Kompromitteret enhedsregistrering med attestation af tilstand

Attestation af tilstand scanner enheder under start for fejl i enhedsintegritet. Anvend Attestation af tilstand for at registrere kompromitterede Windows Desktop-enheder, mens de styres under Workspace ONE UEM.

I udrulninger af både BYOD og virksomhedsejede enheder er det vigtigt at vide, at enhederne er i god tilstand, når de får adgang til virksomhedsressourcer. Tjenesten Windows Health Attestation giver adgang til enhedsstartoplysninger fra skyen gennem sikker kommunikation. Oplysningerne måles og tjekkes i forhold til relaterede datapunkter for at sikre, at enheden startes op som tilsigtet og ikke er udsat for sikkerhedsrisici eller trusler. Målinger inkluderer Secure Boot, Code Integrity, BitLocker og Boot Manager.

Workspace ONE UEM lader dig konfigurere tjenesten Windows Health Attestation for at sikre compliance. Hvis et aktiveret tjek slår fejl, anvender Workspace ONE UEM compliance-politikkens sikkerhedsforanstaltninger, der er baseret på den konfigurerede compliance-politik. Denne funktionalitet lader dig holde dine enterprise data sikre fra kompromitterede enheder. Da Workspace ONE UEM henter nødvendig information fra enhedens hardware og ikke fra operativsystemet, så vil kompromitterede enheder blive registeret, selv hvis OS-kernen er kompromitteret.

Konfiguration af attestation af tilstand for Windows Desktop-compliance-politikker

Hold dine enheder sikre ved hjælp af Windows Health Attestation Service til registrering af kompromitterede enheder. Denne tjeneste gør det muligt for Workspace ONE UEM at overvåge enhedens integritet under opstart og træffe korrigerende foranstaltninger.

Dette skærmbillede viser skærmen Windows-systemindstillinger for desktoptilstandsattest.

  1. Gå til Grupper og indstillinger > Alle indstillinger > Enheder og brugere > Windows > Windows Desktop > Windows sundhedsattestation.

  2. Vælg Anvend brugerdefineret server, hvis du benytter en brugerdefineret on-premises-server, der kører attestation af tilstand. Indtast Server-URL-adresse.

  3. Konfigurer indstillinger for attestation af tilstand:

    Indstillinger Beskrivelser
    Anvend brugerdefineret server Vælg for at konfigurere en brugerdefineret server med henblik på sundhedsattest.

    Denne indstilling kræver en server, der kører Windows Server 2016 eller nyere.

    Aktivering af denne indstilling viser serverens URL-tekstfelt.
    Server URL-adresse Indtast URL-adressen for din brugerdefinerede sundhedsattest-server.
    Sikker opstart deaktiveret Vælg for at markere statussen som kompromitteret, når Secure Boot er deaktiveret på enheden.

    Sikker opstart tvinger systemet til at genstarte i en tilstand, som producenten har tillid til. Når sikker opstart er aktiveret, skal de primære komponenter, der bruges til at starte maskinen, have de korrekte kryptografiske signaturer, som OEM'en har tillid til. UEFI-firmwaren bekræfter tilliden, før den giver maskinen tilladelse til at starte. Sikker start forhindrer, at maskinen startes, hvis manipulerede filer registreres.
    Attestation Identity Key (AIK) er ikke tilstede Aktivér for at markere enheden med status som kompromitteret, når AIK'en ikke er til stede på enheden.

    Attestationsidentifikationsnøglen (AIK, Attestation Identity Key) er til stede på en enhed. Det betyder, at enheden har et godkendelsesnøglecertifikat (EK, Endorsement Key). Den er mere pålidelig end en enhed, der ikke har et EK-certifikat.
    Forhindring af datakørsel (DEP) deaktiveret Aktivér for at markere enheden med status som kompromitteret, når DEP'en er deaktiveret på enheden.

    Politikken for forebyggelse af dataeksekvering (DEP – Data Execution Prevention) er en hukommelsesbeskyttelse, der er indbygget i operativsystemet på systemniveau. Politikken forhindrer kørsel af kode fra datasider, f.eks. en standard-heap, stakke og hukommelsespuljer. DEP håndhæves af både hardwaren og softwaren.
    BitLocker deaktiveret Aktivér for at markere enheden med status som kompromitteret, når BitLocker-kryptering er deaktiveret på enheden.
    Kontrol af kodeintegriteten deaktiveret Aktivér for at markere enheden med status som kompromitteret, når kontrol af kodeintegriteten er deaktiveret på enheden.

    Kodeintegritet er en funktion, der kontrollerer en drivers eller systemfils integritet, hver gang den indlæses i hukommelsen. Kodeintegriteten kontrollerer, om der er ikke-signerede drivere eller systemfiler, før de indlæses i kernen. Kontrollen scanner også efter brugere med administrative rettigheder, der kører systemfiler, som er ændret af skadelig software.
    Tidlig start af anti-malware deaktiveret Aktivér for at markere enheden med status som kompromitteret, når beskyttelsen mod malware ved tidlig lancering er deaktiveret på enheden.

    Early launch anti-malware (ELAM) sørger for beskyttelse af computerne i dit netværk når de starter op og før drivere fra tredjepart startes.
    Code Integrity version tjek Aktivér for at markere enheden med status som kompromitteret, når kontrollen af kodeintegritetsversionen giver negativt resultat.
    Boot manager versionstjek Aktivér for at markere enheden med status som kompromitteret, når kontrollen af boot manager-versionen giver negativt resultat.
    Boot-app sikkerhedsversionsnummer tjek Aktivér for at markere enheden med status som kompromitteret, når boot-appsikkerhedsversionsnummeret ikke passer til det indtastede nummer.
    Boot-manager sikkerhedsversionsnummer tjek Aktivér for at markere enheden med status som kompromitteret, når boot manager-sikkerhedsversionsnummeret ikke passer til det indtastede nummer.
    Avancerede indstillinger Aktivér for at konfigurere avancerede indstillinger i afsnittet Softwareversions-identifikatorer.

  4. Vælg Gem.

Overordnet emne: Compliance politikker

check-circle-line exclamation-circle-line close-line
Scroll to top icon