RSS
 

将 Windows 桌面 (Windows 10) 设备配置为使用基准的最佳做法。Workspace ONE UEM 将行业推荐的设置整理成单个基准配置,从而简化设备的安全保护。基准可减少设置和配置 Windows 设备所需的时间。

云端微服务

基准使用基于云的微服务来处理策略目录。如果您是内部部署客户,请确保您的环境可以与该微服务进行通信。

基准需要与设备服务建立持续连接

使用基准的所有已注册 Windows 10 设备都要求与 Workspace ONE UEM 设备服务 (DS) 服务器的连接不中断。设备需要这种持续连接,基准状态才能保持最新状态。

如果您使用代理设置或具有某些防火墙设置,这些配置可能会中断 Windows 10 设备与 DS 服务器之间的连接。例如,如果设备使用 VPN 或受限网络访问资源,则此设置会中断与 DS 服务器的连接。这些设备上的基准存在过期风险。

基准类型

  • 自定义
    • 如果您已有组策略对象 (GPO) 备份文件,则可以使用这些策略创建自定义基准。使用模板过程创建此自定义基准。
    • 您还可以在不使用模板的情况下创建自定义基准。Workspace ONE UEM 在基准的自行创建过程中提供策略。
  • CIS Windows 10 基准 - 此基准会应用 CIS 基准推荐的配置设置。为确保基准仅使用最佳设置和配置,VMware 已通过 CIS(互联网安全中心)认证,可提供行业热门基准(例如适用于 Windows 10 的 CIS 基准)。
  • Windows 10 安全基准 - 此基准会应用 Microsoft 推荐的配置设置。

基准基于设备的 Windows 操作系统版本。稍后可以在编辑时更改任何基准的操作系统版本。在配置过程中,您可以选择要使用的基准并自定义任何基准策略。您还可以在配置过程中添加其他 Microsoft ADMX 支持的策略。

CIS 基准注意事项

CIS 会报告列出的基准,以便在服务器和设备之间建立更安全的连接。但是,CIS Windows 10 基准模板当前不支持这些基准。管理员必须配置这些基准。有关详细信息,请参阅适用的 Windows Server CIS 基准报告。

  • 为尝试登录的用户配置交互式登录标题和文本。
  • 安装 LAPS(本地管理员密码解决方案)AdmPwd GPO 扩展/CSE。

分配基准后会发生什么?

在 Workspace ONE UEM 中注册设备后,您可以将设备添加到某个智能组,并为该组分配基准。设备重新启动后,设备将接收并应用基准中的所有设置和配置。设备会在发布基准时按照定义的签入间隔检查基准配置。将基准推送到设备时,Workspace ONE UEM 会存储设备设置的快照。

如何控制基准的分配?

您可以使用分配对话框的排除选项卡来限制基准的分配。您可以指定要从分配中排除的智能组。

基准管理

您可以从基准列表视图管理基准。您可以在此处编辑、复制和删除现有基准。

  • 复制:您可以在自定义添加策略选项卡上复制基准并编辑一些策略,以使基准适合其他部署方案。选择所需基准以显示复制菜单项。
    • Workspace ONE UEM 将复制的基准另存为 Copy of <Baseline Name>,但您可以更改名称。在复制的基准中完成编辑后,请选择保存并分配以将复制的基准分配给相应的组。
    • 无法编辑基准模板。如果需要其他模板,请创建新的基准。
    • 您可以将复制的基准移动到子组织组,也可以将其留在原始组织组中。您不能将复制的基准上移到组织组层次结构中。此行为反映了配置文件的行为。
  • 删除:如果删除已推送到设备的基准,则设备设置将根据 Workspace ONE UEM 存储的快照恢复为其之前的配置。

您可以在设备详细信息页面中查看对设备应用了哪些基准。

基准合规性状态

确保您的设备遵循含基准合规性状态的基准。从基准详细信息页面查看,基准合规性状态显示设备何时合规、处于中间、不合规或不可用。基准合规性状态仅适用于使用 UI 创建的基准。

**注意:**无法查看使用 ZIP 软件包(GPO 备份文件)创建的自定义基准的合规性状态。

中间设备 85% 到 99% 合规。使用此值可查看设备何时不合规。不可用状态表示 Workspace ONE UEM console 没有设备的合规性示例。打开基准并再次发布,即可强制创建一个示例。

创建基准

使用或不使用模板创建基准,以将设备配置为行业推荐的设置和配置。Workspace ONE UEM 根据行业热门基准(包括 CIS 基准和 Microsoft 的 Windows 10 安全基准)来调整基准。

必备条件

设备必须在 Workspace ONE UEM 中注册,并且必须安装 Workspace ONE Intelligent Hub。

如果要使用 GPO 备份文件发布自定义基准,则必须将 LGPO.exe 添加到要为其分配基准的所有设备。您必须安装位于 C:\ProgramData\Airwatch\LGPO\LGPO.exe 的 EXE。如果使用的是 CIS 基准模板、Windows 10 安全模板或自行创建向导,则无需添加此文件。

使用模板创建

如果要使用 GPO 备份文件创建基准,请使用模板过程。

  1. 导航到资源 > 配置文件和基准 > 基准,然后选择新建

  2. 选择使用模板

  3. 输入基准名称说明,然后选择管理基准的智能组。然后选择下一步

  4. 选择基准。

    设置 说明
    CIS Windows 10 基准 此基准应用 CIS 基准推荐的配置设置。选择要应用的操作系统版本和基准级别。
    Windows 10 安全基准 此基准应用 Microsoft 推荐的配置设置。选择要应用的操作系统版本和基准级别。
    自定义基准 上载具有 GPO 备份的 ZIP 文件。您必须在 Workspace ONE UEM 之外创建此基准。备份必须小于 5MB 且至少具有一个 GPO 文件夹。

  5. 选择下一步

  6. 根据需要自定义基准。您可以更改在基准中配置的任何现有 ADMX 策略。根据 GPO 基准创建自定义基准时,无法自定义现有 ADMX 支持的策略。

    在创建用户权限 ADMX 策略时,请务必使用 SID。有关详细信息,请参阅 Windows 操作系统中众所周知的安全标识符

  7. 选择下一步

  8. 将其他策略添加到基准。这些策略来自 Microsoft ADMX 文件。搜索任何策略以添加并配置它。

  9. 选择下一步

  10. 查看摘要,然后选择保存并分配。摘要包含任何自定义或添加的策略。

  11. 在分配过程中,请输入包含要为其分配基准的 Windows 10 设备的智能组。您可以使用排除选项卡重新定义获取基准的设备。输入要从分配中排除的智能组。
    排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。

  12. 重新启动设备以部署基准。

自行创建

如果不想使用模板,请在不使用模板的情况下创建自己的基准。

  1. 导航到资源 > 配置文件和基准 > 基准,然后选择新建
  2. 选择自行创建
  3. 输入基准名称说明,然后选择管理基准的智能组。然后选择下一步
  4. 添加策略窗口中,选择 Windows 操作系统版本,然后开始输入策略名称。
    例如,输入 UserComputer Configuration,然后从列表中选择所需策略。
  5. 将其他策略添加到基准。
    这些策略来自 Microsoft ADMX 文件。搜索策略以添加并对其进行配置。这些策略与模板可用策略相同,但显示为未配置。您必须启用并配置策略,否则必须禁用策略。
  6. 在设备上选择此策略的状态启用禁用未配置
  7. 查看摘要,然后选择保存并分配。摘要包括所有策略。
  8. 在分配过程中,请输入包含要为其分配基准的 Windows 10 设备的智能组。您可以使用排除选项卡重新定义获取基准的设备。输入要从分配中排除的智能组。
    排除将替代分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。
  9. 重新启动设备以部署基准。
check-circle-line exclamation-circle-line close-line
Scroll to top icon