Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para la detección de dispositivos comprometidos. Este servicio permite que AirWatch controle la integridad de los dispositivos durante el arranque y realice acciones rectificadoras.

La política de conformidad de estado de riesgo se aplicable a los dispositivos Windows 10 Mobile con un módulo de plataforma segura (TPM) 1.2 o posterior.

Procedimiento

  1. Acceda a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Windows Phone > Atestación de estado.
  2. Seleccione Usar servidor personalizado si utiliza un servidor local personalizado con Atestación de estado (opcional). Introduzca la URL del servidor.
  3. Configure los ajustes de Atestación de estado:
    Tabla 1. Definición del estado comprometido
    Ajustes Descripción
    Utilizar servidor personalizado

    Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación de estado.

    Esta opción requiere un servidor con Windows Server 2016 o posterior.

    Si se habilita esta opción, se muestra el campo URL del servidor.

    URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.
    Arranque seguro inhabilitado

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranque seguro esté inhabilitado en el dispositivo.

    El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranque seguro está habilitado, los componentes principales usados para arrancar la máquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detecta cualquier archivo manipulado.

    La clave de identidad AIK no está presente

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave de identidad AIK no esté presente en el dispositivo.

    Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que este tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sin certificado de EK.

    Política de prevención de ejecución de datos (DEP) inhabilitada

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención de ejecución de datos esté inhabilitada en el dispositivo.

    La política de prevención de ejecución de datos (DEP) es una función de protección de memoria integrada en el SO del sistema. La política impide la ejecución de código de páginas de datos como montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto el hardware como en el software.

    BitLocker inhabilitado

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado de BitLocker esté inhabilitado en el dispositivo.

    Comprobación de integridad de código inhabilitada

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de integridad de código esté inhabilitada en el dispositivo.

    La integridad de código es una función que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Comprueba los controladores o archivos del sistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hay usuarios con privilegios que ejecuten archivos de sistema modificados mediante software malintencionado.

    Antimalware de inicio temprano inhabilitado

    Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de antimalware de inicio temprano esté inhabilitada en el dispositivo.

    Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección a los ordenadores de la red cuando se inician y al inicializar controladores de terceros.

    Verificación de la versión de la integridad de código Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la integridad de código falle.
    Verificar versión de la administración de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la administración de arranque falle.
    Comprobación del número de la versión de seguridad de la aplicación de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad de la aplicación de arranque no corresponda al número introducido.
    Comprobación del número de versión de seguridad del administrador de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad del administrador de arranque no corresponda al número introducido.
    Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versión del software.

Qué hacer a continuación

Para obtener más información, consulte el artículo de Microsoft TechNet sobre atestación de estado.