Verwenden von Baselines

Sorgen Sie dafür, dass Ihre Windows Desktop-Geräte gemäß den Best Practices mit Baselines konfiguriert sind. Workspace ONE UEM kombiniert von der Branche empfohlene Einstellungen in nur einer Baseline-Konfiguration, um die Sicherung Ihrer Geräte zu vereinfachen. Baselines reduzieren die Zeit, die zum Einrichten und Konfigurieren von Windows-Geräten benötigt wird.

Cloud-basierter Microservice

Baselines verwenden zur Verarbeitung des Richtlinienkatalogs einen cloudbasierten Mikrodienst. Wenn Sie ein lokaler Kunde sind, stellen Sie sicher, dass Ihre Umgebung mit dem Micro-Service kommunizieren kann.

Baselines erfordern eine konstante Konnektivität zu Gerätediensten

Alle registrierten Windows-Geräte, die Baselines verwenden, benötigen eine ununterbrochene Verbindung mit dem Workspace ONE UEM Device Services-Server (DS). Die Geräte benötigen diese konstante Verbindung, damit die Baseline-Status aktuell bleiben.

Wenn Sie eine Proxy-Einrichtung oder bestimmte Firewall-Einstellungen verwenden, können diese Konfigurationen die Verbindung zwischen Ihren Windows-Geräten und dem DS-Server unterbrechen. Wenn Geräte beispielsweise ein VPN oder ein eingeschränktes Netzwerk für den Zugriff auf Ressourcen verwenden, unterbricht diese Einrichtung die Verbindung zum DS-Server. Baselines auf diesen Geräten könnten veraltet sein.

Typen von Baselines

  • Benutzerdefinierte
    • Wenn Sie über eine vorhandene Sicherungsdatei für das Gruppenrichtlinienobjekt (Group Policy Object, GPO) verfügen, können Sie eine benutzerdefinierte Baseline mit diesen Richtlinien erstellen. Verwenden Sie den Vorlagenprozess, um diese benutzerdefinierte Baseline zu erstellen.
    • Sie können auch eine benutzerdefinierte Baseline ohne Vorlage erstellen. Workspace ONE UEM bietet Richtlinien im für Baselines entwickelten Prozess Eigene erstellen an.
  • CIS-Benchmarks für Windows – Diese Baseline wendet die Konfigurationen an, die von CIS-Benchmarks vorgeschlagen wurden. Um sicherzustellen, dass Baseline nur die besten Einstellungen und Konfigurationen verwendet, zertifiziert CIS (Center for Internet Security) VMware für die Bereitstellung von Branchenfavoriten wie z. B. CIS-Benchmarks für Windows.
  • Windows-Sicherheits-Baseline – Diese Baseline wendet die Konfigurationen an, die von Microsoft vorgeschlagen wurden.

Baselines basieren auf der Windows-Betriebssystemversion Ihrer Geräte. Sie können die Betriebssystemversion jeder Baseline später bei der Bearbeitung ändern. Während der Konfiguration können Sie auswählen, welche Baseline verwendet werden soll, und Sie können die Baseline-Richtlinien anpassen. Sie können im Rahmen des Konfigurationsprozesses auch zusätzliche Microsoft ADMX-gestützte Richtlinien hinzufügen.

Betrachtungen zum CIS-Benchmark

CIS meldet die aufgeführten Benchmarks, um eine sicherere Verbindung zwischen Ihrem Server und Ihren Geräten herzustellen. Diese Benchmarks werden jedoch derzeit nicht von der Baseline-Vorlage „CIS-Benchmarks für Windows“ unterstützt. Administratoren müssen diese Benchmarks konfigurieren. Weitere Informationen finden Sie im geltenden Windows Server CIS-Benchmark-Bericht.

  • Konfigurieren Sie einen interaktiven Anmelde-Titel und Anmelde-Text für Benutzer, die versuchen, sich anzumelden.
  • Installieren Sie die ADMPwd-GPO-Erweiterung/CSE der LAPS (Local Administrator Password Solution, Lösung für lokale Administrator-Kennwörter).

Zuweisen von Baselines

Nach dem Registrieren eines Geräts in Workspace ONE UEM können Sie das Gerät zu einer Smartgroup hinzufügen und der Gruppe eine Baseline zuweisen. Nach einem Geräteneustart empfängt das Gerät alle Einstellungen und Konfigurationen in der Baseline und wendet diese an. Das Gerät überprüft die Baseline-Konfigurationen nach Veröffentlichung der Baseline und in definierten Check-in-Intervallen. Wenn Sie eine Baseline auf ein Gerät übertragen, speichert Workspace ONE UEM einen Snapshot der Geräteeinstellungen.

Sie können die Zuweisung der Baseline auf der Registerkarte Ausschlüsse des Dialogfelds Zuweisung einschränken. Sie können Smartgroups wählen, die von der Zuweisung ausgeschlossen werden sollen.

Baselines-Management

Sie können Ihre Baselines über die Listenansicht Baselines verwalten, die Sie in der Console unter Ressourcen > Profile und Baselines > Baselines finden. Zeigt Baselines in der UEM-Konsole an.

Von hier aus können Sie vorhandene Baselines bearbeiten, kopieren und löschen.

  • Kopieren: Sie können Baselines kopieren und einige Richtlinien auf den Registerkarten Anpassen und Richtlinien hinzufügen bearbeiten, damit die Baseline an ein anderes Bereitstellungsszenario passt. Wählen Sie die gewünschte Baseline aus, um das Menüelement Kopieren anzuzeigen.
    • Sie können die Baseline-Vorlage nicht bearbeiten. Wenn Sie eine andere Vorlage benötigen, erstellen Sie eine neue Baseline.
    • Workspace ONE UEM speichert die kopierte Baseline als Copy of <Baseline Name>, Sie können den Namen jedoch anpassen.
    • Speichern Sie die kopierte Baseline, aber weisen Sie ihr keine Geräte zu, bis Sie das Feld Verwaltet von (Organisationsgruppe) bearbeitet haben. Kopierte Baselines, denen bereits Geräte zugewiesen sind, können nicht verschoben werden.
    • Organisationsgruppen (Verwaltet von) und kopierte Baselines weisen Einschränkungen auf.
      • Um die Organisationsgruppe zu ändern, bearbeiten Sie die kopierte Baseline, nachdem Sie sie gespeichert haben.
      • Sie können die kopierte Baseline in untergeordnete Organisationsgruppen verschieben oder sie in der ursprünglichen Organisationsgruppe belassen.
      • Sie können die kopierte Baseline nicht in der Organisationsgruppenhierarchie nach oben verschieben. Dieses Verhalten spiegelt das Verhalten für Profile wieder.
  • Löschen: Wenn Sie eine Baseline löschen, die an Geräte weitergegeben wurde, werden die Geräteeinstellungen auf ihre vorhergehenden Konfigurationen zurückgesetzt, basierend auf dem von Workspace ONE UEM gespeicherten Snapshot.

Auf der Seite Gerätedetails können Sie feststellen, welche Baselines auf ein Gerät angewendet werden.

Beispiel für das Kopieren einer Baseline

Im Folgenden finden Sie ein allgemeines Beispiel dafür, wie Sie eine vorhandene Baseline kopieren und das Feld Verwaltet von aktualisieren können, um die Baseline in eine untergeordnete Organisationsgruppe zu verschieben.

  1. Öffnen Sie die entsprechende Organisationsgruppe in der Workspace ONE UEM console.
  2. Navigieren Sie zu Ressourcen > Profile und Baselines > Baselines.
    Zeigt den Navigationspfad zu Baselines an
  3. Wählen Sie erst eine Baseline in der Liste und dann Kopieren aus.
  4. Aktualisieren Sie den Namen der Baseline im Feld Baseline-Name. Sie können die Organisationsgruppe zu diesem Zeitpunkt nicht aktualisieren.
  5. Führen Sie nach Bedarf Aktualisierungen über den Baseline-Assistenten durch. Wenn Sie keine Änderungen vornehmen möchten, können Sie auf jeder beliebigen Registerkarte Weiter auswählen.
  6. Wählen Sie auf der Registerkarte Zusammenfassung die Option Speichern und zuweisen aus.
  7. Wählen Sie auf der Seite Baseline zuweisen die Option Abbrechen aus. Mit dieser Aktion wird die Zuweisung von Geräten zur kopierten Baseline abgebrochen.
    Wichtiger Hinweis: Weisen Sie Ihrer kopierten Baseline keine Geräte zu, bis Sie die Organisationsgruppe bearbeitet haben.
  8. Wählen Sie erst die kopierte Baseline in der Liste und dann Bearbeiten aus.
  9. Aktualisieren Sie die Organisationsgruppe, indem Sie eine untergeordnete Organisationsgruppe unter Allgemein > Verwaltet von auswählen.
  10. Durchlaufen Sie den Assistenten und wählen Sie Speichern und veröffentlichen aus.
  11. Wählen Sie erst die kopierte Baseline und dann Zuweisen aus, sobald Sie bereit sind, Geräte hinzuzufügen.

Erneutes Anwenden von Baselines

Es gibt mehrere Möglichkeiten, die lokale Erzwingung von Baselines zu aktivieren. Um ein Skript auszuführen, das den Registrierungsschlüssel für die erneute Anwendung auf einem Gerät hinzufügt, können Sie Sensoren, Produktbereitstellungen, Skripte in Anwendungen und Büchern verwenden oder ein Profil mit benutzerdefinierten Einstellungen erstellen. Weitere Informationen zur Implementierung und/oder zur Verwaltung von Baselines und Gruppenrichtlinien finden Sie unter: Tech-Zone: Verwalten von Baselines mit Gruppenrichtlinien.

Konformitätsstatus der Baselines

Stellen Sie sicher, dass die Baselines auf dem Gerät mit dem Baseline-Konformitätsstatus verfolgt werden. Suchen Sie den Konformitätsstatus in der Console unter Ressourcen > Profile und Baselines > Baselines, wählen Sie die Baseline aus und sehen Sie sich die Karte Konformitätsstatus an. Auf der Karte Baseline-Konformitätsstatus wird angezeigt, ob Geräte den Status „Konform“, „Mittel“, „Nicht konform“ oder „Nicht verfügbar“ aufweisen.

Hinweis: Der Baseline-Konformitätsstatus gilt nur für Baselines, die über die Benutzeroberfläche erstellt wurden. Der Konformitätsstatus für benutzerdefinierte Baselines, die mithilfe von GPO-Sicherungsdateien erstellt wurden, wird nicht angezeigt.

  • Den Status Mittel erhalten Geräte, die zu 85 bis 99 % konform sind. Dieser Status ist ein Indikator dafür, dass Ihre Geräte den Konformitätsstatus mit zugewiesenen Baselines verringert haben.
  • Der Status Nicht verfügbar bedeutet, dass Workspace ONE UEM console über keine Übereinstimmungsprobe für das Gerät verfügt. Sie können eine Probe erzwingen, indem Sie die Baseline öffnen und sie erneut veröffentlichen.

Abfragen von Baselines nach Konformitätsstatus

Sie können Geräte auf Baseline-Beispiele abfragen, um den Konformitätsstatus zu aktualisieren. Wenn Sie eine Baseline abfragen möchten, beginnen Sie in der Ansicht Gerätedetails.

Hinweis: Sie können den Konformitätsstatus eines bestimmten Geräts, aber nicht den mehrerer Geräte gleichzeitig abfragen.

  1. Wechseln Sie in der Workspace ONE UEM console zu Geräte und wählen Sie in der Gerätelistenansicht das jeweilige Windows Desktop-Gerät aus.
  2. Wählen Sie Weitere Aktionen > Abfragen > Baselines aus. Dieser Vorgang initiiert den Abfragebefehl.
  3. Wenn Sie den aktualisierten Baseline-Konformitätsstatus abrufen möchten, wechseln Sie zu Ressourcen > Profile und Baselines > Baselines, wählen Sie die Baseline aus und sehen Sie sich die Karte Konformitätsstatus an.

Überprüfen des Konformitätsstatus

Wenn eine Einstellung auf dem Gerät nicht mit der Baseline übereinstimmt, verwenden Sie die Registerkarte „Fehlerbehebung“ in den Gerätedetails, um zu überprüfen, ob Workspace ONE UEM das Gerätebeispiel erhalten hat.

  1. Wechseln Sie in der Workspace ONE UEM console zu Geräte und wählen Sie das jeweilige Windows Desktop-Gerät aus.
  2. Wählen Sie die Registerkarte Fehlerbehebung in der Ansicht Gerätedetails aus, damit die Registerkarten Ereignisprotokoll und Befehle angezeigt werden.
  3. Auf der Registerkarte Befehle finden Sie eine Liste der Baseline-Abfragebefehle. Diese enthält die aufgelisteten Status.
    • In Warteschlange: Das System hat den Befehl in die Serverdatenbank eingegeben.
    • Ausstehend: Das Gerät hat die Anforderung erhalten, aber nicht geantwortet.
    • Verarbeitet: Das Gerät hat ein Beispiel gesendet oder das Beispiel für die nächste Benutzersitzung in die Warteschlange eingereiht.
  4. Auf der Registerkarte Ereignisprotokoll finden Sie ein Ereignis, das bestätigt, dass die Baseline-Beispielantwort empfangen wurde.

Erstellen von Baselines

Erstellen Sie eine Baseline mit oder ohne Vorlagen, um Ihre Geräte mit den von der Branche empfohlenen Einstellungen und Konfigurationen zu konfigurieren. Workspace ONE UEM kuratiert Baselines basierend auf Branchenstandards wie z.B. CIS Benchmarks und Microsofts Windows-Sicherheits-Baselines.

Voraussetzungen

Ihre Geräte müssen bei Workspace ONE UEM registriert sein. Außerdem muss auf den Geräten der VMware Workspace ONE Intelligent Hub installiert sein.

Wenn Sie eine benutzerdefinierte Baseline unter Verwendung einer GPO-Sicherungsdatei veröffentlichen, müssen Sie die LGPO.exe allen Geräten hinzufügen, denen Sie eine Baseline zuweisen möchten. Die EXE muss unter C:\ProgramData\Airwatch\LGPO\LGPO.exe installiert sein. Wenn Sie die CIS-Benchmark-Vorlage, die Windows-Sicherheitsvorlage verwenden oder Ihren eigenen Assistenten erstellen, müssen Sie diese Datei nicht hinzufügen.

Erstellen von Baselines mit einer Vorlage

Wenn Sie eine GPO-Sicherungsdatei zum Erstellen Ihrer Baselines verwenden möchten, nutzen Sie den Vorlagenprozess.

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Baselines und wählen Sie Neu aus.
    Zeigt den Navigationspfad zu Baselines an
  2. Wählen Sie Vorlage verwenden aus.
  3. Geben Sie einen Baseline-Namen und eine Beschreibung ein und wählen Sie die Smartgroup aus, die für die Baseline unter Verwaltet von angegeben ist. Wählen Sie dann Weiter.
  4. Wählen Sie eine Baseline aus.

    Zeigt die Auswahl einer Plattform und Version aus der Dropdown-Liste für die Windows Sicherheits-Baselinevorlage an

    Einstellung Beschreibung
    Windows-Sicherheits-Baseline Diese Baseline wendet die Konfigurationen an, die von Microsoft vorgeschlagen wurden. Wählen Sie die anzuwendende Betriebssystemplattform und -version aus.
    CIS-Benchmarks für Windows Diese Baseline wendet die Konfigurationen an, die von CIS-Benchmarks vorgeschlagen wurden. Wählen Sie die Betriebssystemplattform, -version und die anzuwendende Benchmark-Ebene aus.
    Benutzerdefinierte Baseline Laden Sie eine ZIP-Datei mit einer GPO-Sicherung hoch. Sie müssen diese Baseline außerhalb von Workspace ONE UEM erstellen. Die Sicherung muss kleiner als 5 MB mit mindestens einem GPO-Ordner sein.
  5. Wählen Sie Weiter.

  6. Passen Sie die Baseline nach Bedarf an. Sie können alle vorhandenen ADMX-Richtlinien ändern, die in der Baseline konfiguriert sind. Wenn Sie eine benutzerdefinierte Baseline aus einer GPO-Baseline erstellen, können Sie die vorhandenen ADMX-gestützte Richtlinien nicht anpassen.

    Vergewissern Sie sich, dass Sie beim Erstellen von ADMX-Richtlinien für Benutzerrechte SIDs verwenden. Weitere Informationen finden Sie unter bekannten Sicherheitsbezeichner in Windows-Betriebssysteme .
  7. Wählen Sie Weiter.
  8. Fügen Sie der Baseline zusätzliche Richtlinien hinzu. Diese Richtlinien stammen aus Microsoft-ADMX-Dateien. Suchen Sie nach einer Richtlinie, die Sie hinzufügen möchten und konfigurieren Sie diese.
  9. Wählen Sie Weiter.
  10. Überprüfen Sie die Übersicht und wählen Sie Speichern und zuweisen. Die Übersicht enthält alle benutzerdefinierten oder hinzugefügten Richtlinien.
  11. Geben Sie während der Zuweisung die Smartgroup ein, die die Windows-Geräte enthält, denen Sie die Baseline zuweisen möchten. Sie können auf der Registerkarte Ausschlüsse neu definieren, welche Geräte die Baseline erhalten. Geben Sie die Smartgroups ein, die Sie von der Zuweisung ausschließen möchten.
    Ausschlüsse überschreiben Zuweisungen. Wenn sich ein Gerät in einer ausgeschlossenen Smartgroup befindet, erhält dieses Gerät die Baseline nicht. Wenn das Gerät bereits aus einer vorherigen Zuweisung über die Baseline verfügt, wird die Baseline aus dem Gerät entfernt.
  12. Starten Sie Geräte neu, um Baselines bereitzustellen.

Erstellen benutzerdefinierter Baselines

Wenn Sie keine Vorlage zum Erstellen Ihrer Baselines verwenden möchten, führen Sie die folgenden Schritte aus, um Ihre eigenen zu erstellen.

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Baselines und wählen Sie Neu aus.
  2. Wählen Sie Eigene erstellen aus.
  3. Geben Sie einen Baseline-Namen und eine Beschreibung ein und wählen Sie die Smartgroup aus, die für die Baseline unter Verwaltet von angegeben ist. Wählen Sie dann Weiter.
  4. Wählen Sie im Fenster Richtlinie hinzufügen die Windows-Betriebssystemversion aus und geben Sie dann einen Richtliniennamen ein.
    Geben Sie zum Beispiel User oder Computer Configuration ein und wählen Sie dann aus der Liste die gewünschte Richtlinie.
  5. Fügen Sie der Baseline zusätzliche Richtlinien hinzu.
    Diese Richtlinien stammen aus Microsoft-ADMX-Dateien. Suchen Sie nach einer Richtlinie, die Sie hinzufügen möchten und konfigurieren Sie diese. Diese Richtlinien sind dieselben, wie sie auch mit Vorlagen verfügbar sind, werden aber als Nicht konfiguriert angezeigt. Sie müssen die Richtlinie aktivieren und konfigurieren oder sie deaktivieren.
  6. Wählen Sie den Status dieser Richtlinie auf Geräten als Aktiviert, Deaktiviert oder Nicht konfiguriert aus.
  7. Überprüfen Sie die Übersicht und wählen Sie Speichern und zuweisen. Die Übersicht enthält alle Richtlinien.
  8. Geben Sie während der Zuweisung die Smartgroup ein, die die Windows-Geräte enthält, denen Sie die Baseline zuweisen möchten. Sie können auf der Registerkarte Ausschlüsse neu definieren, welche Geräte die Baseline erhalten. Geben Sie die Smartgroups ein, die Sie von der Zuweisung ausschließen möchten.
    Ausschlüsse überschreiben Zuweisungen. Wenn sich ein Gerät in einer ausgeschlossenen Smartgroup befindet, erhält dieses Gerät die Baseline nicht. Wenn das Gerät bereits aus einer vorherigen Zuweisung über die Baseline verfügt, wird die Baseline aus dem Gerät entfernt.
  9. Starten Sie Geräte neu, um Baselines bereitzustellen.
check-circle-line exclamation-circle-line close-line
Scroll to top icon