Hold dine enheder sikre ved hjælp af Windows Health Attestation Service til registrering af kompromitterede enheder. Denne tjeneste lader AirWatch overvåge enhedsintegriteten under start og foretage korrigerende handlinger.

Compliance-politik for kompromitteret status er tilgængelig for Windows 10-enheder med et Trusted Platform Module (TPM) 1.2 eller nyere.

Fremgangsmåde

  1. Gå til Grupper og indstillinger > Alle indstillinger > Enheder og brugere > Windows > Windows Phone > Windows Health Attestation.
  2. (Valgfrit) Vælg Anvend brugerdefineret server, hvis du benytter en brugerdefineret on-premises-server, der kører Health Attestation. Indtast Server-URL-adresse.
  3. Konfigurer indstillinger for attestation af tilstand:
    Tabel 1. Definition af kompromitteret status
    Indstillinger Beskrivelser
    Anvend brugerdefineret server

    Vælg for at konfigurere en brugerdefineret server med henblik på sundhedsattest.

    Denne indstilling kræver en server, der kører Windows Server 2016 eller nyere.

    Aktivering af denne indstilling viser feltet Servers URL-adresse.

    Serverens URL-adresse Indtast URL-adressen for din brugerdefinerede sundhedsattest-server.
    Secure Boot deaktiveret

    Vælg for at markere statussen som kompromitteret, når sikker opstart er deaktiveret på enheden.

    Sikker opstart tvinger systemet til at genstarte i en tilstand, som producenten har tillid til. Når sikker opstart er aktiveret, skal de primære komponenter, der bruges til at starte maskinen, have de korrekte kryptografiske signaturer, som OEM'en har tillid til. UEFI-firmwaren bekræfter tilliden, før den giver maskinen tilladelse til at starte. Sikker start forhindrer, at maskinen startes, hvis manipulerede filer registreres.

    Attestation Identity Key (AIK) ikke tilstede

    Aktivér for at markere enheden med status som kompromitteret, når AIK'en ikke er til stede på enheden.

    Attestationsidentifikationsnøglen (AIK, Attestation Identity Key) er til stede på en enhed. Det betyder, at enheden har et godkendelsesnøglecertifikat (EK, Endorsement Key). Den er mere pålidelig end en enhed, der ikke har et EK-certifikat.

    Data Execution Prevention (DEP) politik deaktiveret

    Aktivér for at markere enheden med status som kompromitteret, når DEP'en er deaktiveret på enheden.

    Politikken for forebyggelse af dataeksekvering (DEP – Data Execution Prevention) er en hukommelsesbeskyttelse, der er indbygget i operativsystemet på systemniveau. Politikken forhindrer kørsel af kode fra datasider, f.eks. en standard-heap, stakke og hukommelsespuljer. DEP håndhæves af både hardwaren og softwaren.

    BitLocker deaktiveret

    Aktivér for at markere enheden med status som kompromitteret, når BitLocker-kryptering er deaktiveret på enheden.

    Code Integrity Check deaktiveret

    Aktivér for at markere enheden med status som kompromitteret, når kontrol af kodeintegriteten er deaktiveret på enheden.

    Kodeintegritet er en funktion, der kontrollerer en drivers eller systemfils integritet, hver gang den indlæses i hukommelsen. Kodeintegriteten kontrollerer, om der er ikke-signerede drivere eller systemfiler, før de indlæses i kernen. Kontrollen scanner også efter brugere med administrative rettigheder, der kører systemfiler, som er ændret af skadelig software.

    Early Launch Anti-Malware deaktiveret

    Aktivér for at markere enheden med status som kompromitteret, når beskyttelsen mod malware ved tidlig lancering er deaktiveret på enheden.

    Early launch anti-malware (ELAM) sørger for beskyttelse af computerne i dit netværk når de starter op og før drivere fra tredjepart startes.

    Code Integrity versionstjek Aktivér for at markere enheden med status som kompromitteret, når kontrollen af kodeintegritetsversionen giver negativt resultat.
    Boot Manager versionstjek Aktivér for at markere enheden med status som kompromitteret, når kontrollen af boot manager-versionen giver negativt resultat.
    Boot-app sikkerhedsversionsnummer tjek Aktivér for at markere enheden med status som kompromitteret, når boot-appsikkerhedsversionsnummeret ikke passer til det indtastede nummer.
    Boot-manager sikkerhedsversionsnummer tjek Aktivér for at markere enheden med status som kompromitteret, når boot manager-sikkerhedsversionsnummeret ikke passer til det indtastede nummer.
    Avancerede indstillinger Aktivér for at konfigurere avancerede indstillinger i afsnittet Softwareversions-identifikatorer.

Næste trin

Se Microsoft TechNet-artiklen om attestation af tilstand for at få flere oplysninger.