使用具有破解设备检测功能的 Windows 运行状况证明服务来保障您的设备安全。该服务允许 Workspace ONE UEM 在设备启动时检查其完整性并采取相应的纠正措施。

过程

  1. 导航到组与设置 > 所有设置 > 设备与用户 > Windows > Windows 桌面 > Windows 运行状况证明
  2. (可选) 如果使用自定义本地部署服务器并启用运行状况证明服务,请选择使用自定义服务器。输入服务器 URL
  3. 配置运行状况证明设置:
    设置 说明
    使用自定义服务器

    选择此选项,可配置用于运行状况证明的自定义服务器。

    此选项要求服务器运行 Windows Server 2016 或更新版本。

    启用此选项将显示“服务器 URL”字段。

    服务器 URL 输入用于自定义运行状况证明服务器的 URL。
    禁用安全启动

    如果设备上的安全启动被禁用,则启用此选项可标记破解设备状态。

    安全启动将强制系统启动到出厂受信任状态。如果安全启动已启用,用于启动计算机的核心组件必须具有 OEM 所信任的正确加密签名。UEFI 固件将在允许计算机启动前验证信任状态。如果检测到任何篡改文件,安全启动将阻止启动。

    证明标识密钥 (AIK) 不存在

    如果设备上不存在 AIK,则启用此选项可标记破解设备状态。

    如果设备中存在认证标识密钥 (AIK),则表示设备具有背书密钥 (EK) 证书。它可能信任多个不具有 EK 证书的设备。

    禁用数据执行保护 (DEP) 策略

    如果设备上的 DEP 被禁用,则启用此选项可标记破解设备状态。

    数据执行保护 (DEP) 策略是嵌入到操作系统的系统级别上的内存保护功能。此策略可阻止从数据页面(例如默认堆、堆栈和内存池)运行代码。DEP 是通过硬件和软件强制执行的。

    禁用 BitLocker 如果设备上的 BitLocker 加密被禁用时,则启用此选项可标记破解设备状态。
    禁用代码完整性检查

    如果设备的代码完整性检查被禁用,则启用此选项可标记破解设备状态。

    代码完整性是一项功能,每次将驱动程序或系统文件加载到内存时可对其进行完整性验证。代码完整性会在将驱动程序或系统文件加载到内核前检查其是否已签名。此检查还会扫描以管理员权限运行被恶意软件修改的系统文件的用户。

    禁用提前启动反恶意软件

    如果设备上的提前启动反恶意软件被禁用,则启用此选项可标记破解设备状态。

    早期启动反病毒功能 (ELAM) 可在网络中的计算机启动时和第三方驱动器初始化之前为其提供保护。

    代码完整性版本检查 如果代码完整性版本检查失败,则启用此选项可标记破解设备状态。
    启动管理器版本检查 如果启动管理器版本检查失败,则启用此选项可标记破解设备状态。
    启动应用安全版本号检查 当启动应用安全版本号与输入的编号不不一致时,启用此选项可标记被破解设备的状态。
    启动管理器安全版本号检查 当启动管理器安全版本号与输入的编号不一致时,启用此选项可标记被破解设备的状态。
    高级设置 启用此选项以在“软件版本标识符”部分配置高级设置。
  4. 选择保存