iOA 零信任安全管理系统合规检测

对终端设备进行安全性要求的检测，检测结果可联动零信任办公的接入。
﻿
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择终端管控策略 > 终端管控。
2. 在终端管控页面，选择合规检测，单击新建策略。
﻿
﻿
﻿
3. 在新建合规检测策略页面，配置相关参数。
3.1 输入策略名称，并输入策略描述等参数。
﻿
﻿
﻿
3.2 单击添加适用范围 ，勾选需管控/排除的用户/终端名称，单击确定。
4. 根据实际需求，选择如下合规检测策略，单击保存。
周期自动合规检查
1. 勾选合规检测时间周期，适用范围下的客户端到达满足条件的时间周期，自动执行合规检查。
2. 支持自定义时间周期（自定义周期包含分钟、小时、天、周）
﻿
﻿
﻿
第三方杀毒软件
1. 检测终端是否安装对应版本的第三方杀毒软件。
2. 在合规检测策略页面，勾选第三方杀毒软件，单击开启检查
﻿
，并单击添加。
﻿
﻿
﻿
3. 在添加第三方杀毒软件弹窗中，配置相关参数，单击确定。
﻿
﻿
﻿
参数
说明
操作系统
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP段适用范围
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级
低、中、高。
软件名称
根据管控需求自行选择第三方杀毒软件名称。
检查软件版本号
开启：选择开启需设置软件版本号。
关闭：无需设置软件版本号。
检查病毒库版本号
开启：选择开启需设置病毒库版本号。
关闭：无需设置病毒库版本号。
检查最新病毒库
开启、关闭。
距最新病毒库不超过
根据管控需求自行设置距最新病毒库检测更新的时间天数。
4. 配置完成后单击确定，配置参数可参考下图示例。
﻿
﻿
﻿
5. 完成添加后，单击保存。
﻿
﻿
﻿
6. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
7. 终端上未安装对应的第三方杀毒软件，检测结果不合规。
﻿
﻿
﻿
补丁列表
1. 检测终端是否存在必须安装但未安装的补丁。
2. 在合规检测策略页面，勾选补丁列表，单击开启检查
﻿
，并单击添加。
﻿
﻿
3. 在已启用检查补丁列表检测项弹窗中，配置相关参数，单击确定。
﻿
﻿
﻿
4. 配置参数可参考下图示例：
﻿
﻿
﻿
5. 完成添加后，单击保存。
﻿
﻿
﻿
6. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
7. 未安装某个必须安装的补丁，检测结果设备不合规。
﻿
﻿
﻿
软件安全基线
1. 检测终端是否安装了违规软件，或未安装必备软件。
2. 在合规检测策略页面，勾选软件安全基线，单击开启检查
﻿
，并单击添加。
﻿
﻿
3. 在添加软件安全基线检测项弹窗中，配置相关参数，单击确定。
﻿
﻿
﻿
参数名称
﻿
说明
操作系统
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP 段适用范围
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源。
必备软件检测关系
﻿
且、或。
必备软件
软件关系
根据必备软件检测关系的选择显示。
﻿
软件名称
必填项。
仅用于在客户端展示必备软件名称，不作为检测判断条件。
﻿
注册表键值
必填项。
注册表键值它查询注册表编辑器下是否存在对应项，该对应项的命名一般是软件名称。
指定查询路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
﻿
软件版本号
非必填项。
小于( < ) 所输入版本号，则判定为违规。
﻿
软件下载地址
非必填项。
下载此软件的链接地址，填写后，客户端检测结果违规的情况下，页面会出现该软件下载链接。
﻿
进程名称
非必填项。
如果已填写进程名称，会检测是否启动该进程，未启动时提示设备违规。
﻿
MD5（32位）
非必填项。
软件的MD5值。
违规软件
软件名称
必填项，
仅用于在客户端展示必备软件名称，不作为检测判断条件。
﻿
注册表键值
必填项。
注册表键值它查询注册表编辑器下是否存在对应项，该对应项的命名一般是软件名称。
指定查询路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
﻿
软件版本号
非必填项。
小于( < ) 所输入版本号，则判定为违规。
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 终端上存在违规软件，或缺少指定的必装软件，检测结果设备不合规。
﻿
﻿
﻿
违规进程
1. 检测客户端是否存在违规进程。
2. 在合规检测策略页面，勾选违规进程，单击开启检查
﻿
，并单击添加。
﻿
﻿
3. 在添加违规进程检测项弹窗中，配置相关参数，单击确定。
说明：
 配置违规进程规则（支持通配符），例如：n*
﻿
﻿
﻿
参数名称
﻿
说明
操作系统
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP 段适用范围
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级
﻿
低、中、高。
违规进程
﻿
填写进程名称。
4. 配置参数可参考下图示例：
﻿
﻿
﻿
5. 完成添加后，单击保存。
﻿
﻿
﻿
6. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
7. 终端上存在违规的进程，检测结果设备不合规。
﻿
﻿
﻿
违规服务
1. 检测客户端是否已启动违规服务。
2. 在合规检测策略页面，勾选违规服务，单击开启检查
﻿
，并单击添加。
﻿
﻿
3. 在添加违规进程检测项弹窗中，配置相关参数，单击确定。
说明：
配置违规服务规则（支持通配符），例如：VM*。
﻿
﻿
﻿
参数名称
说明
操作系统 
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。 
IP 段适用范围 
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件 。
不合规操作 
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源 。
违规等级 
低、中、高 。
违规服务
填写服务名称 。
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 终端上存在违规的服务，检测结果设备不合规。
﻿
﻿
﻿
违规端口
1. 检测客户端是否开启违规端口。
说明：
违规端口项需关闭系统防火墙才能检测到。
2. 在合规检测策略页面，勾选违规端口，单击开启检查
﻿
，并单击添加。
﻿
﻿
3. 在添加违规端口检测项弹窗中，配置相关参数，单击确定。
﻿
﻿
﻿
参数名称
说明
操作系统 
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。 
IP 段适用范围 
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作 
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动NGN）：强制登出企业账号，限制终端访问内网资源 。
违规等级 
低、中、高。
违规端口
填写 TCP 端口
填写 UDP 端口
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 开启了对应违规端口，检测结果不合规。
﻿
﻿
﻿
入域
1. 在合规检测策略页面，勾选入域，单击开启检查
﻿
，并单击添加。
﻿
﻿
﻿
2. 在添加入域检测项弹窗中，配置参数相关参数，单击确定。
﻿
﻿
﻿
参数名称
说明
操作系统 
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。 
IP 段适用范围 
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作 
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级 
低、中、高。
请输入域名
填写入域名称。
3. 配置参数可参考下图示例：
﻿
﻿
﻿
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 终端未入狱，检测结果设备不合规。
﻿
﻿
﻿
客户端版本
1. 在合规检测策略页面，勾选客户端版本，单击开启检查
﻿
，并单击添加。
﻿
﻿
2. 在添加客户端版本检测项弹窗中，配置相关参数，单击确定。
﻿
参数名称
说明
操作系统 
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。 
IP 段适用范围 
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作 
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级 
低、中、高。
请输入最低版本
根据公司管控需求填写用户安装的客户端最低版本号。
3. 配置参数可参考下图示例：
﻿
﻿
﻿
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 终端上的iOA客户端版本不满足最低版本要求，检测结果设备不合规。
﻿
﻿
﻿
操作系统
1. 在合规检测策略页面，勾选操作系统，单击开启检查
﻿
，并单击添加。
﻿
﻿
2. 在添加操作系统检测项弹窗中，配置相关参数，单击确定。
﻿
参数名称
说明
操作系统 
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。 
IP 段适用范围 
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件 。
不合规操作 
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源 。
违规等级 
低、中、高 。
最低版本
下拉选择：Windows XP、Windows Vista、Windows 7、Windows Server 2012、Windows 8、Windows 10、Windows 11。
3. 配置参数可参考下图示例：
﻿
﻿
﻿
4. 完成添加后，单击保存。
﻿
﻿
﻿
5. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
6. 终端的操作系统版本过低，检测结果设备不合规。
﻿
﻿
﻿
﻿
账号弱密码检测
注意：
建议您谨慎开启此功能，开启后会读取终端的账号和密码哈希等敏感信息，可能导致其它终端安全软件误报风险。
在配置弱密码很多的情况下，终端计算弱密码的哈希会比较损耗系统性能（尤其是开启域账号检测的情况下），建议的弱密码数量不超过一万条。
域账号登录场景下，特殊服务器或经过特殊安全设置的系统，如果系统没有缓存域账号的登录凭据，则域账号弱密码扫描功能无法使用。
1. 勾选账号弱密码检测，单击开启检查
﻿
，并单击添加。
﻿
﻿
2. 在添加账号弱密码检测项弹窗中，单击模板下载。
﻿
﻿
﻿
3. 删除模板说明，并保存文档。
﻿
4. 配置参数可参考下图示例，单击导入列表，导入修改后的文档后单击确定。
﻿
5. 完成添加后，单击保存。
﻿
﻿
﻿
6. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
7. 终端账户的密码如为弱密码（必须在导入的文档内存在），例如：abc123。
8. 当终端账号密码命中了弱密码列表内的密码，检测提示不合规。
﻿
违规注册表
1. 在新建合规检测策略页面，勾选违规注册表，单击开启检查
﻿
，并单击添加。
﻿
2. 在添加违规注册表检测项弹窗中，配置相关参数，单击确定。
﻿
参数名称
﻿
说明
操作系统
﻿
下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP段适用范围
﻿
本地 IP：用于终端连接总控的 IP。
出口 IP：用于终端连接外网的 IP。
忽略：忽略 IP 段适用范围此条件。
不合规操作
﻿
不合规时仅提醒：仅提醒是否合规。
不合规时禁用零信任办公（联动NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级
﻿
低、中、高。
违规注册表
注册表键项
必填项。
填写示例：安装一个WinRAR解压缩软件。
注册表键项填写示例：HKEY_LOCAL_MACHINE\\SOFTWARE\\WinRAR 
﻿
键名
必填项。
exe32 。
exe64 。
﻿
值类型
必填项。
下拉选择：REG_SZ、REG_DWORD(10进制)、REG_MULTI_SZ、REG_EXPAND_SZ、REG_QWORD(10进制)。
﻿
键值
非必填项。
填写示例：C:\\Program 。Files\\WinRAR\\WinRAR.exe。
3. 完成添加后，单击保存。
﻿
﻿
﻿
4. 客户端拉取策略后，打开客户端合规检测页面单击立即检测。
﻿
﻿
﻿
5. 终端上不存在违规的注册表，检测结果设备合规。
﻿
﻿

参数	说明
操作系统	下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP段适用范围	本地 IP：用于终端连接总控的 IP。出口 IP：用于终端连接外网的 IP。忽略：忽略 IP 段适用范围此条件。
不合规操作	不合规时仅提醒：仅提醒是否合规。不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源。
违规等级	低、中、高。
软件名称	根据管控需求自行选择第三方杀毒软件名称。
检查软件版本号	开启：选择开启需设置软件版本号。关闭：无需设置软件版本号。
检查病毒库版本号	开启：选择开启需设置病毒库版本号。关闭：无需设置病毒库版本号。
检查最新病毒库	开启、关闭。
距最新病毒库不超过	根据管控需求自行设置距最新病毒库检测更新的时间天数。

参数名称			说明
操作系统			下拉选择：所有系统、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2012、Windows 8、Windows Server 2016、Windows 10、Windows 11。
IP 段适用范围			本地 IP：用于终端连接总控的 IP。出口 IP：用于终端连接外网的 IP。忽略：忽略 IP 段适用范围此条件。
不合规操作			不合规时仅提醒：仅提醒是否合规。不合规时禁用零信任办公（联动 NGN）：强制登出企业账号，限制终端访问内网资源。
必备软件检测关系			且、或。
必备软件	软件关系	根据必备软件检测关系的选择显示。
		软件名称	必填项。仅用于在客户端展示必备软件名称，不作为检测判断条件。
		注册表键值	必填项。注册表键值它查询注册表编辑器下是否存在对应项，该对应项的命名一般是软件名称。指定查询路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
		软件版本号	非必填项。小于( < ) 所输入版本号，则判定为违规。
		软件下载地址	非必填项。下载此软件的链接地址，填写后，客户端检测结果违规的情况下，页面会出现该软件下载链接。
		进程名称	非必填项。如果已填写进程名称，会检测是否启动该进程，未启动时提示设备违规。
		MD5（32位）	非必填项。软件的MD5值。
违规软件	软件名称	必填项，仅用于在客户端展示必备软件名称，不作为检测判断条件。
		注册表键值	必填项。注册表键值它查询注册表编辑器下是否存在对应项，该对应项的命名一般是软件名称。指定查询路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
		软件版本号	非必填项。小于( < ) 所输入版本号，则判定为违规。

合规检测

本页目录：

周期自动合规检查

第三方杀毒软件

补丁列表

软件安全基线

违规进程

违规服务

违规端口

入域

客户端版本

操作系统

账号弱密码检测

违规注册表