运行状况证明在启动期间对设备进行扫描,以检测是否有设备完整性故障。在 Workspace ONE UEM 下管理时,使用运行状况证明来检测被破解的 Windows 桌面设备。
在 BYOD 和企业所有设备的部署中,很重要的一点是要确知设备在访问企业资源时处于良好状态。Windows 运行状况证明服务通过安全的云通信来访问设备启动信息。该信息被用来衡量和对照相关的数据点,确保设备启动进程与预期相符,而非已成为安全漏洞或威胁的牺牲品。衡量指标包括安全启动、代码完整性、BitLocker 和启动管理器。
Workspace ONE UEM 允许您配置 Windows 运行状况证明服务,从而确保设备合规。如果任何启用的检查项失败,Workspace ONE UEM 合规策略引擎会根据所配置的合规策略采取相应安全措施。此功能让您可以确保企业数据免受已破解设备的威胁。Workspace ONE UEM 从设备硬件(而非操作系统)提取必要信息,因此即使操作系统内核被破解,也可以检测到破解设备。
使用具有破解设备检测功能的 Windows 运行状况证明服务来保障您的设备安全。该服务允许 Workspace ONE UEM 在设备启动时检查其完整性并采取相应的纠正措施。
导航至组与设置 > 所有设置 > 设备与用户 > Windows > Windows 桌面 > Windows 运行状况证明。
如果使用自定义本地部署服务器并启用运行状况证明服务,请选择使用自定义服务器。输入服务器 URL。
配置运行状况证明设置:
| 设置 | 说明 |
|---|---|
| 使用自定义服务器 | 选择此选项,可配置用于运行状况证明的自定义服务器。 此选项要求服务器运行 Windows Server 2016 或更高版本。 启用此选项将显示“服务器 URL”字段。 |
| 服务器 URL | 输入用于自定义运行状况证明服务器的 URL。 |
| 安全启动已停用 | 如果设备上的安全启动被停用,则启用此选项可标记破解设备状态。 安全引导将强制系统引导至出厂受信任状态。如果安全启动已启用,用于启动计算机的核心组件必须具有 OEM 所信任的正确加密签名。UEFI 固件将在允许计算机启动前验证信任状态。如果检测到任何篡改文件,安全启动将阻止启动。 |
| 证明标识密钥 (AIK) 不存在 | 如果设备上不存在 AIK,则启用此选项可标记破解设备状态。 如果设备上存在证明标识密钥 (AIK),则表示设备具有背书密钥 (EK) 证书。它可能信任多个不具有 EK 证书的设备。 |
| 数据执行保护 (DEP) 策略已停用 | 如果设备上的 DEP 被停用,则启用此选项可标记破解设备状态。 数据执行保护 (DEP) 策略是内置在操作系统的系统级别的内存保护功能。此策略可阻止从数据页面(例如默认堆、堆栈和内存池)运行代码。DEP 是通过硬件和软件强制执行的。 |
| BitLocker 已停用 | 启用此选项可在设备上的 BitLocker 加密被停用时标记破解设备状态。 |
| 代码完整性检查已停用 | 如果设备的代码完整性检查被停用,则启用此选项可标记破解设备状态。 代码完整性是一项功能,每次将驱动程序或系统文件加载到内存时都会对其进行完整性验证。代码完整性会在将驱动程序或系统文件加载到内核前检查其是否已签名。此检查还会扫描以管理员权限运行被恶意软件修改的系统文件的用户。 |
| 预先启动反恶意软件已停用 | 如果设备上的提前启动反恶意软件被停用,则启用此选项可标记破解设备状态。 预先启动反恶意软件 (ELAM) 可在网络中的计算机启动时和第三方驱动器初始化之前为其提供保护。 |
| 代码完整性版本检查 | 如果代码完整性版本检查失败,则启用此选项可标记破解设备状态。 |
| 启动管理器版本检查 | 如果启动管理器版本检查失败,则启用此选项可标记破解设备状态。 |
| 启动应用安全版本号检查 | 当启动应用安全版本号与输入的编号不不一致时,启用此选项可标记被破解设备的状态。 |
| 启动管理器安全版本号检查 | 当启动管理器安全版本号与输入的编号不一致时,启用此选项可标记被破解设备的状态。 |
| 高级设置 | 启用此选项以在“软件版本标识符”部分配置高级设置。 |
选择保存。
父主题:合规策略
