Schützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht Workspace ONE UEM, die Geräteintegrität beim Start zu prüfen und Korrekturmaßnahmen vorzunehmen.

Prozedur

  1. Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Windows > Windows Desktop > Windows-Integritätsnachweis.
  2. (Optional) Wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird, wählen Sie Benutzerdefinierten Server verwenden aus. Geben Sie die Server-URL ein.
  3. Konfigurieren Sie die Integritätsnachweiseinstellungen:
    Einstellungen Beschreibungen
    Benutzerdefinierten Server verwenden

    Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

    Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

    Bei Aktivierung dieser Option wird das Server-URL-Feld angezeigt.

    Server URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.
    Secure Boot deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

    Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

    Attestation Identity Key (AIK) nicht vorhanden

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

    Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

    Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

    Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

    BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.
    Codeintegritätsprüfung deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

    Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

    Frühstart von Antischadsoftware deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

    Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

    Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.
    Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.
    Startanwendung - Sicherheit - Versionsnummernüberprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.
    Start-Manager - Sicherheit - Versionsnummer - Überprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.
    Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.
  4. Wählen Sie Speichern.