This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

Detección de dispositivos comprometidos con atestación de estado

La atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en su integridad. Utilice la atestación de estado para detectar dispositivos del escritorio de Windows comprometidos mientras se encuentran administrados en Workspace ONE UEM.

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado de Windows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro, integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows para garantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según la política de conformidad configurada. Esta funcionalidad le permite mantener los datos empresariales protegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la información necesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos se detectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows

Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para la detección de dispositivos comprometidos. Este servicio permite a Workspace ONE UEM supervisar la integridad del dispositivo durante el inicio y tomar medidas correctivas.

Esta captura de pantalla muestra la pantalla Atestación de estado de Windows de los ajustes del sistema de Escritorio de Windows.

  1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Atestación de estado de Windows.

  2. Seleccione Usar servidor personalizado si utiliza un servidor local personalizado con Atestación de estado. Introduzca la URL del servidor.

  3. Configure los ajustes de Atestación de estado:

    Ajustes Descripción
    Usar el servidor personalizado Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación de estado.

    Esta opción requiere un servidor con Windows Server 2016 o posterior.

    Si se habilita esta opción, se muestra el cuadro de texto URL del servidor.
    URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.
    Arranque seguro desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranque seguro esté desactivado en el dispositivo.

    El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranque seguro está habilitado, los componentes principales usados para arrancar la máquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detecta cualquier archivo manipulado.
    La clave de identidad AIK no está presente Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave de identidad AIK no esté presente en el dispositivo.

    Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que este tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sin certificado de EK.
    Política de prevención de ejecución de datos (DEP) desactivada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención de ejecución de datos esté desactivada en el dispositivo.

    La política de prevención de ejecución de datos (DEP) es una función de protección de memoria integrada en el SO del sistema. La política impide la ejecución de código de páginas de datos como montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto el hardware como en el software.
    BitLocker desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado de BitLocker esté desactivado en el dispositivo.
    Comprobación de integridad de código desactivada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de integridad de código esté desactivada en el dispositivo.

    La integridad de código es una función que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Comprueba los controladores o archivos del sistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hay usuarios con privilegios que ejecuten archivos de sistema modificados mediante software malintencionado.
    Antimalware de inicio temprano desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de antimalware de inicio temprano esté desactivada en el dispositivo.

    Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección a los ordenadores de la red cuando se inician y al inicializar controladores de terceros.
    Verificación de la versión de la integridad de código Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la integridad de código falle.
    Verificar versión de la administración de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la administración de arranque falle.
    Comprobación del número de la versión de seguridad de la aplicación de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad de la aplicación de arranque no corresponda al número introducido.
    Comprobación del número de versión de seguridad del administrador de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad del administrador de arranque no corresponda al número introducido.
    Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versión del software.
  4. Seleccione Guardar.

Tema principal: Políticas de conformidad

check-circle-line exclamation-circle-line close-line
Scroll to top icon