Sorgen Sie mit Baselines für die kontinuierliche Sicherheit Ihrer Windows Desktop-Geräte. Workspace ONE UEM kuratiert von der Branche empfohlene Einstellungen in nur einer Konfiguration, um die Sicherung Ihrer Geräte zu vereinfachen.

Ihre Geräte ständig gemäß Best Practices konfiguriert zu halten, ist ein zeitaufwändiger Vorgang. Workspace ONE UEM kuratiert Best Practices und von der Branche empfohlene Einstellungen in Konfigurationen mit dem Namen Baselines. Diese Konfigurationen reduzieren erheblich die Zeit, die zum Einrichten und Konfigurieren von Windows-Geräten benötigt wird.

Cloud-basierter Microservice

Baselines verwendet einen cloudbasierten Micro-Service, der den Richtlinienkatalog handhabt. Wenn Sie ein lokaler Kunde sind, stellen Sie sicher, dass Ihre Umgebung mit dem Micro-Service kommunizieren kann.

Baselines erfordern eine konstante Konnektivität zu Gerätediensten

Alle registrierten Windows Desktop-Geräte, die Baselines verwenden, benötigen eine ununterbrochene Verbindung mit dem Workspace ONE UEM Device Services (DS)-Server. Geräte benötigen diese Konstante Verbindung, damit Baseline-Status aktuell bleiben.

Wenn Sie eine Proxy-Einrichtung oder bestimmte Firewall-Einstellungen verwenden, können diese Konfigurationen die Verbindung zwischen Ihren Windows 10-Geräten und dem DS-Server unterbrechen. Wenn Geräte beispielsweise ein VPN oder ein eingeschränktes Netzwerk für den Zugriff auf Ressourcen verwenden, unterbricht diese Einrichtung die Verbindung zum DS-Server. Baselines auf diesen Geräten könnten veraltet sein.

Typen von Baselines

  • Benutzerdefiniert – Wenn Sie über eine vorhandene Sicherungsdatei für das Gruppenrichtlinienobjekt (Group Policy Object, GPO) verfügen, können Sie eine benutzerdefinierte Baseline mit diesen Richtlinien erstellen. Beim Erstellen einer benutzerdefinierten Baseline fügen Sie Ihrem vorhandenen GPO zusätzliche Richtlinien hinzu.
  • CIS Windows 10-Benchmarks – Diese Baseline wendet die Konfigurationen an, die von CIS-Benchmarks vorgeschlagen wurden. Um sicherzustellen, dass Baseline nur die besten Einstellungen und Konfigurationen verwendet, zertifiziert CIS (Center for Internet Security) VMware für die Bereitstellung von Branchenfavoriten wie z. B. CIS-Benchmarks für Windows 10.
  • Windows 10-Sicherheits-Baseline – Diese Baseline wendet die Konfigurationen an, die von Microsoft vorgeschlagen wurden.

Baselines basieren auf der Windows-Betriebssystemversion Ihrer Geräte. Sie können die Betriebssystemversion jeder Baseline später bei der Bearbeitung ändern. Während der Konfiguration können Sie auswählen, welche Baseline verwendet werden soll, und die Baseline-Richtlinien anpassen. Sie können auch zusätzliche Richtlinien hinzufügen, die Sie im Rahmen des Konfigurationsvorgangs benötigen. Diese Richtlinien sind die Microsoft-ADMX-Richtlinien.

Was passiert nach dem Zuweisen von Baselines?

Nach dem Registrieren eines Geräts in Workspace ONE UEM können Sie das Gerät zu einer Smartgroup hinzufügen und der Gruppe eine Baseline zuweisen. Nach einem Geräteneustart empfängt das Gerät alle Einstellungen und Konfigurationen in der Baseline und wendet diese an. Das Gerät überprüft die Baseline-Konfigurationen nach Veröffentlichung der Baseline und in definierten Check-in-Intervallen. Wenn Sie eine Baseline auf ein Gerät übertragen, speichert Workspace ONE UEM einen Snapshot der Geräteeinstellungen. Sie können die Zuweisung der Baseline auf der Registerkarte Ausschlüsse des Dialogfelds „Zuweisung“ einschränken. Sie können Smartgroups festlegen, die von der Zuweisung ausgeschlossen werden sollen.

Baselines-Management

Sie können Ihre Baselines über die Listenansicht Baselines verwalten. Von hier aus können Sie vorhandene Baselines bearbeiten, kopieren und löschen.

  • Kopieren: Sie können Baselines kopieren und einige Richtlinien auf den Registerkarten Anpassen und Richtlinien hinzufügen bearbeiten, damit die Baseline an ein anderes Bereitstellungsszenario passt. Wählen Sie die gewünschte Baseline aus, um das Menüelement Kopieren anzuzeigen.
    • Workspace ONE UEM speichert die kopierte Baseline als Copy of <Baseline Name>; Sie können den Namen jedoch ändern. Nachdem Sie ihre Bearbeitungen in der kopierten Baseline abgeschlossen haben, wählen Sie Speichern und zuweisen, um die kopierte Baseline den entsprechenden Gruppen zu zuweisen.
    • Sie können die Baselinevorlage nicht bearbeiten. Wenn Sie eine andere Vorlage benötigen, erstellen Sie eine neue Baseline.
    • Sie können die kopierte Baseline in untergeordnete Organisationsgruppen verschieben oder sie in der ursprünglichen Organisationsgruppe belassen. Sie können die kopierte Baseline nicht in der Organisationsgruppenhierarchie nach oben verschieben. Dieses Verhalten spiegelt das Verhalten für Profile wieder.
  • Löschen: Wenn Sie eine Baseline löschen, die an Geräte weitergegeben wurde, werden die Geräteeinstellungen basierend auf dem von Workspace ONE UEM gespeicherten Snapshot auf den Zustand vor der Veröffentlichung der Baseline zurückgesetzt.

Auf der Seite Gerätedetails können Sie feststellen, welche Baselines auf ein Gerät angewendet werden.

Konformitätsstatus der Baselines

Stellen Sie sicher, dass die Baselines auf dem Gerät mit dem Baseline-Übereinstimmungsstatus verfolgt werden. Der Baseline-Übereinstimmungsstatus auf der Seite Baseline-Details zeigt an, wenn Geräte den Status „Konform“, „Mittel“, „Nicht konform“ oder „Nicht verfügbar“ aufweisen. Der Baseline-Übereinstimmungsstatus gilt nur für Baselines, die über die Benutzeroberfläche erstellt wurden.

Hinweis: Der Übereinstimmungsstatus für benutzerdefinierte Baselines, die mithilfe von ZIP-Paketen erstellt wurden, wird nicht angezeigt.

Geräte mit dem Status Mittel sind 85 % bis 99 % konform. Verwenden Sie diesen Wert, um zu überwachen, wann die Übereinstimmung Ihrer Geräte nicht mehr gewährleistet ist. Der Status Nicht verfügbar bedeutet, dass Workspace ONE UEM console über keine Übereinstimmungsprobe für das Gerät verfügt. Sie können eine Probe erzwingen, indem Sie einfach die Baseline öffnen und sie erneut veröffentlichen.

Erstellen einer Baseline

Erstellen Sie eine Baseline, die Ihre Geräte mit branchenüblichen Einstellungen und Konfigurationen konfiguriert. Workspace ONE UEM pflegt Baselines basierend auf Branchenfavoriten, einschließlich CIS-Benchmarks und Windows 10-Sicherheits-Baselines von Microsoft.

Voraussetzungen

Für Baselines ist es erforderlich, dass Geräte in Workspace ONE UEM registriert sind und der Workspace ONE Intelligent Hub installiert ist.

Wenn Sie eine benutzerdefinierte Baseline veröffentlichen, müssen Sie die LGPO.exe allen Geräten hinzufügen, denen Sie eine Baseline zuweisen möchten. Sie müssen die EXE unter C:\\ProgramData\\Airwatch\\LGPO\\LGPO.exe installieren. Wenn Sie den CIS-Benchmark oder Windows 10-Sicherheits-Baselines verwenden, müssen Sie diese Datei nicht hinzufügen.

Verfahren

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Baselines und wählen Sie Neu aus.

  2. Geben Sie einen Baseline-Namen und eine Beschreibung ein und wählen Sie die Smartgroup aus, die für die Baseline unter Verwaltet von angegeben ist. Wählen Sie dann Weiter.

  3. Wählen Sie eine Baseline aus.

    Einstellung Beschreibung
    CIS-Benchmarks für Windows 10 Diese Baseline wendet die Konfigurationen an, die von CIS-Benchmarks vorgeschlagen wurden. Wählen Sie die Betriebssystemversion und die anzuwendende Benchmark-Ebene aus.
    Windows 10-Sicherheits-Baseline Diese Baseline wendet die Konfigurationen an, die von Microsoft vorgeschlagen wurden. Wählen Sie die Betriebssystemversion und die anzuwendende Benchmark-Ebene aus.
    Benutzerdefinierte Baseline Laden Sie eine ZIP-Datei mit einer GPO-Sicherung hoch. Sie müssen diese Baseline außerhalb von Workspace ONE UEM erstellen. Die Sicherung muss kleiner als 5 MB mit mindestens einem GPO-Ordner sein.
  4. Wählen Sie Weiter.

  5. Passen Sie die Baseline nach Bedarf an. Sie können alle vorhandenen ADMX-Richtlinien ändern, die in der Baseline konfiguriert sind. Wenn Sie eine benutzerdefinierte Baseline aus einer GPO-Baseline erstellen, können Sie die vorhandenen ADMX-Richtlinien nicht anpassen.

    Vergewissern Sie sich, dass Sie beim Erstellen von ADMX-Richtlinien für Benutzerrechte SIDs verwenden. Weitere Informationen finden Sie unter bekannten Sicherheitsbezeichner in Windows-Betriebssysteme .

  6. Wählen Sie Weiter.

  7. Fügen Sie der Baseline zusätzliche Richtlinien hinzu. Diese Richtlinien stammen aus Microsoft-ADMX-Dateien. Suchen Sie nach einer Richtlinie, die Sie hinzufügen möchten, und konfigurieren Sie die Richtlinie.

  8. Wählen Sie Weiter.

  9. Überprüfen Sie die Übersicht und wählen Sie Speichern und zuweisen. Die Übersicht enthält alle benutzerdefinierten oder hinzugefügten Richtlinien.

  10. Geben Sie während der Zuweisung die Smartgroup ein, die die Windows 10-Geräte enthält, denen Sie die Baseline zuweisen möchten. Sie können auf der Registerkarte Ausschlüsse neu definieren, welche Geräte die Baseline erhalten. Geben Sie die Smartgroups ein, die Sie von der Zuweisung ausschließen möchten.

    Ausschlüsse überschreiben Zuweisungen. Wenn sich ein Gerät in einer ausgeschlossenen Smartgroup befindet, erhält dieses Gerät die Baseline nicht. Wenn das Gerät bereits aus einer vorherigen Zuweisung über die Baseline verfügt, wird die Baseline aus dem Gerät entfernt.

Ergebnisse

Workspace ONE UEM weist die Baseline allen Geräten in der Smartgroup zu (außer den Geräten in ausgeschlossenen Smartgroups).

Nächste Schritte

Sie müssen das Gerät neu starten, damit die Baseline wirksam wird.

check-circle-line exclamation-circle-line close-line
Scroll to top icon