使用基准确保 Windows 桌面设备的安全。Workspace ONE UEM 将行业推荐的设置整理成单个配置,从而简化设备的安全保护。

按照最佳做法配置您的设备是一个非常耗时的过程。Workspace ONE UEM 将最佳实践和行业推荐的设置整理到名为“基准”的配置中。这些配置可显著减少设置和配置 Windows 设备所需的时间。

云端微服务

基准使用基于云的微服务来处理策略目录。如果您是内部部署客户,请确保您的环境可以与该微服务进行通信。

基准需要与设备服务建立持续连接

使用基准的所有已注册 Windows 桌面设备都要求与 Workspace ONE UEM 设备服务 (DS) 服务器的连接不中断。设备需要这种持续连接,基准状态才能保持最新状态。

如果您使用代理设置或具有某些防火墙设置,这些配置可能会中断 Windows 10 设备与 DS 服务器之间的连接。例如,如果设备使用 VPN 或受限网络访问资源,则此设置会中断与 DS 服务器的连接。这些设备上的基准存在过期风险。

基准类型

  • 自定义 - 如果已有组策略对象 (GPO) 备份文件,则可使用这些策略创建自定义基准。创建自定义基准时,您可以将其他策略添加到现有 GPO。
  • CIS Windows 10 基准 - 此基准会应用 CIS 基准推荐的配置设置。为确保基准仅使用最佳设置和配置,VMware 已通过 CIS(互联网安全中心)认证,可提供行业热门基准(例如适用于 Windows 10 的 CIS 基准)。
  • Windows 10 安全基准 - 此基准会应用 Microsoft 推荐的配置设置。

基准基于设备的 Windows 操作系统版本。稍后可以在编辑时更改任何基准的操作系统版本。在配置过程中,您可以选择要使用的基准并自定义任何基准策略。您还可以在配置过程中添加所需的任何其他策略。这些策略是 Microsoft ADMX 策略。

分配基准后会发生什么?

在 Workspace ONE UEM 中注册设备后,您可以将设备添加到某个智能组,并为该组分配基准。设备重新启动后,设备将接收并应用基准中的所有设置和配置。设备会在发布基准时按照定义的签入间隔检查基准配置。将基准推送到设备时,Workspace ONE UEM 会存储设备设置的快照。您可以使用“分配”对话框的排除选项卡来限制基准的分配。您可以指定要从分配中排除的智能组。

基准管理

您可以从基准列表视图管理基准。您可以在此处编辑和删除现有基准。如果删除已推送到设备的基准,则设备设置将根据 Workspace ONE UEM 存储的快照恢复为发布基准之前的设置。

您可以在设备详细信息页面中查看对设备应用了哪些基准。

基准合规性状态

确保您的设备遵循含基准合规状态的基准。从基准详细信息页面查看,基准合规状态显示设备何时合规、处于中间、不合规或不可用。基准合规状态仅适用于使用 UI 创建的基准。

**注:**无法查看使用 ZIP 软件包创建的自定义基准的合规状态。

中间设备 85% 到 99% 合规。使用此值可查看设备何时不合规。不可用状态表示 Workspace ONE UEM console 没有设备的合规性示例。只需打开基准并再次发布,即可强制创建一个示例。

创建基准

创建基准,用于将设备配置为行业建议的设置和配置。Workspace ONE UEM 根据行业热门基准(包括 CIS 基准和 Microsoft 的 Windows 10 安全基准)来调整基准。

必备条件

基准要求在 Workspace ONE UEM 中注册设备,并安装 Workspace ONE Intelligent Hub。

如果要发布自定义基准,则必须将 LGPO.exe 添加到要向其分配基准的所有设备。您必须安装位于 C:\\ProgramData\\Airwatch\\LGPO\\LGPO.exe 的 EXE。如果您使用的是 CIS 基准或 Windows 10 安全基准,则无需添加此文件。

过程

  1. 导航到资源 > 配置文件和基准 > 基准,然后选择新建

  2. 输入基准名称说明,然后选择管理基准的智能组。然后选择下一步

  3. 选择基准。

    设置 说明
    CIS Windows 10 基准 此基准应用 CIS 基准推荐的配置设置。选择要应用的操作系统版本和基准级别。
    Windows 10 安全基准 此基准应用 Microsoft 推荐的配置设置。选择要应用的操作系统版本和基准级别。
    自定义基准 上载具有 GPO 备份的 ZIP 文件。您必须在 Workspace ONE UEM 之外创建此基准。备份必须小于 5MB 且至少具有一个 GPO 文件夹。
  4. 选择下一步

  5. 根据需要自定义基准。您可以更改在基准中配置的任何现有 ADMX 策略。根据 GPO 基准创建自定义基准时,无法自定义现有 ADMX 策略。

    在创建用户权限 ADMX 策略时,请务必使用 SID。有关详细信息,请参阅 Windows 操作系统中众所周知的安全标识符

  6. 选择下一步

  7. 将任何其他策略添加到基准。这些策略来自 Microsoft ADMX 文件。搜索任何策略以添加并配置策略。

  8. 选择下一步

  9. 查看摘要,然后选择保存并分配。摘要包含任何自定义或添加的策略。

  10. 在分配过程中,请输入包含要为其分配基准的 Windows 10 设备的智能组。您可以使用排除标签页重新定义获取基准的设备。输入要从分配中排除的智能组。

    排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。

结果

Workspace ONE UEM 会将基准分配给智能组中的所有设备(排除的智能组中的设备除外)。

后续操作

您必须重新启动设备才能使基准生效。

check-circle-line exclamation-circle-line close-line
Scroll to top icon