Mantenha os dispositivos protegidos usando o serviço de Atestado de Integridade do Windows para a detecção de dispositivos comprometidos. Esse serviço permite que Workspace ONE UEM verifique a integridade do dispositivo durante a inicialização e execute ações corretivas.

Procedimento

  1. Vá até Grupos e configurações > Todas as configurações > Dispositivos e usuários > Windows > Windows Desktop > Atestado de Integridade do Windows.
  2. (Opcional) Selecione Usar servidor personalizado se estiver usando um servidor personalizado no local que executa o Atestado de Integridade. Digite a URL do servidor.
  3. Defina as configurações do Atestado de Integridade:
    Configurações Descrições
    Usar o servidor personalizado

    Selecione para configurar um servidor personalizado para a Declaração de integridade.

    Esta opção requer um servidor executando o Windows Server 2016 ou versão mais recente.

    Ativar essa opção exibe o campo de URL do servidor.

    URL do servidor Digite a URL para o seu servidor de Declaração de integridade personalizado.
    Inicialização segura desabilitada

    Ative para sinalizar status de comprometido do dispositivo quando a inicialização segura estiver desativada no dispositivo.

    A inicialização segura força o sistema a inicializar em um estado de fábrica confiável. Quando a inicialização segura está habilitada, os componentes centrais usados para inicializar a máquina devem ter as assinaturas criptográficas corretas que a OEM confie. O firmware UEFI verifica a relação de confiança antes de permitir que a máquina seja iniciada. A inicialização segura impede a inicialização se detectar arquivos violados.

    A chave de declaração de identidade (AIK) não se encontra presente

    Ative para sinalizar status de comprometido do dispositivo quando a AIK não estiver presente no dispositivo.

    Se a chave de declaração de identidade (AIK) estiver presente em um dispositivo, isso indica que o dispositivo possui um certificado de endosso (EK) da chave. Ele pode ser mais confiável do que um dispositivo que não tenha um certificado EK.

    Política da prevenção de execução de dados (DEP) desabilitada.

    Ative para sinalizar status de comprometido do dispositivo quando a DEP estiver desativada no dispositivo.

    A política de prevenção de execução de dados (DEP) é um recurso de proteção de memória integrado no nível do sistema do sistema operacional. A política impede o código de páginas de dados, como heap padrão, pilhas e pools de memória. A DEP é executada pelo hardware e software.

    BitLocker desabilitado Ative para sinalizar status de comprometido do dispositivo quando a criptografia do BitLocker estiver desativada no dispositivo.
    Verificação da integridade de código desabilitada

    Ative para sinalizar status de comprometido do dispositivo quando a verificação de integridade do código estiver desativada no dispositivo.

    A integridade do código é um recurso que valida a integridade de um arquivo de sistema ou driver cada vez que ele for carregado na memória. Verificações de integridade de código para drivers não assinados ou arquivos de sistema antes de serem carregados no kernel. A verificação também examina usuários com privilégios administrativos que executem arquivos de sistema modificados por software malicioso.

    Proteção antimalware de inicialização antecipada desabilitada

    Ative para sinalizar status de comprometido do dispositivo quando o antimalware de inicialização antecipada estiver desativado no dispositivo.

    A proteção antimalware de inicialização antecipada (ELAM) disponibiliza proteção para os computadores em sua rede quando os mesmos inicializam e antes que os drivers de terceiros inicializem.

    Verificação da versão da integridade do código Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de integridade do código falhar.
    Verificação da versão do gerenciador de inicialização Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de gerente de inicialização falhar.
    Verificação do úmero da versão de segurança do aplicativo de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do aplicativo de inicialização não corresponder ao número inserido.
    Verificação do número da versão de segurança do gerenciador de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do gerente de inicialização não corresponder ao número inserido.
    Configurações avançadas Ative para definir configurações avançadas na seção de identificadores de versão de software.
  4. Selecione Salvar.