端点验证收集的设备属性

本文档详细介绍了 Endpoint Verification 从访问组织资源的设备收集的设备属性。端点验证会收集设备属性设备标识属性可配置的设备属性Chrome 浏览器属性

设备属性

下表介绍了端点验证功能收集的属性,您可以使用这些属性来创建访问权限级别。

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
is_secured_with_screenlock 一个布尔值,用于指示设备上是否启用了屏幕锁定功能。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_secured_with_screenlock == true
encryption_status

设备的加密状态。可能的值:

  • ENCRYPTION_UNSPECIFIED = 0 表示设备的加密状态未指定或未知。
  • ENCRYPTION_UNSUPPORTED = 1 表示设备不支持加密。
  • ENCRYPTION_UNENCRYPTED = 2 表示设备支持加密,但未加密。
  • ENCRYPTED = 3 表示设备已加密。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.encryption_status == DeviceEncryptionStatus.ENCRYPTED
os_type

设备上运行的操作系统。 可能的值:

  • OS_UNSPECIFIED = 0 表示设备的操作系统未指定或未知。
  • DESKTOP_MAC = 1
  • DESKTOP_WINDOWS = 2
  • DESKTOP_LINUX = 3
  • DESKTOP_CHROME_OS = 6
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.os_type == OsType.DESKTOP_MAC
os_version 设备上运行的操作系统版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
  • device.os_version == "MacOS 13.4.0"
  • device.os_version == "ChromeOs 14541.0.0"
  • device.os_version == "Windows 10.0.19045"
  • device.os_version == "Linux rodete"
verified_chrome_os 一个布尔值,用于指示请求是否来自装有经过验证的 ChromeOS 的设备。 ChromeOS(仅适用于已注册的企业设备) device.verified_chrome_os == true
model 设备的型号。
  • macOS
  • Windows
  • Linux
 device.model == "MacBookPro16,1"
is_managed_browser_profile 一个布尔值,用于指示与设备关联的 Chrome 内容区域账号是否与其 Chrome 个人资料账号一致。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.is_managed_browser_profile == true
certificates 与设备相关联的证书的属性。 例如,企业证书
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "SOME_ROOT_CA_FINGERPRINT")
windows_domain_name Windows 机器的域名。 Windows device.clients["bce"].data["windows_domain_name"] == "GOOGLE"
is_os_native_firewall_enabled

一个布尔值,用于指示设备上是否已启用操作系统的内置防火墙。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.clients["bce"].data["is_os_native_firewall_enabled"] == true
is_secure_boot_enabled 一个布尔值,用于指示设备上是否已启用安全启动选项。 Windows device.clients["bce"].data["is_secure_boot_enabled"] == true
av_installed

设备上安装的防病毒软件产品列表。

 Windows device.clients["bce"].data["av_installed"].exists(x, x == "mcafee") == true
av_enabled

设备上已安装并启用的防病毒软件产品的列表。

 Windows device.clients["bce"].data["av_enabled"].exists(x, x == "mcafee") == true
hotfixes

已在 Windows 系统上应用的热修复的列表。

 Windows device.clients["bce"].data["hotfixes"].exists(x, x == "KB0001") == true

设备标识属性

下表介绍了端点验证收集的属性,您可以使用这些属性来识别设备。这些属性不能用于创建访问权限级别。

属性名称 说明 支持的操作系统
序列号 设备的序列号。
  • macOS
  • ChromeOS(仅适用于已注册的企业设备)
  • Windows
  • Linux
主机名 设备的 hostname。
  • macOS
  • Windows
  • Linux
设备 ID 与设备关联的唯一标识号。
  • macOS
  • Windows
  • Linux
Wi-Fi MAC 地址 设备的 MAC 地址。
  • macOS
  • ChromeOS
  • Windows
  • Linux

可配置的设备属性

Endpoint Verification 提供了一个选项,用于收集精细的设备属性,称为可配置的设备属性,例如文件、文件夹和二进制文件的元数据属性;注册表条目;以及 plist 中的属性。您可以使用这些设备配置属性来创建访问权限级别。

此选项默认处于未启用状态。如需收集这些精细的可配置设备属性,请配置端点验证设置

下表介绍了文件、文件夹和二进制文件的属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
presence

表示文件、文件夹或二进制文件的存在。可能的值:

  • VALUE_UNKNOWN = 0 表示由于评估之前发生的故障,系统不知道是否存在相应设备。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问相应信号的资源。
  • VALUE_NOT_FOUND = 2 表示找不到资源。
  • VALUE_FOUND = 3 表示找到了资源。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
is_running 指示二进制文件是否正在运行。对于文件或文件夹,此属性始终为 false。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["is_running"] == true
sha256_hash

提供文件或二进制文件的 SHA-256 哈希值。对于文件夹,该值始终为空字符串。
  • macOS
  • Windows
  • Linux
 device.clients["bce"].data["file_config"]["config_name"]["sha256_hash"] == ""
public_key_sha256

提供用于对可执行文件进行签名的公钥的 SHA-256 哈希值列表。对于文件或文件夹,此属性始终为空字符串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["public_key_sha256"].exists(x, x == "")
product_name

可执行文件的商品名称。对于文件或文件夹,此属性始终为空字符串。
  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["product_name"] == "some value"
version

可执行文件的产品版本。对于文件或文件夹,该值始终为空字符串。

  • macOS
  • Windows
 device.clients["bce"].data["file_config"]["config_name"]["version"] == "some value"

下表介绍了基于注册表条目和 plist 属性的属性。

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
presence

指示是否存在注册表或 plist 条目。可能的值:

  • VALUE_UNKNOWN = 0 表示由于评估之前发生的故障,系统不知道是否存在相应设备。
  • VALUE_INACCESSIBLE = 1 表示组织无权访问相应信号的资源。
  • VALUE_NOT_FOUND = 2 表示找不到资源。
  • VALUE_FOUND = 3 表示找到了资源。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
  • device.clients["bce"].data["plist_config"]["config_name"]["presence"] == PresenceValue.VALUE_FOUND
value

提供存储在注册表或 plist 中的数据。可能的值:

  • macOS:NSStringNSNumber
  • Windows:REG_SZREG_DWORDREG_QWORD

字符串的长度上限为 1024 字节。
  • macOS
  • Windows
  • device.clients["bce"].data["registry_config"]["config_name"]["value"] == <"string value"|boolean|double|int>
  • device.clients["bce"].data["plist_config"]["config_name"]["value"] == <"string value"|boolean|double|int>

Chrome 浏览器属性

Chrome 浏览器是 Chrome 企业进阶版的零信任端点平台,可助力并保护移动办公企业。Chrome 企业进阶版与 Chrome 浏览器原生集成,提供集中式安全政策管理、无代理端点保护和集成式零信任访问权限。

Chrome 企业进阶版提供以下端点安全功能:

  • 数据保护:防止泄露传输的文件和浏览器上传的内容中的敏感数据(例如个人身份信息)。
  • 威胁防护:使用声誉、签名和云沙盒来防范恶意软件传输。
  • 企业分析:提供针对安全事件(例如恶意软件传输、钓鱼式攻击网站访问、凭据盗用或敏感数据传输)的分析和调查。

为确保用户从安全环境访问资源,您可以设置零信任政策,以确保用户的浏览器环境已启用这些威胁和数据保护功能。

重要提示:Chrome 属性仅对基于浏览器的流量有效;如果请求不是来自浏览器(例如来自 gcloud CLI 或 Google Cloud SDK 的请求),则这些属性无效

下表介绍了端点验证功能收集的 Google Chrome 浏览器属性,您可以使用这些属性来创建访问权限级别:

属性名称 说明 支持的操作系统 CEL 表达式中使用属性的示例
versionAtLeast(min_version) Chrome 浏览器的最低版本。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.versionAtLeast("88.0.4321.44")
management_state

设备的浏览器管理状态。 如果浏览器已注册 Chrome 浏览器云管理,则视为受管理。可能的值:

  • CHROME_MANAGEMENT_STATE_UNSPECIFIED = 0 表示设备的管理状态未指定或未知。
  • CHROME_MANAGEMENT_STATE_UNMANAGED = 1 表示浏览器或个人资料不受任何组织管理。
  • CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN = 2 表示浏览器由其他组织管理。
  • CHROME_MANAGEMENT_STATE_PROFILE_MANAGED = 3 表示浏览器不受管理,但个人资料由组织管理。
  • CHROME_MANAGEMENT_STATE_BROWSER_MANAGED = 4 表示浏览器和个人资料由组织管理。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_MANAGED_BY_OTHER_DOMAIN
is_file_upload_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件上传分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_upload_analysis_enabled == true | false
is_file_download_analysis_enabled 一个布尔值,用于指示设备上是否启用了文件下载分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_file_download_analysis_enabled == true | false
is_bulk_data_entry_analysis_enabled 一个布尔值,用于指示设备上是否启用了批量文本(粘贴)分析连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_bulk_data_entry_analysis_enabled == true | false
is_security_event_analysis_enabled 一个布尔值,用于指示设备上是否已启用安全性事件报告连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_security_event_analysis_enabled == true | false
is_realtime_url_check_enabled 一个布尔值,用于指示设备上是否启用了实时网址检查连接器
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_realtime_url_check_enabled == true | false
safe_browsing_protection_level

浏览器的浏览保护等级政策。可能的值:

  • SAFE_BROWSING_LEVEL_UNSPECIFIED = 0 表示未为设备设置浏览器保护级别政策。
  • SAFE_BROWSING_LEVEL_DISABLED = 1 表示设备的浏览器保护级别政策已停用,并且设备不会受到保护,免受危险网站、下载内容和扩展程序的侵害。
  • SAFE_BROWSING_LEVEL_STANDARD = 2 表示设备受到保护, 可防范已知危险的网站、下载内容和扩展程序。
  • SAFE_BROWSING_LEVEL_ENHANCED = 3
    • 表示设备可主动防范危险网站、下载内容和扩展程序。
  • Mac
  • ChromeOS
  • Windows
  • Linux
 device.chrome.safe_browsing_protection_level == SafeBrowsingLevel.SAFE_BROWSING_LEVEL_STANDARD
is_site_isolation_enabled 一个布尔值,用于指示是否为所有网站启用网站隔离功能。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_site_isolation_enabled == true
is_built_in_dns_client_enabled 一个布尔值,用于指示 Chrome 的内置 DNS 客户端是否与 DNS 服务器通信。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_built_in_dns_client_enabled == true
password_protection_warning_trigger

浏览器的密码保护服务警告功能触发条件政策。可能的值:

  • PASSWORD_PROTECTION_TRIGGER_UNSPECIFIED = 0 表示未设置密码保护服务警告触发政策。
  • PASSWORD_PROTECTION_TRIGGER_PROTECTION_OFF = 1 表示一律不检测重复使用密码的情况。
  • PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE = 2 表示当最终用户在未列入许可名单的网站上重复使用受保护的密码时,系统会显示警告。
  • PASSWORD_PROTECTION_TRIGGER_PHISHING_REUSE = 3 表示当最终用户在网上诱骗性质的网站上重复使用受保护的密码时,系统会显示警告。
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.password_protection_warning_trigger == PasswordProtectionTrigger.PASSWORD_PROTECTION_TRIGGER_PASSWORD_REUSE
is_chrome_remote_desktop_app_blocked 一个布尔值,用于指示是否屏蔽 Chrome 远程桌面远程应用
  • macOS
  • ChromeOS
  • Windows
  • Linux
 device.chrome.is_chrome_remote_desktop_app_blocked == true
is_chrome_cleanup_enabled 一个布尔值,用于指示 Chrome 清理工具是否已启用。 Windows device.chrome.is_chrome_cleanup_enabled == true
is_third_party_blocking_enabled 一个布尔值,用于指示是否已启用第三方软件注入屏蔽 Windows device.chrome.is_third_party_blocking_enabled == true

下表包含您可以设置的政策示例:

政策示例 表达式
仅在用户来自全代管式 Chrome 浏览器(而不只是代管式 Chrome 配置文件)时才允许访问。 通过全代管式 Chrome 浏览器进行身份验证后,用户还可以使用 Google Cloud CLI 访问资源。 device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
仅在启用了下载内容分析时才允许访问资源,以便管理员确保可以检测到敏感内容下载。 device.chrome.is_file_download_analysis_enabled == true
仅在浏览器启用威胁和数据保护功能时才允许访问内容。 device.chrome.is_file_download_analysis_enabled == true && device.chrome.is_file_upload_analysis_enabled == true && device.chrome.is_realtime_url_check_enabled == true
仅在启用安全性事件报告时才允许访问内容。 device.chrome.is_security_event_analysis_enabled == true

后续步骤