This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

 

Erkennung kompromittierter Geräte durch Integritätsnachweis

Im Rahmen des Integritätsnachweises werden Geräte beim Start auf Fehler bezüglich der Geräteintegrität geprüft. Verwenden Sie den Integritätsnachweis, um kompromittierte Windows Desktop-Geräte zu erkennen, während Sie unter Workspace ONE UEM verwaltet werden.

Bei der Bereitstellung von sowohl BYOD- als auch unternehmenseigenen Geräten ist es wichtig, dass die Geräte ordnungsgemäß funktionieren, wenn auf Unternehmensressourcen zugegriffen wird. Der Windows-Integritätsnachweisdienst greift über sichere Kommunikation auf Gerätestartinformationen aus der Cloud zu. Diese Informationen werden gemessen und mit den zugehörigen Datenpunkten abgeglichen, um sicherzustellen, dass das Gerät wie geplant gestartet und keinen Sicherheitsrisiken oder -bedrohungen ausgesetzt wird. Die Messungen umfassen Secure Boot, Codeintegrität, BitLocker und Start-Manager.

Mithilfe von Workspace ONE UEM können Sie den Windows-Integritätsnachweisdienst konfigurieren, um die Gerätekonformität sicherzustellen. Wenn eine der aktivierten Prüfungen nicht bestanden wird, wendet das Workspace ONE UEM-Konformitätsrichtlinienmodul Sicherheitsmaßnahmen basierend auf der konfigurierten Konformitätsrichtlinie an. Diese Funktion ermöglicht Ihnen die sichere Aufbewahrung von Unternehmensdaten von kompromittierten Geräten. Da Workspace ONE UEM die erforderlichen Informationen von der Gerätehardware und nicht vom Betriebssystem bezieht, werden kompromittierte Geräte selbst dann erkannt, wenn der Betriebssystem-Kernel kompromittiert ist.

Konfigurieren Sie den Integritätsnachweisdienst für Windows Desktop-Konformitätsrichtlinien.

Schützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht Workspace ONE UEM, die Geräteintegrität beim Start zu überwachen und Korrekturmaßnahmen vorzunehmen.

Dieser Screenshot zeigt den Bildschirm der Systemeinstellungen für den Windows Desktop-Integritätsnachweis.

  1. Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Windows > Windows Desktop > Windows-Integritätsnachweis.

  2. Wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird, wählen Sie Benutzerdefinierten Server verwenden aus. Geben Sie die Server-URL ein.

  3. Konfigurieren Sie die Integritätsnachweiseinstellungen:

    Einstellungen Beschreibungen
    Benutzerdefinierten Server verwenden Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

    Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

    Ist diese Option aktiviert, wird der Server-URL im Textfeld gezeigt.
    Server URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.
    Secure Boot deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert wurde.

    Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.
    Attestation Identity Key (AIK) nicht vorhanden Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

    Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.
    Richtlinie für Datenausführungsverhinderung (Data Execution Prevention, DEP) deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

    Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.
    BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.
    Code-Integritätsprüfung deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Code-Integritätsprüfung auf dem Gerät deaktiviert ist.

    Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.
    Frühstart von Antischadsoftware deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

    Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.
    Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.
    Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.
    Startanwendung - Sicherheit - Versionsnummernüberprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.
    Start-Manager - Sicherheit - Versionsnummer - Überprüfung Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.
    Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.

  4. Wählen Sie Speichern.

Übergeordnetes Thema: Konformitätsrichtlinien

check-circle-line exclamation-circle-line close-line
Scroll to top icon