Políticas de conformidad

El motor de conformidad es una herramienta automática de Workspace ONE UEM que garantiza que todos los dispositivos cumplan las políticas implantadas. Estas políticas pueden incluir ajustes básicos de seguridad, como contraseñas o un periodo mínimo de bloqueo de dispositivo.

Políticas de conformidad en Workspace ONE UEM

En algunas plataformas también puede decidir si quiere configurar o imponer ciertas medidas. Tales medidas incluyen configurar la seguridad de la contraseña, incluir determinadas aplicaciones en una lista de restringidas y exigir intervalos de verificación del dispositivo para garantizar que los dispositivos estén protegidos y en contacto con Workspace ONE UEM. Una vez que se hayan detectado los dispositivos que no cumplen con las políticas de conformidad, el motor de conformidad comenzará a advertir a los usuarios de que necesitan corregir los errores para prevenir acciones disciplinarias en el dispositivo. Por ejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuario que su dispositivo no cumple con las políticas de conformidad.

Se muestran las directivas de conformidad en UEM Console.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles de dispositivos asignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempo especificado, el dispositivo perderá acceso al contenido y funciones que usted defina. Las políticas de conformidad y acciones disponibles varían según la plataforma.

Verificación del BIOS de Dell para Workspace ONE UEM

Asegúrese de que los dispositivos de escritorio de Windows de Dell están protegidos con Dell Trusted Device (anteriormente, verificación del BIOS de Dell). Este servicio analiza el BIOS de sus dispositivos Dell e informa del estado a Workspace ONE UEM para que pueda tomar medidas en los dispositivos comprometidos.

Ventajas de Dell Trusted Device

El BIOS es una pieza esencial a la hora de mantener el estado y la seguridad general del dispositivo. Los sistemas informáticos modernos utilizan el firmware del BIOS para inicializar el hardware durante el proceso de arranque y en los servicios de tiempo de ejecución compatibles con el sistema operativo y las aplicaciones. Esta posición privilegiada dentro de la arquitectura del dispositivo hace que la modificación no autorizada del firmware del BIOS constituya una amenaza importante. El servicio Dell Trusted Device ofrece una validación de BIOS segura con un modelo de respuesta firmado seguro. El estado de la validación segura le ayuda a tomar medidas en los dispositivos comprometidos con el motor de directiva de conformidad.

Prepare sus dispositivos para Dell Trusted Device

Para usar Dell Trusted Device en sus dispositivos de escritorio de Windows debe instalar el servicio Dell Trusted Device en el dispositivo. Debe descargar el cliente más reciente de Dell (https://www.dell.com/support/home/product-support/product/trusted-device/drivers. Considere la posibilidad de usar la distribución de software para instalar el cliente en sus dispositivos de escritorio de Windows de Dell.

Estados de verificación del BIOS de Dell

Después de instalar el cliente en sus dispositivos, puede ver el estado notificado en la página Detalles del dispositivo. Los estados son los siguientes:

  • Correcto: el cliente Dell Trusted Device está instalado en el dispositivo y este es seguro.
  • Error: el cliente Dell Trusted Device está instalado y presenta uno de los siguientes problemas:
    • El evento de comprobación previa devuelve un error. Este resultado se produce cuando el cliente detecta una firma binaria no válida.
    • El evento de la utilidad BIOS devuelve un error para la prueba de validación.
    • El evento de procesamiento del servidor de BIOS devuelve un error de una firma no válida, un código de salida no válido o un estado de carga útil desincronizado.
  • Advertencia: Dell Trusted Device está instalado y el cliente detecta un problema. Es posible que el dispositivo no esté protegido y que deba investigar el problema. Las causas de un estado de advertencia pueden incluir la siguiente lista.
    • Ninguna conexión de red.
    • Argumento de la línea de comando no válido.
    • La aplicación se está ejecutando con privilegios insuficientes.
    • Errores internos en el cliente.
    • El servidor devuelve un resultado de error.
    • Problemas del controlador con el cliente.
    • Resultados desconocidos en la verificación del BIOS.
  • Si aparece un icono de advertencia en color gris, Dell Trusted Device no está instalado en el dispositivo.

Detección de dispositivos comprometidos con atestación de estado

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado de Windows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro, integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows para garantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según la política de conformidad configurada. Esta funcionalidad le permite mantener los datos empresariales protegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la información necesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos se detectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows

Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para la detección de dispositivos comprometidos. Este servicio permite que Workspace ONE UEM revise la integridad de los dispositivos durante su inicio y realice acciones rectificadoras.

Procedimiento

  1. Desplácese a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Atestación de estado de Windows.
    Se muestra la ruta de acceso a la atestación de estado de Windows
  2. Seleccione Usar servidor personalizado si utiliza un servidor local personalizado con Atestación de estado (opcional). Introduzca la URL del servidor.

  3. Configure los ajustes de atestación de estado.

    Ajustes Descripción
    Usar el servidor personalizado Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación de estado.

    Esta opción requiere un servidor con Windows Server 2016 o posterior. Si se habilita esta opción, se muestra el campo URL del servidor.
    URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.
    Arranque seguro desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranque seguro esté desactivado en el dispositivo.

    El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranque seguro está habilitado, los componentes principales usados para arrancar la máquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detecta cualquier archivo manipulado.
    La clave de identidad AIK no está presente Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave de identidad AIK no esté presente en el dispositivo.

    Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que este tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sin certificado de EK.
    Política de prevención de ejecución de datos (DEP) desactivada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención de ejecución de datos esté desactivada en el dispositivo.

    La política de prevención de ejecución de datos (DEP) es una función de protección de memoria integrada en el SO del sistema. La política impide la ejecución de código de páginas de datos como montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto el hardware como en el software.
    BitLocker desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado de BitLocker esté desactivado en el dispositivo.
    Comprobación de integridad de código desactivada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de integridad de código esté desactivada en el dispositivo.

    La integridad de código es una función que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Comprueba los controladores o archivos del sistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hay usuarios con privilegios que ejecuten archivos de sistema modificados mediante software malintencionado.
    Antimalware de inicio temprano desactivado Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de antimalware de inicio temprano esté desactivada en el dispositivo.

    Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección a los ordenadores de la red cuando se inician y al inicializar controladores de terceros.
    Verificación de la versión de la integridad de código Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la integridad de código falle.
    Verificar versión de la administración de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la administración de arranque falle.
    Comprobación del número de la versión de seguridad de la aplicación de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad de la aplicación de arranque no corresponda al número introducido.
    Comprobación del número de versión de seguridad del administrador de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad del administrador de arranque no corresponda al número introducido.
    Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versión del software.

  4. Seleccione Guardar.

check-circle-line exclamation-circle-line close-line
Scroll to top icon