Schützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht AirWatch, die Geräteintegrität beim Start zu überwachen und Korrekturmaßnahmen vorzunehmen.

Die Konformitätsrichtlinie für den Kompromittierungsstatus gilt für Geräte mit Windows 10 Mobile mit einem Trusted Platform Module (TPM) 1.2 oder höher.

Prozedur

  1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Windows > Windows Phone > Windows-Integritätsnachweis.
  2. (Optional) Wählen Sie Benutzerdefinierten Server verwenden, wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird. Geben Sie die Server-URL ein.
  3. Konfigurieren Sie die Integritätsnachweiseinstellungen:
    Tabelle 1. Definition von Kompromittierungsstatus
    Einstellungen Beschreibungen
    Benutzerdefinierten Server verwenden

    Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

    Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

    Bei Aktivierung dieser Option wird das Feld Server URL angezeigt.

    Server-URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.
    Secure Boot deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

    Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

    Attestation Identity Key (AIK) nicht vorhanden

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

    Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

    Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

    Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

    BitLocker deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.

    Codeintegritätsprüfung deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

    Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

    Frühstart von Antischadsoftware deaktiviert

    Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

    Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

    Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.
    Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.
    Startanwendung - Sicherheit - Versionsnummernüberprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.
    Start-Manager - Sicherheit - Versionsnummer - Überprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.
    Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.

Nächste Maßnahme

Weitere Informationen finden Sie im Microsoft TechNet-Artikel zum Integritätsnachweis.