使用基准

将 Windows 桌面设备配置为使用基准的最佳做法。Workspace ONE UEM 将行业推荐的设置整理成一个基准配置,从而简化设备的安全保护。基准缩短了设置和配置Windows设备所需的时间。

云端微服务

基准使用基于云的微服务来管理策略目录。如果您是内部部署客户,请确保您的环境可以与该微服务进行通信。

基准需要与设备服务建立持续连接

使用基准的所有已注册 Windows 设备都要求与 Workspace ONE UEM 设备服务 (DS) 服务器的连接不中断。设备需要这种持续连接,基准状态才能保持最新状态。

如果使用代理设置或具有某些防火墙设置,这些配置可能会中断 Windows 设备与 DS 服务器之间的连接。例如,如果设备使用 VPN 或受限网络访问资源,此设置会中断与 DS 服务器的连接。这些设备上的基准存在过期风险。

基准类型

  • 自定义
    • 如果您已有组策略对象 (GPO) 备份文件,则可以使用这些策略创建自定义基准。使用模板过程创建此自定义基准。
    • 您还可以在不使用模板的情况下创建自定义基准。Workspace ONE UEM 在基准的自行创建过程中提供策略。
  • CIS Windows 基准 - 此基准会应用 CIS 基准推荐的配置设置。为确保基准仅使用最佳设置和配置,VMware 已通过 CIS(互联网安全中心)认证,可提供行业热门基准(例如适用于 Windows 的 CIS 基准)。
  • Windows 安全基准 - 此基准会应用 Microsoft 推荐的配置设置。

基准基于设备的 Windows 操作系统版本。稍后可以在编辑时更改任何基准的操作系统版本。在配置过程中,您可以选择要使用的基准并自定义任何基准策略。您还可以在配置过程中添加其他 Microsoft ADMX 支持的策略。

CIS 基准注意事项

CIS 会报告列出的基准,以便在服务器和设备之间建立更安全的连接。但是,CIS Windows 基准模板当前不支持这些基准。管理员必须配置这些基准。有关详细信息,请参阅适用的 Windows Server CIS 基准报告。

  • 为尝试登录的用户配置交互式登录标题和文本。
  • 安装 LAPS(本地管理员密码解决方案)AdmPwd GPO 扩展/CSE。

分配基准

在 Workspace ONE UEM 中注册设备后,您可以将设备添加到某个智能组,并为该组分配基准。设备重新启动后,设备将接收并应用基准中的所有设置和配置。设备会在发布基准时按照定义的签入间隔检查基准配置。将基准推送到设备时,Workspace ONE UEM 会存储设备设置的快照。

您可以使用分配对话框的排除选项卡来限制基准的分配。您还可以选择要从分配中排除的智能组。

基准管理

您可以从控制台的基准列表视图管理基准,位置为资源 > 配置文件和基准 > 基准在 UEM Console 中显示基准。

您可以在此处编辑、复制和删除现有基准。

  • 复制:您可以在自定义添加策略选项卡上复制基准并编辑一些策略,以使基准适合其他部署方案。选择所需基准以显示复制菜单项。
    • 无法编辑基准模板。如果需要其他模板,请创建新的基准。
    • Workspace ONE UEM 将复制的基准另存为 Copy of <Baseline Name>,但您可以更改名称。
    • 保存复制的基准,但在编辑管理者字段(组织组)之前不要向其分配设备。您无法移动已分配设备的复制基准。
    • 组织组(管理者)和复制的基准具有局限性。
      • 要更改组织组,请在保存后编辑复制的基准。
      • 您可以将复制的基准移动到子组织组,也可以将其留在原始组织组中。
      • 您不能将复制的基准上移到组织组层次结构中。此行为反映了配置文件的行为。
  • 删除:如果删除已推送到设备的基准,则设备设置将根据 Workspace ONE UEM 存储的快照恢复为其之前的配置。

您可以在设备详细信息页面中查看对设备应用了哪些基准。

如何复制基准的示例

以下是如何复制现有基准并更新管理者字段以将基准移动到子组织组的常规示例。

  1. 在 Workspace ONE UEM console 中,转到相应的组织组。
  2. 转到资源 > 配置文件和基准 > 基准
    显示基准的导航路径
  3. 从列表中选择基准,然后选择复制
  4. 基准名称字段中更新基准的名称。您此时无法更新组织组。
  5. 根据需要浏览基准向导并进行更新。您无需进行更改,可以为任何选项卡选择下一步
  6. 摘要选项卡上,选择保存并分配
  7. 分配基准页面上,选择取消。此操作将取消将设备分配给复制的基准。
    重要提示:在编辑组织组之前,请勿将设备分配给复制的基准。
  8. 在列表中选择复制的基准,然后选择编辑
  9. 通过在常规 > 管理者中选择子组织组来更新组织组。
  10. 浏览向导,然后选择保存并发布
  11. 选择复制的基准,然后在准备添加设备时选择分配

重新应用基准

可以通过多种方式启用基准的本地实施。要执行在设备上添加重新应用注册表项的脚本,可以使用传感器、产品置备、应用和图书中的脚本,或者创建自定义设置配置文件。有关如何实施此和/或如何管理基准和组策略的详细信息,请参阅:技术区:使用组策略管理基准

基准合规性状态

确保您的设备遵循含基准合规性状态的基准。在控制台中找到合规性状态,位置为资源 > 配置文件和基准 > 基准,选择基准,然后查看合规性状态卡。基准合规性状态卡显示设备何时合规、处于中间状态、不合规或不可用。

注意:基准合规性状态仅适用于使用 UI 创建的基准。您看不到使用 GPO 备份文件创建的自定义基准的合规性状态。

  • 处于中间状态确定合规性达到 85% 到 99% 的设备。此状态指示您的设备降低了其针对分配的基准的合规程度。
  • 不可用状态表示 Workspace ONE UEM console 没有设备的合规性示例。打开基准并再次发布,即可强制创建一个示例。

查询合规性状态的基准

您可以查询设备获取基准示例以刷新合规性状态。要查询基准,请从设备详细信息视图开始。

注意:您可以一次查询特定设备的合规性状态,但不能同时查询多个设备的合规性状态。

  1. 在 Workspace ONE UEM console 中,转到设备,然后从设备列表视图中选择特定的 Windows 桌面设备。
  2. 选择更多操作 > 查询 > 基准。此过程将启动查询命令。
  3. 要查看更新的基准合规性状态,请转到资源 > 配置文件和基准 > 基准,选择基准,然后查看合规性状态卡。

验证合规性状态

如果设备上的设置与基准不匹配,请使用设备详细信息中的“故障排除”选项卡验证 Workspace ONE UEM 是否已收到设备样本。

  1. 在 Workspace ONE UEM console 中,转到设备,然后选择特定的 Windows 桌面设备。
  2. 设备详细信息视图中选择故障排除选项卡,以查看事件日志命令选项卡。
  3. 命令选项卡上,查看基准查询命令列表。您可以查看列出的状态。
    • 已排入队列:系统已在服务器数据库中输入命令。
    • 待定:设备已收到请求,但尚未响应。
    • 已处理:设备已发送样本,或者设备的样本已排入下一用户会话队列。
  4. 事件日志选项卡上,查看确认已收到基准示例响应事件

创建基准

使用或不使用模板创建基准,以将设备配置为行业推荐的设置和配置。Workspace ONE UEM 根据行业热门基准(包括 CIS 基准和 Microsoft 的 Windows 安全基准)来调整基准。

必备条件

设备必须在 Workspace ONE UEM 中注册,并且必须安装 Workspace ONE Intelligent Hub。

如果要使用 GPO 备份文件发布自定义基准,则必须将 LGPO.exe 添加到要为其分配基准的所有设备。您必须在 C:\ProgramData\Airwatch\LGPO\LGPO.exe 中安装 EXE。如果使用的是 CIS 基准模板、Windows 安全模板或自行创建向导,则无需添加此文件。

使用模板创建基准

如果要使用 GPO 备份文件创建基准,请使用模板过程。

  1. 导航到资源 > 配置文件和基准 > 基准,然后选择新建
    显示基准的导航路径
  2. 选择使用模板
  3. 输入基准名称说明,然后选择管理基准的智能组。然后选择下一步

  4. 选择基准。

    显示从 Windows 安全基准模板下拉列表中选择平台和版本

    设置 说明
    Windows 安全基准 此基准应用 Microsoft 推荐的配置设置。选择要应用的操作系统平台和版本。
    CIS Windows 基准 此基准应用 CIS 基准推荐的配置设置。选择要应用的操作系统平台、版本和基准级别。
    自定义基准 上载具有 GPO 备份的 ZIP 文件。您必须在 Workspace ONE UEM 之外创建此基准。备份必须小于 5MB 且至少具有一个 GPO 文件夹。

  5. 选择下一步

  6. 根据需要自定义基准。您可以更改在基准中配置的任何现有 ADMX 策略。根据 GPO 基准创建自定义基准时,无法自定义现有 ADMX 支持的策略。

    在创建用户权限 ADMX 策略时,请务必使用 SID。有关详细信息,请参阅 Windows 操作系统中众所周知的安全标识符
  7. 选择下一步
  8. 将其他策略添加到基准。这些策略来自 Microsoft ADMX 文件。搜索任何策略以添加并配置它。
  9. 选择下一步
  10. 查看摘要,然后选择保存并分配。摘要包含任何自定义或添加的策略。
  11. 在分配过程中,请输入包含要为其分配基准的 Windows 设备的智能组。您可以使用排除选项卡重新定义获取基准的设备。输入要从分配中排除的智能组。
    排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。
  12. 重新启动设备以部署基准。

创建自定义基准

如果不希望使用模板创建基准,请按照以下步骤创建自己的基准。

  1. 导航到资源 > 配置文件和基准 > 基准,然后选择新建
  2. 选择自行创建
  3. 输入基准名称说明,然后选择管理基准的智能组。然后选择下一步
  4. 添加策略窗口中,选择 Windows 操作系统版本,然后开始输入策略名称。
    例如,输入 UserComputer Configuration,然后从列表中选择所需策略。
  5. 将其他策略添加到基准。
    这些策略来自 Microsoft ADMX 文件。搜索策略以添加并对其进行配置。这些策略与模板可用策略相同,但显示为未配置。您必须启用并配置该策略,或者必须禁用该策略。
  6. 在设备上选择此策略的状态启用禁用未配置
  7. 查看摘要,然后选择保存并分配。摘要包括所有策略。
  8. 在分配过程中,请输入包含要为其分配基准的 Windows 设备的智能组。您可以使用排除选项卡重新定义获取基准的设备。输入要从分配中排除的智能组。
    排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。
  9. 重新启动设备以部署基准。
check-circle-line exclamation-circle-line close-line
Scroll to top icon