在 Chrome 中使用自訂網址清單執行資料遺失防護

客戶必須購買 Chrome Enterprise Premium 才能使用網址清單。如要進一步瞭解如何透過 Chrome Enterprise 進階版整合資料遺失防護功能,請參閱「使用 Chrome Enterprise 進階版整合資料遺失防護功能與 Chrome」。

如要加強 Chrome 瀏覽器中的資料遺失防護 (DLP) 規則,請建立自訂網址清單。透過自訂網址清單,您可以運用規則設定,禁止使用者存取特定連結、在使用者開啟風險連結前發出警告,或記錄造訪特定連結的行為歷程。

什麼是網址清單?

網址清單是一組可用於 Chrome 資料遺失防護規則的網址,能與其他比對條件和自訂資料遺失防護規則搭配使用。

支援的網址格式

清單中每一筆網址項目的基本格式為 <主機>/<路徑>,可包含通訊埠號碼、IPv4 位址和 IPv6 位址。以下是一些有效的網址格式範例:

  • example.com
  • example.com:3000
  • subdomain.example.com
  • example.com/a/long/path
  • 192.168.0.1
  • [2001:db8:85a3:0:0:8a2e:370:7334]/Path

主機不區分大小寫,但路徑會區分。也就是說,清單中結尾為「/path」的網址項目,和結尾為「/Path」的項目是不同的。

不支援的網址格式和參數

在自訂網址清單中,下列網址格式和參數不受支援。若出現這些部分,系統會自動忽略,只保留主要網址:

  • 網址配置 (例如 https://example.com 會儲存為 example.com)
  • 查詢參數 (例如 example.com?user=1 會儲存為 example.com)
  • 錨點 (例如 example.com#section1 會儲存為 example.com)
  • 網址結尾的斜線 (例如 example.com/ 會儲存為 example.com)

自訂網址清單範例

假設您的自訂網址清單包含下列 6 個項目:

  1. example.com/path/1
  2. example.com/Path
  3. subdomain.example3.com
  4. 192.168.0.1
  5. [1:2:3:4:5:6:7:8]:3000
  6. 192.168.0.2/path

如果您在建立規則時將這份清單設為條件,那麼在規則啟用後,系統就會檢查使用者在網址列輸入的每個網址,凡是符合清單項目的網址都會觸發規則。

注意:提醒您,IP 位址和對應的 DNS 網域名稱是兩個不同網址,系統會分別與清單比對。

下表列出使用者可能造訪的網址範例,並解釋這些網址會或不會觸發規則的原因。

在網址列輸入的網址 是否會觸發規則?
http://example.com/path/1?param1=1#heading 可以。系統會忽略網址中的配置、查詢參數和錨點,因此該網址的格式與清單中的第一個網址相符。
https://subdomain.examPLE.com/path/1/2/3 可以。系統會忽略網址中的配置,而且比對主機名稱時不區分大小寫,因此該網址的格式與清單中的第一個網址相符。
http://example.com/path 不會。系統在比對網址時會區分路徑的大小寫,而且該網址不含清單中的路徑,因此格式不符合清單中任何網址。
https://example3.com/Path 不會。清單中的「example3.com」example3.com網址項目包含子網域,而該網址並未包含子網域,因此不相符。
http://192.168.0.1:8080/1/2/3 可以。清單中的第四個網址是該網址的子字串,因此相符。
https://[01:02:03:04:05:06:07:08]:3000 可以。該網址使用 IPv6 位址,因此會以縮短形式與清單比對,並與清單中的第五個網址相符。
http://192.168.0.2/path1234/2#heading 可以。清單中的第六個網址是該網址的子字串,因此相符。
https://[1.2.3.4.5.6.7.8]/Path 不會。雖然該網址與清單中的第五個網址具有相同主機,但缺少相同的通訊埠,因此不相符。

網址清單的大小限制

  • 清單中每個網址項目的長度上限為 150 個半形字元。
  • 最多包含 20,000 個網址項目,或總大小不超過 1 MB,以先達到者為準。
  • 單一網域最多有 800 個網址,或總大小不超過 60 KB,以先達到者為準。舉例來說,「example.com」example.com網域在同一份網址清單中,最多只能列出 800 個網址。

在 Chrome 中使用網址清單執行資料遺失防護

如要在 Chrome 中使用網址清單執行資料遺失防護,您需要建立網址清單偵測工具,以及將網址清單設為條件的規則。

步驟 1:建立網址清單偵測工具

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「存取權與資料控管」接下來「資料保護」

    須具備「查看及管理資料遺失防護規則」的管理員權限。

  2. 在「資料保護規則和偵測工具」部分,按一下「管理偵測工具」
  3. 依序按一下「新增偵測工具」接下來「網址清單」
  4. 在「名稱」部分輸入名稱,並可選擇加入說明。
  5. 選取下列其中一個選項:
    • 如果網址清單很短,或是想在現有清單中新增幾個網址,請選取「新增網址」。在文字欄位中輸入網址,並以半形逗號分隔。
    • 如要以 CSV 檔案上傳網址,或是編輯現有清單,請選取「大量更新網址」
      • 如要匯出含有網址清單的偵測工具,請按一下「匯出偵測工具」
  6. 點選「建立」

步驟 2:建立資料遺失防護規則,並設定網址清單做為條件

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「存取權與資料控管」接下來「資料保護」

    須具備「查看及管理資料遺失防護規則」的管理員權限。

  2. 在「資料保護規則和偵測工具」部分,依序按一下「管理規則」接下來「新增規則」接下來「建立新規則」
  3. 輸入規則名稱,並視需要輸入說明。
  4. 在「應用程式」部分選取「Google Chrome」,然後選取觸發規則的選項 (例如「造訪過的網址」)。
  5. 按一下「繼續」
  6. 在「動作」部分選取 Chrome 的動作,例如「封鎖」
  7. 按一下「繼續」
  8. 在「範圍」部分,按一下「<貴機構> 中所有人」
    • (選用) 如要納入/排除要套用規則的組織單位或群組,請按一下適當選項。 注意:組織單位可以包含裝置與使用者,組成方式不限。如果組織單位和群組的設定有衝突,系統會優先採用群組的設定。
  9. 在「內容條件」部分按一下「新增條件」,然後依下列方式設定條件:
    • 在「掃描內容類型」部分,選取「網址」
    • 在「掃描項目」部分,選取「符合網址清單中的網址」
    • 在「網址清單」部分,選取步驟 1 建立的網址清單名稱。
  10. 按一下「繼續」
  11. 在「規則詳情」頁面選取狀態:
    • 有效:規則會立即執行。
    • 無效:規則不會立即執行,您有時間測試規則並與相關人員分享。 如要啟用閒置規則,請按照本頁「啟用閒置規則」一節的步驟操作。
  12. 點選「建立」

啟用閒置規則

如果您有閒置規則,可以按照下列步驟啟用:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「存取權與資料控管」接下來「資料保護」

    須具備「查看及管理資料遺失防護規則」的管理員權限。

  2. 在「資料保護規則和偵測工具」部分,按一下「管理規則」
  3. 在「狀態」欄中,針對要啟用的規則,先點選「閒置」,再選取「啟用」
  4. 在「停用規則」方塊中,按一下「確認」