对终端设备进行安全性要求的检测,检测结果可联动 iOA 零信任办公的接入。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端管控策略 > 合规检测。
2. 在合规检测策略页面,单击新建策略。
3. 在新建策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击保存。
4. 根据实际需求,选择如下合规检测策略,单击保存。
定时巡检
1. 可根据需要选择不同的巡检频率,包括30分钟、1小时、4小时、8小时、12小时、1天、1周或自定义。
2. 自定义选项允许用户通过输入框设置具体的分钟数,以分钟为单位调整巡检频率。
3. 频率最低支持设置5分钟,该分组下的终端到达满足条件的时间点,自动执行合规检查。
触发扫描
1. 该功能会在您每次打开应用界面时自动进行安全扫描。支持开机启动、身份登录、网络切换等多场景触发合规扫描,灵活适应用户使用环境,确保设备在这些关键时刻得到安全检查。
2. 如下勾选后在开机时、登录 iOA 客户端时、内外网切换时符合这三类情况都将扫描一次。
终端名
1. 检测终端名称是否合规,单击开启检测
2. 配置检测规则、违规等级、修复方式、违规处置等参数。
参数名称 | 说明 | |
检测方式 | 关键字 | 检测条件:匹配特定字词,适用于检测明确的字词信息。 |
| 正则 | 正则表达式:通过灵活的模式规则匹配文本格式,适合检测变体等复杂规律。 |
违规等级 | | 低、中、高。 |
修复指引 | | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置完成后单击保存。
4. 客户端拉取策略后,打开客户端合规页面单击立即检测。
5. 终端不符合检测条件则判定为风险,触发相应修复及违规处置。
终端用户名
1. 检测终端用户名是否合规,单击开启检测
2. 配置检测规则,符合检测条件则判定为风险,触发相应修复及违规处置。
3. 客户端拉取策略后,打开客户端合规页面单击立即检测。
4. 终端上的用户名不包含检测条件,检测项合规。
第三方杀毒软件
1. 检测终端是否安装对应版本的第三方杀毒软件。
2. 单击开启检测
3. 在添加第三方杀毒软件弹窗中,配置相关参数,单击保存。
参数 | 说明 |
软件名称 | 根据管控需求自行选择第三方杀毒软件名称。 |
检查软件版本号 | 开启:选择开启时需设置软件版本号。 关闭:无需设置软件版本号。 |
检查病毒库版本号 | 开启:选择开启时需设置病毒库版本号。 关闭:无需设置病毒库版本号。 |
检查最新病毒库 | 开启:根据管控需求自行设置距最新病毒库检测更新的时间天数。 关闭:无需设置检查最新病毒库。 |
违规等级 | 低、中、高。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:仅提醒是否合规。 不合规时禁用零信任办公(联动零信任网关):强制登出企业账号,限制终端访问内网资源。 |
4. 配置完成后单击保存,配置参数可参考下图示例。
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规页面单击立即检测。
7. 终端未安装对应的第三方杀毒软件,检测结果不合规。
补丁列表
1. 检测终端是否存在必须安装但未安装的补丁。
2. 单击开启检测
3. 在添加补丁检测弹窗中,配置相关参数,单击保存。
4. 配置参数可参考下图示例:
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端未安装某个必须安装的补丁,检测结果显示设备不合规。
软件安全基线
1. 检测终端是否安装了违规软件,或未安装必备软件。
2. 在合规检测策略页面,单击开启检测
3. 在添加软件安全基线检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 | |
必备软件 | 软件名称 | 必填项。 仅用于在客户端展示必备软件名称,不作为检测判断条件。 |
| 软件下载地址 | 非必填项。 下载此软件的链接地址(软件官网下载地址),填写后,客户端检测结果违规的情况下,页面会出现该软件下载链接。 |
| 注册表子目录名 | 选择注册表子目录名时,会从注册表卸载路径中搜索对应的子目录名,从而判定软件是否安装,例如:填写 Edge,则会到注册表卸载目录进行搜索。 可能部分软件未在卸载注册表路径写入子目录名导致无法判断,此时建议您选择通过“注册表路径”进行判断。 如何查找注册表子目录名: 1. 打开注册表编辑器:按下 Win + R 键,打开“运行”对话框,输入 regedit,然后按 Enter 键。 2. 导航到目标路径:在注册表编辑器中,依次展开目标路径,查看其子项名称。 |
| 注册表路径 | 选择“注册表路径”时,可对注册表全路径进行搜索,而判定软件是否安装,例:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Edge 如何查找某个软件的注册表路径: 1. 打开注册表编辑器:按下 Win + R 键,打开“运行”对话框,输入 regedit,然后按 Enter。 2. 导航到可能的路径:大多数用户安装的应用软件注册表项位于 HKEY_LOCAL_MACHINE\\Software或 HKEY_CURRENT_USER\\Software。 3. 支持根据软件的安装路径或公司名称进行查找,例如: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall:此路径下存储了已安装软件的卸载信息。 HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\App Paths:此路径下存储了某些应用程序的可执行文件路径。 4. 搜索软件名称:在注册表编辑器中,使用“查找”功能(Ctrl + F),输入软件名称或相关关键词进行搜索。 |
| 软件版本号 | 非必填项。 自定义软件版本号。 |
| 版本号键名 | 非必填项。 查询版本号键名:在注册表编辑器中,软件版本信息通常存储在:HKEY_LOCAL_MACHINE\\SOFTWARE\\[软件厂商]\\[软件名称] 键名常见为:DisplayVersion、Version、ProductVersion。 |
| 版本号键值 | 非必填项。 查询版本号键值:可通过文件属性查看,右键程序文件 > 属性 > 详细信息 > 文件版本/产品版本。 |
| 进程名称 | 非必填项。 如果已填写进程名称,会检测是否启动该进程,未启动时提示设备违规。 |
| MD5(32位) | 非必填项。 软件的 MD5 值。 |
| 更多高级设置 | 精准 IP 设置:支持按 IP 段精准匹配,客户端仅在指定网络范围内生效对应策略。 |
违规软件 | 软件名称 | 必填项。 仅用于在客户端展示必备软件名称,不作为检测判断条件。 |
| 注册表子目录名 | 选择注册表子目录名时,会从注册表卸载路径中搜索对应的子目录名,从而判定软件是否安装。 例如:填写 Edge,则会到注册表卸载目录进行搜索。 可能部分软件未在卸载注册表路径写入子目录名导致无法判断,此时建议您选择通过“注册表路径”进行判断。 如何查找注册表子目录名: 1. 打开注册表编辑器:按下Win + R 键,打开“运行”对话框,输入 regedit,然后按 Enter 键。 2. 导航到目标路径:在注册表编辑器中,依次展开目标路径,查看其子项名称。 |
| 软件版本号 | 非必填项。 自定义软件版本号。 |
| 更多高级设置 | 精准 IP 设置:支持按 IP 段精准匹配,客户端仅在指定网络范围内生效对应策略。 |
4. 配置参数可参考下图示例:
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端上存在违规软件,或缺少指定的必装软件,检测结果设备不合规。
违规进程
1. 检测客户端是否存在违规进程。
2. 单击开启检测
3. 在添加违规进程检测项弹窗中,配置相关参数,单击保存。
说明:
配置违规进程规则(支持通配符),例如:n*
参数名称 | 说明 | |
违规进程 | | 填写进程名称。 |
违规等级 | | 低、中、高。 |
修复指引 | | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
4. 配置参数可参考下图示例:
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端上存在违规的进程,检测结果设备不合规。
违规服务
1. 检测客户端是否已启动违规服务。
2. 单击开启检测
3. 在添加违规服务检测项弹窗中,配置相关参数,单击保存。
说明:
配置违规服务规则(支持通配符),例如:VM*。
参数名称 | 说明 |
违规服务 | 填写服务名称。 |
违规等级 | 低、中、高。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
4. 配置参数可参考下图示例:
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端上存在违规的服务,检测结果设备不合规。
违规端口
1. 检测客户端是否开启违规端口。
说明:
违规端口项需关闭系统防火墙才能检测到。
2. 单击开启检测
3. 在添加违规端口检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 |
违规端口 | 填写 TCP 端口。 填写 UDP 端口。 |
违规等级 | 低、中、高。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
4. 配置参数可参考下图:
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端开启了对应违规端口,检测结果不合规。
磁盘加密
1. 该策略检测所有磁盘是否全部加密,单击开启检测
2. 配置检测规则、修复方式等参数,配置参数可参考下图示例:
3. 客户端拉取策略后,打开客户端合规页面单击立即检测。
4. 终端未开启磁盘检测,检测结果不合规。
入域
1. 单击开启检测
2. 在添加入域检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 |
检测域名 | 填写入域名称。 |
精准IP设置 | 所有 IP:在范围内的所有 IP 都会检测。 本地 IP:用于终端连接总控的 IP。 出口 IP:用于终端连接外网的 IP。 |
违规等级 | 低、中、高。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 完成添加后,单击保存。
5. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
6. 终端未入域,检测结果终端不合规。
客户端版本
1. 单击开启检测
2. 在添加客户端版本检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 |
检测客户端版本低于 | 根据您所在公司的管控需求,填写用户安装的客户端最低版本号。 |
违规等级 | 低、中、高。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 完成添加后,单击保存。
5. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
6. 终端上的 iOA 客户端版本不满足最低版本要求,检测结果设备不合规。
操作系统
1. 单击开启检测
2. 在添加操作系统检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 |
检测操作系统版本低于 | 下拉选择:Windows XP、Windows Vista、Windows 7、Windows Server 2012、Windows 8、Windows 10、Windows 11。 |
检测操作系统细分版本低于 | 输入系统版本号 系统版本号查看方式:Win+R,输入 cmd 后按 Enter 键,再输入ver 后按 Enter 键。 |
违规等级 | 低、中、高 。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 完成添加后,单击保存。
5. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
6. 终端的操作系统版本过低,检测结果设备不合规。
弱密码
注意:
建议您谨慎开启此功能,开启后会读取终端的账号和密码哈希等敏感信息,可能导致其他终端安全软件误报风险。
在配置弱密码数量很多的情况下,终端计算弱密码的哈希会比较损耗系统性能(尤其是开启域账号检测的情况下),建议弱密码数量不超过一万条。
域账号登录场景下,特殊服务器或经过特殊安全设置的系统,如果系统没有缓存域账号的登录凭据,则域账号弱密码扫描功能无法使用。
1. 单击开启检测
2. 在添加弱密码检测项弹窗中,单击模板下载。
3. 删除模板说明,并保存文档。
4. 配置参数可参考下图示例,单击上传,导入修改后的文档后单击保存。
5. 完成添加后,单击保存。
6. 客户端拉取策略后,打开客户端合规检测页面单击立即检测。
7. 终端账户的密码如为弱密码(必须在导入的文档内存在),例如:abc123。
8. 当终端账号密码命中了弱密码列表内的密码,检测提示不合规。
注册表
1. 单击开启检测
2. 在添加注册表检测项弹窗中,配置相关参数,单击保存。
参数名称 | 说明 | |
注册表 | 注册表项 | 必填项。 填写示例:安装一个 WinRAR 解压缩软件。 注册表项填写示例:HKEY_LOCAL_MACHINE\\SOFTWARE\\WinRAR 。 |
| 键名 | 必填项。 填写示例:exe32 。 |
| 值类型 | 必填项。 下拉选择:REG_SZ、REG_DWORD(10进制)、REG_MULTI_SZ、REG_EXPAND_SZ、REG_QWORD(10进制)。 |
| 键值 | 非必填项。 填写示例:C:\\Program Files\\WinRAR\\WinRAR.exe。 |
违规等级 | | 低、中、高。 |
修复指引 | | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 完成添加后,单击保存。
5. 客户端拉取策略后,打开客户端合规检测页面并单击立即检测。
6. 终端上不存在违规的注册表,检测结果为设备合规。
防火墙
1. 配置此策略后,检查系统是否开启防火墙,单击开启检测
2. 配置违规等级、修复方式、违规处置等参数。
参数名称 | 说明 | ||
违规等级 | | | 低、中、高。 |
修复方式 | | 一键修复 | 检测不合规时,需要用户在客户端手动单击一键修复后方可完成修复。 |
| | 修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 配置完成后单击保存。
5. 客户端拉取策略后,打开客户端合规页面并单击立即检测。
6. 终端开启系统防火墙,检测结果为设备合规。
自动锁屏检测
1. 检测终端是否设置自动锁屏,单击开启检测
2. 在添加自动锁屏检测弹窗中,配置相关参数。
参数名称 | 说明 | ||
违规等级 | | | 低、中、高。 |
修复方式 | | 一键修复 | 检测不合规时,需要用户在客户端手动单击一键修复后方可完成修复。 |
| | 修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 配置参数可参考下图示例:
4. 完成添加后,单击保存
5. 客户端拉取策略后,打开客户端合规页面并单击立即检测。
6. 检测到未设置自动锁屏,可单击一键修复。
系统完整性(SIP)检测
说明:
macOS 系统功能,Windows 下无此功能。
1. macOS 系统完整性保护默认开启,若用户手动关闭可能会导致终端系统存在不可控风险,因此在合规检测中增加 SIP 开启的检测,单击开启检测
2. 配置不合规时处置策略:仅提醒或禁用零信任办公,配置完成后单击保存。
参数名称 | 说明 |
违规等级 | 低、中、高。 |
修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 客户端检测项示例:
安装安全响应和系统文件检测
说明:
macOS 系统功能,Windows 下无此功能。
系统版本低于 macOS15 检测到检查更新和安装安全响应任一项未开始判定为不合规,系统版本为 macOS15 及以上检测到安装安全响应未开启判定为不合规。
1. 单击开启检查
2. 配置违规等级、修复方式、违规处置等参数,配置完成后单击保存。
参数名称 | 说明 | ||
违规等级 | | | 低、中、高。 |
修复方式 | | 一键修复 | 检测不合规时,需要用户在客户端手动单击一键修复后方可完成修复。 |
| | 修复指引 | 自定义客户端提示文案。 支持关联修复文档,引导用户依据定制的指引文档完成修复,提升合规修复效率。 修复指引文档请参见帮助中心。 |
违规处置 | | | 不合规时禁止登录:检测到不合规项时强制退出企业账号且不允许用户登录。 不合规时仅提醒:检测到不合规项时弹窗提示用户。 不合规时禁用零信任办公(联动零信任网关):检测到不合规项时限制访问内网资源。 |
3. 客户端拉取策略后,打开客户端合规检测页面后单击立即检测。
4. 终端上安装安全响应并进行系统文件检测,检测结果为设备合规。
