Benutzerdefinierte URL-Listen für DLP in Chrome verwenden

URL-Listen sind für die Kunden verfügbar, die Chrome Enterprise Premium erworben haben. Weitere Informationen zur DLP-Integration mit Chrome Enterprise Premium finden Sie im Hilfeartikel Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome integrieren.

Wenn Sie Ihre Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) im Chrome-Browser verbessern möchten, erstellen Sie eine benutzerdefinierte URL-Liste. Mit benutzerdefinierten URL-Listen können Sie mithilfe von Regeleinstellungen den Nutzerzugriff auf bestimmte Links blockieren, Nutzer vor riskanten Links warnen, bevor sie fortfahren, oder einen Prüfpfad für Besuche bestimmter Links aufzeichnen.

Was ist eine URL-Liste?

Eine URL-Liste ist eine Sammlung von URLs, die Sie in Chrome-DLP-Regeln verwenden können. Sie können sie zusammen mit anderen Matchern und benutzerdefinierten DLP-Regeln verwenden.

Unterstützte URL-Listenformate

Das grundlegende Format eines URL-Listeneintrags ist <Host>/< Pfad>. Port nummern, IPv4-Literale und IPv6-Literale werden unterstützt. Nachstehend einige Beispiele für gültige URLs für URL-Listen:

  • example.com
  • example.com:3000
  • subdomain.example.com
  • example.com/a/long/path
  • 192.168.0.1
  • [2001:db8:85a3:0:0:8a2e:370:7334]/Path

Beim Host wird nicht die Groß-/Kleinschreibung beachtet, beim Pfad jedoch schon. Ein URL-Listeneintrag, der mit /path endet, unterscheidet sich also von einem URL-Listeneintrag, der mit /Path endet.

Nicht unterstützte URL-Listenformate und ‑Parameter

Die folgenden URL-Formate und ‑Parameter werden in benutzerdefinierten URL-Listen nicht unterstützt. Bei Verwendung werden sie ignoriert und nicht als Teil des Eintrags gespeichert:

  • Ein URL-Schema (https://example.com wird in der URL-Liste als example.com gespeichert)
  • Abfrageparameter (example.com?user=1 wird in der URL-Liste als example.com gespeichert)
  • Anker (example.com#section1 wird in der URL-Liste als example.com gespeichert)
  • Ein nachgestellter Schrägstrich am Ende einer URL (example.com/ wird in der URL-Liste als example.com gespeichert)

Beispiel für eine benutzerdefinierte URL-Liste

Angenommen, Sie haben eine benutzerdefinierte URL-Liste mit den folgenden sechs Einträgen:

  1. example.com/path/1
  2. example.com/Path
  3. subdomain.example3.com
  4. 192.168.0.1
  5. [1:2:3:4:5:6:7:8]:3000
  6. 192.168.0.2/path

Wenn Sie eine Regel erstellen, die auf Aktiv festgelegt ist und die diese Liste als Bedingung verwendet, wird jede URL, die ein Nutzer in die Adressleiste eingibt, mit der Liste abgeglichen. Bei Übereinstimmungen wird die Regel ausgelöst.

Hinweis: Eine IP-Adresse und der zugehörige Domainname mit DNS-Zuordnung stellen zwei unterschiedliche URLs dar, die mit einer URL-Liste abgeglichen werden können.

Die folgende Tabelle enthält Beispiele für URLs, die ein Nutzer möglicherweise aufruft, und erklärt, warum die URL die Regel auslösen würde oder nicht.

In die Adressleiste eingegebene URL Löst die Regel aus?
http://example.com/path/1?param1=1#heading Ja. Da das Schema, der Abfrageparameter und der Anker ignoriert werden, stimmt die Formatierung dieser URL mit der ersten URL in Ihrer Liste überein.
https://subdomain.examPLE.com/path/1/2/3 Ja. Da das Schema ignoriert wird und beim Hostnamen in URL-Listen die Groß-/Kleinschreibung nicht beachtet wird, stimmt die Formatierung dieser URL mit der ersten URL in Ihrer Liste überein.
http://example.com/path Nein. Da beim Pfad in URL-Listen die Groß-/Kleinschreibung beachtet wird und kein Pfad aus Ihrer Liste ein Teilstring dieses Pfads ist, stimmt die Formatierung dieser URL mit keiner URL in Ihrer Liste überein.
https://example3.com/Path Nein. Da Ihr URL-Listeneintrag für example3.com eine Subdomain enthält, die in dieser URL nicht enthalten ist, gibt es keine Übereinstimmung.
http://192.168.0.1:8080/1/2/3 Ja. Die vierte URL in Ihrer Liste ist ein Teilstring dieser URL. Daher gibt es eine Übereinstimmung.
https://[01:02:03:04:05:06:07:08]:3000 Ja. Die Adresse dieser URL ist ein IPv6-Literal. Sie wird also in der Kurzform mit Ihrer URL-Liste verglichen und stimmt mit der fünften URL in Ihrer Liste überein.
http://192.168.0.2/path1234/2#heading Ja. Die sechste URL in Ihrer Liste ist ein Teilstring dieser URL. Daher gibt es eine Übereinstimmung.
https://[1.2.3.4.5.6.7.8]/Path Nein. Diese URL hat zwar denselben Host wie die fünfte URL in Ihrer Liste, enthält aber nicht den Port dieser URL. Daher gibt es keine Übereinstimmung.

Größenbeschränkungen für URL-Listen

  • Die maximale Länge jedes URL-Listeneintrags beträgt 150 Zeichen.
  • Die maximale Anzahl von URL-Listeneinträgen beträgt 20.000 oder eine Gesamtgröße von 1 MB, je nachdem, welcher Wert zuerst erreicht wird.
  • Die maximal zulässige Anzahl von URLs für eine einzelne Domain beträgt 800 oder 60 KB, je nachdem, welcher Wert zuerst erreicht wird. Die Domain example.com darf beispielsweise nicht mehr als 800 URLs in einer einzelnen URL-Liste enthalten.

URL-Liste für DLP in Chrome verwenden

Wenn Sie eine URL-Liste für DLP in Chrome verwenden möchten, müssen Sie einen URL-Listendetektor und eine Regel erstellen, die die URL-Liste als eine ihrer Bedingungen enthält.

Schritt 1: URL-Listendetektor erstellen

Hinweis: Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen "DLP-Regel ansehen und DLP-Regel verwalten".

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Detektoren verwalten.
  3. Klicken Sie auf Detektor hinzufügen und dann URL-Liste.
  4. Geben Sie im Abschnitt Name einen Namen und optional eine Beschreibung ein.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Wenn Ihre URL-Liste kurz ist oder Sie einer vorhandenen Liste einige Einträge hinzufügen möchten, wählen Sie URL hinzufügen aus. Geben Sie die URLs in das Textfeld ein und trennen Sie sie durch Kommas.
    • Wenn Sie eine CSV-Datei mit URLs hochladen oder eine vorhandene Liste bearbeiten möchten, wählen Sie URLs in großer Menge aktualisieren aus.
      • Wenn Sie Detektoren mit URL-Listen exportieren möchten, klicken Sie auf Detektoren exportieren.
  6. Klicken Sie auf Erstellen.

Schritt 2: DLP-Regel mit einer URL-Listenbedingung erstellen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen "DLP-Regel ansehen und DLP-Regel verwalten".

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Regeln verwalten und dann Regel hinzufügen und dann Neue Regel.
  3. Geben Sie einen Namen und optional eine Beschreibung für die Regel ein.
  4. Wählen Sie im Bereich Apps die Option Google Chrome und dann die Option aus, die die Regel auslöst (z. B. Aufgerufene URL).
  5. Klicken Sie auf Weiter.
  6. Wählen Sie im Abschnitt Aktionen unter „Chrome“ eine Aktion aus (z. B. Blockieren).
  7. Klicken Sie auf Weiter.
  8. Klicken Sie im Abschnitt Bereich auf Alle in Ihrer Organisation.
    • Optional: Wenn Sie Organisationseinheiten oder Gruppen, auf die die Regel angewendet wird, ein- oder ausschließen möchten, klicken Sie auf die entsprechende Option. Hinweis: Organisationseinheiten können eine beliebige Kombination aus Geräten und Nutzern enthalten. Gibt es einen Konflikt zwischen Organisationseinheiten und Gruppen, hat die Gruppe Vorrang.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung dann so:
    • Wählen Sie unter Zu scannender Inhaltstyp die Option URL aus.
    • Wählen Sie unter Wonach soll gesucht werden? die Option Stimmt mit einer URL aus einer URL-Liste überein aus.
    • Wählen Sie unter URL-Liste den Namen der URL-Liste aus, die Sie in Schritt 1 erstellt haben.
  10. Klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite Regeldetails einen Status aus:
    • Aktiv : Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel wird nicht sofort ausgeführt. So haben Sie Zeit, sie zu testen und mit Stakeholdern zu teilen. Wenn Sie eine inaktive Regel aktivieren möchten, folgen Sie der Anleitung unter Inaktive Regel Regel aktivieren auf dieser Seite.
  12. Klicken Sie auf Erstellen.

Inaktive Regel aktivieren

Wenn Sie eine inaktive Regel haben, können Sie sie so aktivieren:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen "DLP-Regel ansehen und DLP-Regel verwalten".

  2. Klicken Sie im Bereich Datenschutz Regeln und Detektoren auf Regeln verwalten.
  3. Klicken Sie in der Spalte Status für die Regel, die Sie aktivieren möchten, auf Inaktiv und wählen Sie dann Aktiv aus.
  4. Klicken Sie im Feld Regel deaktivieren auf Bestätigen.