך בוליאני שמציין אם מחבר בדיקת כתובות URL בזמן אמת מופעל במכשיר.	macOS ChromeOS Windows Linux	`device.chrome.is_realtime_url_check_enabled == true \| false`
`safe_browsing_protection_level`	מדיניות רמת ההגנה על הגלישה של הדפדפן. ערכים אפשריים: ‫`SAFE_BROWSING_LEVEL_UNSPECIFIED = 0` מציין שמדיניות רמת ההגנה של הדפדפן לא מוגדרת למכשיר. ‫`SAFE_BROWSING_LEVEL_DISABLED = 1` מציין שהמדיניות של רמת ההגנה בדפדפן מושבתת במכשיר, והמכשיר לא מוגן מפני אתרים, הורדות ותוספים מסוכנים. `SAFE_BROWSING_LEVEL_STANDARD = 2` מציין שהמכשיר מוגן מפני אתרים, הורדות ותוספים שידועים כמסוכנים. `SAFE_BROWSING_LEVEL_ENHANCED = 3` מציין שהמכשיר נהנה מהגנה פרואקטיבית מפני אתרים, הורדות ותוספים מסוכנים.	Mac ChromeOS Windows Linux	`device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD`
`is_site_isolation_enabled`	ערך בוליאני שמציין אם בידוד האתר מופעל לכל אתר.	macOS ChromeOS Windows Linux	`device.chrome.is_site_isolation_enabled == true`
`is_built_in_dns_client_enabled`	ערך בוליאני שמציין אם לקוח ה-DNS המובנה של Chrome מתקשר עם שרת ה-DNS.	macOS ChromeOS Windows Linux	`device.chrome.is_built_in_dns_client_enabled == true`
`password_protection_warning_trigger`	מדיניות הטריגר של אזהרת ההגנה באמצעות סיסמה בדפדפן. ערכים אפשריים: ‫`PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0` מציין שהמדיניות להפעלת אזהרה על הגנה באמצעות סיסמה לא מוגדרת. ‫`PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1` מציין שהשימוש החוזר בסיסמה אף פעם לא מזוהה. ‫`PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2` מציין שתוצג אזהרה כשמשתמש הקצה יעשה שימוש חוזר בסיסמה המוגנת שלו באתר שלא מורשה. ‫`PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3` מציין שאזהרה מוצגת כשמשתמש הקצה עושה שימוש חוזר בסיסמה המוגנת שלו באתר פישינג.	macOS ChromeOS Windows Linux	`device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE`
`is_chrome_remote_desktop_app_blocked`	ערך בוליאני שמציין אם האפליקציה Chrome Remote Desktop חסומה.	macOS ChromeOS Windows Linux	`device.chrome.is_chrome_remote_desktop_app_blocked == true`
`is_chrome_cleanup_enabled`	ערך בוליאני שמציין אם הכלי לניקוי Chrome מופעל.	Windows	`device.chrome.is_chrome_cleanup_enabled == true`
`is_third_party_blocking_enabled`	ערך בוליאני שמציין אם החסימה של החדרת תוכנות צד שלישי מופעלת. הערה: המאפיין הזה נתמך רק ב-Chrome מגרסה 65 עד גרסה 135. המאפיין הזה הוצא משימוש ב-Chrome בגרסה 135 ומעלה.	Windows	`device.chrome.is_third_party_blocking_enabled == true`

בטבלה הבאה מפורטות דוגמאות למדיניות שאפשר להגדיר:

מדיניות לדוגמה	ביטוי
לאפשר גישה רק אם המשתמש מגיע מדפדפן Chrome מנוהל באופן מלא, ולא רק מפרופיל Chrome מנוהל. אחרי האימות דרך דפדפן Chrome בניהול מלא, המשתמש יכול גם להשתמש ב-Google Cloud CLI כדי לגשת למשאבים.	`device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED`
אפשר לאפשר גישה למשאבים רק אם ניתוח התוכן להורדה מופעל, כדי שהאדמינים יוכלו לוודא שאפשר לזהות הורדה של תוכן רגיש.	`device.chrome.is_file_download_analysis_enabled == true`
אפשר לאפשר גישה לתוכן רק אם בדפדפן מופעלות יכולות של הגנה על נתונים ומפני איומים.	`device.chrome.is_file_download_analysis_enabled == true && device.chrome.is_file_upload_analysis_enabled == true && device.chrome.is_realtime_url_check_enabled == true`
אפשר לגשת לתוכן רק אם מופעל דיווח על אירועי אבטחה.	`device.chrome.is_security_event_analysis_enabled == true`