Sorgen Sie dafür, dass Ihre Windows Desktop-Geräte gemäß den Best Practices mit Baselines konfiguriert sind. Workspace ONE UEM kuratiert von der Branche empfohlene Einstellungen in nur einer Baseline-Konfiguration, um die Sicherung Ihrer Geräte zu vereinfachen. Baselines reduzieren die Zeit, die zum Einrichten und Konfigurieren von Windows-Geräten benötigt wird.
Baselines verwenden zur Verarbeitung des Richtlinienkatalogs einen cloudbasierten Mikrodienst. Wenn Sie ein lokaler Kunde sind, stellen Sie sicher, dass Ihre Umgebung mit dem Micro-Service kommunizieren kann.
Alle registrierten Windows-Geräte, die Baselines verwenden, benötigen eine ununterbrochene Verbindung mit dem Workspace ONE UEM Device Services-Server (DS). Die Geräte benötigen diese konstante Verbindung, damit die Baseline-Status aktuell bleiben.
Wenn Sie eine Proxy-Einrichtung oder bestimmte Firewall-Einstellungen verwenden, können diese Konfigurationen die Verbindung zwischen Ihren Windows-Geräten und dem DS-Server unterbrechen. Wenn Geräte beispielsweise ein VPN oder ein eingeschränktes Netzwerk für den Zugriff auf Ressourcen verwenden, unterbricht diese Einrichtung die Verbindung zum DS-Server. Baselines auf diesen Geräten könnten veraltet sein.
Baselines basieren auf der Windows-Betriebssystemversion Ihrer Geräte. Sie können die Betriebssystemversion jeder Baseline später bei der Bearbeitung ändern. Während der Konfiguration können Sie auswählen, welche Baseline verwendet werden soll, und Sie können die Baseline-Richtlinien anpassen. Sie können im Rahmen des Konfigurationsprozesses auch zusätzliche Microsoft ADMX-gestützte Richtlinien hinzufügen.
CIS meldet die aufgeführten Benchmarks, um eine sicherere Verbindung zwischen Ihrem Server und Ihren Geräten herzustellen. Diese Benchmarks werden jedoch derzeit nicht von der Baseline-Vorlage „CIS-Benchmarks für Windows“ unterstützt. Administratoren müssen diese Benchmarks konfigurieren. Weitere Informationen finden Sie im geltenden Windows Server CIS-Benchmark-Bericht.
Nach dem Registrieren eines Geräts in Workspace ONE UEM können Sie das Gerät zu einer Smartgroup hinzufügen und der Gruppe eine Baseline zuweisen. Nach einem Geräteneustart empfängt das Gerät alle Einstellungen und Konfigurationen in der Baseline und wendet diese an. Das Gerät überprüft die Baseline-Konfigurationen nach Veröffentlichung der Baseline und in definierten Check-in-Intervallen. Wenn Sie eine Baseline auf ein Gerät übertragen, speichert Workspace ONE UEM einen Snapshot der Geräteeinstellungen.
Sie können die Zuweisung der Baseline auf der Registerkarte Ausschlüsse des Dialogfelds Zuweisung einschränken. Sie können Smartgroups festlegen, die von der Zuweisung ausgeschlossen werden sollen.
Sie können Ihre Baselines über die Listenansicht Baselines verwalten, die Sie in der Console unter Ressourcen > Profile und Baselines > Baselines finden. Von hier aus können Sie vorhandene Baselines bearbeiten, kopieren und löschen.
Copy of <Baseline Name>
; Sie können den Namen jedoch ändern.Auf der Seite Gerätedetails können Sie feststellen, welche Baselines auf ein Gerät angewendet werden.
Im Folgenden finden Sie ein allgemeines Beispiel dafür, wie Sie eine vorhandene Baseline kopieren und das Feld Verwaltet von aktualisieren können, um die Baseline in eine untergeordnete Organisationsgruppe zu verschieben.
Stellen Sie sicher, dass die Baselines auf dem Gerät mit dem Baseline-Konformitätsstatus verfolgt werden. Suchen Sie den Konformitätsstatus in der Console unter Ressourcen > Profile und Baselines > Baselines, wählen Sie die Baseline aus und sehen Sie sich die Karte Konformitätsstatus an. Auf der Karte Baseline-Konformitätsstatus wird angezeigt, ob Geräte den Status „Konform“, „Mittel“, „Nicht konform“ oder „Nicht verfügbar“ aufweisen.
Hinweis: Der Baseline-Konformitätsstatus gilt nur für Baselines, die über die Benutzeroberfläche erstellt wurden. Der Konformitätsstatus für benutzerdefinierte Baselines, die mithilfe von GPO-Sicherungsdateien erstellt wurden, wird nicht angezeigt.
Sie können Geräte auf Baseline-Beispiele abfragen, um den Konformitätsstatus zu aktualisieren. Wenn Sie eine Baseline abfragen möchten, beginnen Sie in der Ansicht Gerätedetails.
Hinweis: Sie können den Konformitätsstatus eines bestimmten Geräts, aber nicht den mehrerer Geräte gleichzeitig abfragen.
Wenn eine Einstellung auf dem Gerät nicht mit der Baseline übereinstimmt, verwenden Sie die Registerkarte „Fehlerbehebung“ in den Gerätedetails, um zu überprüfen, ob Workspace ONE UEM das Gerätebeispiel erhalten hat.
Erstellen Sie eine Baseline mit oder ohne Vorlagen, um Ihre Geräte mit den von der Branche empfohlenen Einstellungen und Konfigurationen zu konfigurieren. Workspace ONE UEM pflegt Baselines basierend auf Branchenfavoriten, einschließlich CIS-Benchmarks und Windows-Sicherheits-Baselines von Microsoft.
Ihre Geräte müssen bei Workspace ONE UEM registriert sein. Außerdem muss auf den Geräten der VMware Workspace ONE Intelligent Hub installiert sein.
Wenn Sie eine benutzerdefinierte Baseline unter Verwendung einer GPO-Sicherungsdatei veröffentlichen, müssen Sie die LGPO.exe allen Geräten hinzufügen, denen Sie eine Baseline zuweisen möchten. Sie müssen die EXE unter C:\ProgramData\Airwatch\LGPO\LGPO.exe
installieren. Wenn Sie die CIS-Benchmark-Vorlage, die Windows-Sicherheitsvorlage verwenden oder Ihren eigenen Assistenten erstellen, müssen Sie diese Datei nicht hinzufügen.
Wenn Sie eine GPO-Sicherungsdatei zum Erstellen Ihrer Baselines verwenden möchten, nutzen Sie den Vorlagenprozess.
Gehen Sie zu Ressourcen > Profile und Baselines > Baselines und wählen Sie Neu aus.
Wählen Sie Vorlage verwenden aus.
Geben Sie einen Baseline-Namen und eine Beschreibung ein und wählen Sie die Smartgroup aus, die für die Baseline unter Verwaltet von angegeben ist. Wählen Sie dann Weiter.
Wählen Sie eine Baseline aus.
Einstellung | Beschreibung |
---|---|
CIS-Benchmarks für Windows | Diese Baseline wendet die Konfigurationen an, die von CIS-Benchmarks vorgeschlagen wurden. Wählen Sie die Betriebssystemversion und die anzuwendende Benchmark-Ebene aus. |
Windows-Sicherheits-Baseline | Diese Baseline wendet die Konfigurationen an, die von Microsoft vorgeschlagen wurden. Wählen Sie die Betriebssystemversion und die anzuwendende Benchmark-Ebene aus. |
Benutzerdefinierte Baseline | Laden Sie eine ZIP-Datei mit einer GPO-Sicherung hoch. Sie müssen diese Baseline außerhalb von Workspace ONE UEM erstellen. Die Sicherung muss kleiner als 5 MB mit mindestens einem GPO-Ordner sein. |
Wählen Sie Weiter.
Passen Sie die Baseline nach Bedarf an. Sie können alle vorhandenen ADMX-Richtlinien ändern, die in der Baseline konfiguriert sind. Wenn Sie eine benutzerdefinierte Baseline aus einer GPO-Baseline erstellen, können Sie die vorhandenen ADMX-gestützte Richtlinien nicht anpassen.
Vergewissern Sie sich, dass Sie beim Erstellen von ADMX-Richtlinien für Benutzerrechte SIDs verwenden. Weitere Informationen finden Sie unter bekannten Sicherheitsbezeichner in Windows-Betriebssysteme .
Wählen Sie Weiter.
Fügen Sie der Baseline zusätzliche Richtlinien hinzu. Diese Richtlinien stammen aus Microsoft-ADMX-Dateien. Suchen Sie nach einer Richtlinie, die Sie hinzufügen möchten und konfigurieren Sie diese.
Wählen Sie Weiter.
Überprüfen Sie die Übersicht und wählen Sie Speichern und zuweisen. Die Übersicht enthält alle benutzerdefinierten oder hinzugefügten Richtlinien.
Geben Sie während der Zuweisung die Smartgroup ein, die die Windows-Geräte enthält, denen Sie die Baseline zuweisen möchten. Sie können auf der Registerkarte Ausschlüsse neu definieren, welche Geräte die Baseline erhalten. Geben Sie die Smartgroups ein, die Sie von der Zuweisung ausschließen möchten.
Ausschlüsse überschreiben Zuweisungen. Wenn sich ein Gerät in einer ausgeschlossenen Smartgroup befindet, erhält dieses Gerät die Baseline nicht. Wenn das Gerät bereits aus einer vorherigen Zuweisung über die Baseline verfügt, wird die Baseline aus dem Gerät entfernt.
Starten Sie Geräte neu, um Baselines bereitzustellen.
Wenn Sie keine Vorlage verwenden möchten, erstellen Sie Ihre eigenen Baselines ohne Vorlage.
User
oder Computer Configuration
ein und wählen Sie dann die gewünschte Richtlinie aus der Liste aus.