O Atestado de Integridade verifica se há falhas de integridade nos dispositivos durante a inicialização. Use o atestado de integridade para detectar os dispositivos comprometidos do Windows Desktop enquanto gerenciado no Workspace ONE UEM.

Em implantações de dispositivos BYOD e de propriedade corporativa, é importante saber que os dispositivos estão íntegros ao acessar os recursos corporativos. O serviço de Atestado de Integridade do Windows acessa as informações de inicialização do dispositivo a partir da nuvem por meio das comunicações seguras. Essas informações são medidas e verificadas em relação a pontos de dados relacionados para garantir que o dispositivo inicializou conforme o esperado e não é vítima de ameaças ou vulnerabilidades de segurança. As medidas incluem a Inicialização Segura, a Integridade de Código, o BitLocker e o Gerenciador de Inicialização.

O Workspace ONE UEM permite configurar o serviço de Atestado de Integridade do Windows para garantir a conformidade do dispositivo. Se alguma das verificações ativadas falhar, o mecanismo das políticas de conformidade do Workspace ONE UEM aplicará medidas de segurança com base na política de conformidade configurada. Tal recurso permite que possa manter seus dados corporativos protegidos dos dispositivos fora de conformidade. Como o Workspace ONE UEM obtém as informações que necessita do hardware do dispositivo e não do seu sistema operacional (SO), os dispositivos comprometidos são detectados mesmo quando o kernel do SO está comprometido.

Configurar o Atestado de Integridade com as Políticas de conformidade do Windows Desktop

Mantenha os dispositivos protegidos usando o serviço de Atestado de Integridade do Windows para a detecção de dispositivos comprometidos. Esse serviço permite que o Workspace ONE UEM verifique a integridade do dispositivo durante a inicialização e execute ações corretivas.

  1. Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Windows > Windows Desktop > Declaração de integridade Windows.

  2. Selecione Usar servidor personalizado se estiver usando um servidor personalizado no local que executa o Atestado de Integridade. Digite a URL do servidor.

  3. Defina as configurações do Atestado de Integridade:

    Configurações Descrições
    Usar o servidor personalizado Selecione para configurar um servidor personalizado para a Declaração de integridade.

    Esta opção requer um servidor executando o Windows Server 2016 ou versão mais recente.

    Ativar essa opção exibe o campo de URL do servidor.
    URL do servidor Digite a URL para o seu servidor de Declaração de integridade personalizado.
    Inicialização segura desabilitada Ative para sinalizar status de comprometido do dispositivo quando a inicialização segura estiver desativada no dispositivo.

    A inicialização segura força o sistema a inicializar em um estado de fábrica confiável. Quando a inicialização segura está habilitada, os componentes centrais usados para inicializar a máquina devem ter as assinaturas criptográficas corretas que a OEM confie. O firmware UEFI verifica a relação de confiança antes de permitir que a máquina seja iniciada. A inicialização segura impede a inicialização se detectar arquivos violados.
    A chave de declaração de identidade (AIK) não se encontra presente Ative para sinalizar status de comprometido do dispositivo quando a AIK não estiver presente no dispositivo.

    Se a chave de declaração de identidade (AIK) estiver presente em um dispositivo, isso indica que o dispositivo possui um certificado de endosso (EK) da chave. Ele pode ser mais confiável do que um dispositivo que não tenha um certificado EK.
    Política da prevenção de execução de dados (DEP) desabilitada. Ative para sinalizar status de comprometido do dispositivo quando a DEP estiver desativada no dispositivo.

    A política de prevenção de execução de dados (DEP) é um recurso de proteção de memória integrado no nível do sistema do sistema operacional. A política impede o código de páginas de dados, como heap padrão, pilhas e pools de memória. A DEP é executada pelo hardware e software.
    BitLocker desabilitado Ative para sinalizar status de comprometido do dispositivo quando a criptografia do BitLocker estiver desativada no dispositivo.
    Verificação da integridade de código desabilitada Ative para sinalizar status de comprometido do dispositivo quando a verificação de integridade do código estiver desativada no dispositivo.

    A integridade do código é um recurso que valida a integridade de um arquivo de sistema ou driver cada vez que ele for carregado na memória. Verificações de integridade de código para drivers não assinados ou arquivos de sistema antes de serem carregados no kernel. A verificação também examina usuários com privilégios administrativos que executem arquivos de sistema modificados por software malicioso.
    Proteção antimalware de inicialização antecipada desabilitada Ative para sinalizar status de comprometido do dispositivo quando o antimalware de inicialização antecipada estiver desativado no dispositivo.

    A proteção antimalware de inicialização antecipada (ELAM) disponibiliza proteção para os computadores em sua rede quando os mesmos inicializam e antes que os drivers de terceiros inicializem.
    Verificação da versão da integridade do código Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de integridade do código falhar.
    Verificação da versão do gerenciador de inicialização Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de gerente de inicialização falhar.
    Verificação do úmero da versão de segurança do aplicativo de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do aplicativo de inicialização não corresponder ao número inserido.
    Verificação do número da versão de segurança do gerenciador de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do gerente de inicialização não corresponder ao número inserido.
    Configurações avançadas Ative para definir configurações avançadas na seção de identificadores de versão de software.
  4. Selecione Salvar.

Tópico principal: Políticas de conformidade

check-circle-line exclamation-circle-line close-line
Scroll to top icon