将 Windows 桌面设备配置为使用基准的最佳做法。Workspace ONE UEM 将行业推荐的设置整理成单个基准配置,从而简化设备的安全保护。基准可减少设置和配置 Windows 设备所需的时间。
基准使用基于云的微服务来处理策略目录。如果您是内部部署客户,请确保您的环境可以与该微服务进行通信。
使用基准的所有已注册 Windows 设备都要求与 Workspace ONE UEM 设备服务 (DS) 服务器的连接不中断。设备需要这种持续连接,基准状态才能保持最新状态。
如果使用代理设置或具有某些防火墙设置,这些配置可能会中断 Windows 设备与 DS 服务器之间的连接。例如,如果设备使用 VPN 或受限网络访问资源,则此设置会中断与 DS 服务器的连接。这些设备上的基准存在过期风险。
基准基于设备的 Windows 操作系统版本。稍后可以在编辑时更改任何基准的操作系统版本。在配置过程中,您可以选择要使用的基准并自定义任何基准策略。您还可以在配置过程中添加其他 Microsoft ADMX 支持的策略。
CIS 会报告列出的基准,以便在服务器和设备之间建立更安全的连接。但是,CIS Windows 基准模板当前不支持这些基准。管理员必须配置这些基准。有关详细信息,请参阅适用的 Windows Server CIS 基准报告。
在 Workspace ONE UEM 中注册设备后,您可以将设备添加到某个智能组,并为该组分配基准。设备重新启动后,设备将接收并应用基准中的所有设置和配置。设备会在发布基准时按照定义的签入间隔检查基准配置。将基准推送到设备时,Workspace ONE UEM 会存储设备设置的快照。
您可以使用分配对话框的排除选项卡来限制基准的分配。您可以指定要从分配中排除的智能组。
您可以从控制台的基准列表视图管理基准,位置为资源 > 配置文件和基准 > 基准。您可以在此处编辑、复制和删除现有基准。
Copy of <Baseline Name>
,但您可以更改名称。您可以在设备详细信息页面中查看对设备应用了哪些基准。
以下是如何复制现有基准并更新管理者字段以将基准移动到子组织组的常规示例。
确保您的设备遵循含基准合规性状态的基准。在控制台中找到合规性状态,位置为资源 > 配置文件和基准 > 基准,选择基准,然后查看合规性状态卡。基准合规性状态卡显示设备何时合规、处于中间状态、不合规或不可用。
注意:基准合规性状态仅适用于使用 UI 创建的基准。您看不到使用 GPO 备份文件创建的自定义基准的合规性状态。
您可以查询设备获取基准示例以刷新合规性状态。要查询基准,请从设备详细信息视图开始。
注意:您可以一次查询特定设备的合规性状态,但不能同时查询多个设备的合规性状态。
如果设备上的设置与基准不匹配,请使用设备详细信息中的“故障排除”选项卡验证 Workspace ONE UEM 是否已收到设备样本。
使用或不使用模板创建基准,以将设备配置为行业推荐的设置和配置。Workspace ONE UEM 根据行业热门基准(包括 CIS 基准和 Microsoft 的 Windows 安全基准)来调整基准。
设备必须在 Workspace ONE UEM 中注册,并且必须安装 Workspace ONE Intelligent Hub。
如果要使用 GPO 备份文件发布自定义基准,则必须将 LGPO.exe 添加到要为其分配基准的所有设备。您必须安装位于 C:\ProgramData\Airwatch\LGPO\LGPO.exe
的 EXE。如果使用的是 CIS 基准模板、Windows 安全模板或自行创建向导,则无需添加此文件。
如果要使用 GPO 备份文件创建基准,请使用模板过程。
导航到资源 > 配置文件和基准 > 基准,然后选择新建。
选择使用模板。
输入基准名称和说明,然后选择管理基准的智能组。然后选择下一步。
选择基准。
设置 | 说明 |
---|---|
CIS Windows 基准 | 此基准应用 CIS 基准推荐的配置设置。选择要应用的操作系统版本和基准级别。 |
Windows 安全基准 | 此基准应用 Microsoft 推荐的配置设置。选择要应用的操作系统版本和基准级别。 |
自定义基准 | 上载具有 GPO 备份的 ZIP 文件。您必须在 Workspace ONE UEM 之外创建此基准。备份必须小于 5MB 且至少具有一个 GPO 文件夹。 |
选择下一步。
根据需要自定义基准。您可以更改在基准中配置的任何现有 ADMX 策略。根据 GPO 基准创建自定义基准时,无法自定义现有 ADMX 支持的策略。
在创建用户权限 ADMX 策略时,请务必使用 SID。有关详细信息,请参阅 Windows 操作系统中众所周知的安全标识符。
选择下一步。
将其他策略添加到基准。这些策略来自 Microsoft ADMX 文件。搜索任何策略以添加并配置它。
选择下一步。
查看摘要,然后选择保存并分配。摘要包含任何自定义或添加的策略。
在分配过程中,请输入包含要为其分配基准的 Windows 设备的智能组。您可以使用排除选项卡重新定义获取基准的设备。输入要从分配中排除的智能组。
排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。
重新启动设备以部署基准。
如果不想使用模板,请在不使用模板的情况下创建自己的基准。
User
或 Computer Configuration
,然后从列表中选择所需策略。