Uso de las líneas base
Mantenga los dispositivos del escritorio de Windows configurados para las prácticas recomendadas con las líneas base. Workspace ONE UEM integra los ajustes recomendados por el sector en una configuración de línea base para simplificar la protección de los dispositivos. Las líneas base reducen considerablemente el tiempo necesario para configurar dispositivos Windows.
Microservicio basado en la nube
Las líneas base utilizan un microservicio basado en la nube para gestionar el catálogo de directivas. Si es un cliente local, asegúrese de que su entorno pueda comunicarse con el microservicio.
Las líneas base requieren conectividad constante con los servicios del dispositivo
Todos los dispositivos Windows inscritos que utilizan las líneas base requieren conectividad ininterrumpida con el servidor de servicios de dispositivos (DS) de Workspace ONE UEM. Los dispositivos necesitan esta conectividad constante para que los estados de línea base permanezcan actualizados.
Si utiliza una configuración de proxy o si tiene una determinada configuración de firewall, estas configuraciones pueden interrumpir la conexión entre los dispositivos Windows y el servidor de DS. Por ejemplo, si los dispositivos utilizan una VPN o una red restringida para acceder a los recursos, esta configuración interrumpe la conexión con el servidor de DS. Las líneas base en estos dispositivos están en riesgo de permanecer sin actualizar.
Tipos de líneas base
- Personalizado
- Si tiene un archivo de copia de seguridad de un objeto de directiva de grupo (GPO) existente, puede crear una línea base personalizada con esas políticas. Utilice el proceso de plantilla para crear esta línea base personalizada.
- También puede crear una línea base personalizada sin una plantilla. Workspace ONE UEM ofrece políticas en el proceso de creación propio para las líneas base.
- Bancos de pruebas de CIS para Windows: esta línea base aplica las opciones de configuración propuestas por los bancos de pruebas de CIS. Para garantizar que las líneas base usen solo los ajustes y las configuraciones más adecuados, CIS (Center for Internet Security) certifica a VMware para proporcionar los ajustes recomendados por el sector, como los bancos de pruebas de CIS para Windows.
- Línea base de seguridad de Windows: esta línea base aplica las opciones de configuración propuestas por Microsoft.
Las líneas base se basan en la versión del sistema operativo Windows de sus dispositivos. Puede cambiar la versión del SO de la línea base más adelante al editar. Durante la configuración, puede elegir la línea base que desea utilizar y personalizar cualquiera de las políticas de líneas base. También puede agregar cualquier otra política adicional compatible con Microsoft ADMX que necesite como parte del proceso de configuración.
Consideraciones sobre el banco de pruebas de CIS
CIS informa a los bancos de pruebas indicados para establecer una conexión más segura entre el servidor y sus dispositivos. Sin embargo, actualmente estos bancos de pruebas no son compatibles con la plantilla de líneas base de bancos de pruebas de Windows en CIS. Los administradores deben configurar estos bancos de pruebas. Consulte el informe de banco de pruebas de CIS aplicable para Windows Server para obtener más información.
- Configure un título de inicio de sesión interactivo y el texto para los usuarios que intentan iniciar sesión.
- Instale la extensión GPO de AdmPwd para LAPS (Solución de contraseña de administrador local) / CSE.
Asignación de líneas base
Tras inscribir un dispositivo en Workspace ONE UEM, puede agregarlo a un grupo inteligente y asignar una línea base al grupo. El dispositivo recibe y aplica todos los ajustes y configuraciones de la línea base una vez que se reinicia. El dispositivo comprueba las configuraciones de la línea base cuando esta se publica y en los intervalos de registro definidos. Al insertar una línea base en un dispositivo, Workspace ONE UEM almacena una instantánea de los ajustes del dispositivo.
Puede limitar la asignación de la línea base mediante la pestaña Exclusiones del cuadro de diálogo Asignación. También puede seleccionar grupos inteligentes para excluirlos de la asignación.
Administración de líneas base
Puede administrar las líneas base desde la vista de lista Líneas base, que se encuentra en Console, en Recursos > Perfiles y líneas base > Líneas base.
Desde aquí, puede editar, copiar y eliminar las líneas base existentes.
- Copiar: Puede copiar líneas base y editar algunas políticas en las pestañas Personalizar y Agregar políticas para ajustar la línea base a otro escenario de implementación. Seleccione la línea base deseada para mostrar el elemento de menú Copiar.
- No se puede editar la plantilla de líneas base. Si necesita una plantilla diferente, cree una nueva línea base.
- Workspace ONE UEM guarda la línea base copiada como
Copy of <Baseline Name>
, pero puede cambiar el nombre.
- Guarde la línea base copiada, pero no le asigne dispositivos hasta que haya editado el campo Administrado por (grupo organizativo). No puede mover las líneas base copiadas que ya tengan dispositivos asignados.
- Los grupos organizativos (Administrado por) y las líneas base copiadas tienen advertencias.
- Para cambiar el grupo organizativo, edite la línea base copiada después de guardarla.
- Puede trasladar la línea base copiada a grupos organizativos secundarios o dejarla en el grupo organizativo original.
- No puede trasladar la línea base copiada hacia arriba en la jerarquía de grupos organizativos. Este comportamiento refleja el comportamiento de los perfiles.
- Eliminar: Si elimina una línea base previamente insertada en los dispositivos, los ajustes del dispositivo revierten a las configuraciones anteriores en función de la instantánea almacenada por Workspace ONE UEM.
Puede ver qué líneas base se aplican a un dispositivo en la página Detalles del dispositivo.
Ejemplo de cómo copiar una línea base
Este es un ejemplo general de cómo puede copiar una línea base existente y actualizar el campo Administrado por para mover la línea base a un grupo organizativo secundario.
- En Workspace ONE UEM Console, seleccione el grupo organizativo correspondiente.
- Desplácese a Recursos > Perfiles y líneas base > Líneas base.
- Seleccione una línea base de la lista y seleccione Copiar.
- Actualice el nombre de la línea base en el campo Nombre de línea base. No puede actualizar el grupo organizativo en este momento.
- Desplácese por el asistente de líneas base para realizar actualizaciones según sea necesario. No tiene que realizar cambios, puede seleccionar Siguiente para cualquier pestaña.
- En la pestaña Resumen, seleccione Guardar y Asignar.
- En la página Asignar línea base, seleccione Cancelar. Esta acción cancela la asignación de dispositivos a la línea base copiada.
Importante: No asigne dispositivos a la línea base copiada hasta que haya editado el grupo organizativo.
- Seleccione la línea base copiada en la lista y seleccione Editar.
- Actualice el grupo organizativo seleccionando un grupo organizativo secundario en General > Administrado por.
- Desplácese por el asistente y seleccione Guardar y Publicar.
- Seleccione la línea base copiada y seleccione Asignar cuando esté listo para agregar dispositivos.
Volver a aplicar líneas base
Existen varias formas de habilitar la aplicación local de las líneas base. Para ejecutar un script que agregue la clave de registro para repetir la aplicación en un dispositivo, puede utilizar sensores, aprovisionamiento de productos, scripts en aplicaciones y libros, o bien crear un perfil de configuración personalizado. Para obtener más información sobre cómo implementar esto o cómo administrar las líneas base y las directivas de grupo, consulte: Tech Zone: Administrar líneas base con directivas de grupo.
Estado de conformidad de las líneas base
Compruebe que el dispositivo sigue las líneas base con el estado de conformidad de la línea base. Busque el Estado de conformidad en Console en Recursos > Perfiles y líneas base > Líneas base, seleccione la Línea base y consulte la tarjeta Estado de conformidad. La tarjeta Estado de conformidad de línea base muestra si los dispositivos pertenecen al estado conforme, intermedio, no conforme o no disponible.
Aviso: El estado de conformidad de línea base solo se aplica a las líneas base creadas mediante la interfaz de usuario. No puede ver el estado de conformidad de las líneas base personalizadas creadas mediante archivos de copia de seguridad de GPO.
- El estado Intermedio identifica los dispositivos que son conformes del 85 % al 99 %. Este estado es un indicador de que los dispositivos han reducido su conformidad con las líneas base asignadas.
- El estado No disponible significa que Workspace ONE UEM Console no tiene una muestra de conformidad para el dispositivo. Para forzar una muestra, abra la línea base y vuelva a publicarla de nuevo.
Consulta de las líneas base para los estados de conformidad
Puede consultar en los dispositivos las muestras de líneas base para actualizar el estado de conformidad. Para consultar una línea base, comience en la vista Detalles del dispositivo.
Aviso: Puede consultar el estado de conformidad de un dispositivo específico, pero no de varios dispositivos a la vez.
- En Workspace ONE UEM Console, desplácese a Dispositivos y seleccione el dispositivo del escritorio de Windows específico en la Vista de lista de dispositivos.
- Seleccione Más acciones > Consultar > Líneas base. Este proceso inicia el comando de consulta.
- Para ver el estado de conformidad de la línea base actualizado, desplácese a Recursos > Perfiles y líneas base > Líneas base, seleccione la línea base y consulte la tarjeta Estado de conformidad.
Verificación del estado de conformidad
En caso de que un ajuste del dispositivo no coincida con la línea base, utilice la pestaña de solución de problemas en Detalles del dispositivo para comprobar que Workspace ONE UEM ha recibido la muestra del dispositivo.
- En Workspace ONE UEM Console, desplácese a Dispositivos y seleccione el dispositivo específico del escritorio de Windows.
- Seleccione la pestaña Solución de problemas en la vista Detalles del dispositivo para ver el Registro de eventos y la pestaña Comandos.
- En la pestaña Comandos, puede ver una lista de comandos de consulta de la línea base. Puede ver los estados incluidos.
- En cola: El sistema ha introducido el comando en la base de datos del servidor.
- Pendiente: El dispositivo recibió la solicitud, pero no respondió.
- Procesado: El dispositivo envió una muestra o el dispositivo tiene la muestra en cola para la siguiente sesión de usuario.
- En la pestaña Registro de eventos, consulte el Evento que confirma que la Respuesta de muestra de línea base se ha recibido.
Creación de líneas base
Cree una línea base con plantillas o sin ellas para configurar los dispositivos según los ajustes y las configuraciones recomendados por el estándar del sector. Workspace ONE UEM selecciona las líneas base en función de las principales recomendaciones del sector, incluido el banco de pruebas de CIS y las líneas base de seguridad de Windows de Microsoft.
Requisitos previos
Los dispositivos deben estar inscritos en Workspace ONE UEM y deben tener Workspace ONE Intelligent Hub instalado.
Si va a publicar una línea base personalizada mediante un archivo de copia de seguridad de GPS, debe agregar el archivo LGPO.exe a todos los dispositivos a los que desea asignar una línea base. Debe instalar el archivo EXE en C:\ProgramData\Airwatch\LGPO\LGPO.exe
. Si utiliza la plantilla de banco de pruebas de CIS, la plantilla de seguridad de Windows o el asistente para crear su propia línea base, no es necesario que agregue este archivo.
Creación de líneas base con una plantilla
Si desea utilizar un archivo de copia de seguridad de GPO para crear líneas base, utilice el proceso de la plantilla.
- Desplácese a Recursos > Perfiles y líneas base > Líneas base y seleccione Nuevo.
- Seleccione Usar plantilla.
- Introduzca un Nombre de línea base, la Descripción y seleccione el grupo inteligente que administra la línea base. A continuación, seleccione Siguiente.
-
Seleccione una línea base.
Ajustes |
Descripción |
Línea base de seguridad de Windows |
Esta línea base aplica los ajustes de configuración propuestos por Microsoft. Seleccione la plataforma del sistema operativo y la versión que desea aplicar. |
Banco de pruebas de CIS para Windows |
Esta línea base aplica los ajustes de configuración propuestos por los bancos de pruebas de CIS. Seleccione la plataforma del sistema operativo, la versión y el nivel de banco de pruebas que desea aplicar. |
Personalizar línea de base |
Cargue un archivo zip con una copia de seguridad de GPO. Debe crear esta línea base fuera de Workspace ONE UEM. La copia de seguridad debe ser inferior a 5 MB con al menos una carpeta de GPO. |
-
Seleccione Siguiente.
- Personalice la línea base según sea necesario. Puede cambiar cualquiera de las políticas de ADMX existentes configuradas en la línea base. Al crear una línea de base personalizada a partir de una línea de base de GPO, no se pueden personalizar las políticas compatibles con ADMX existentes.
Asegúrese de usar SID al crear directivas ADMX de derechos de usuario. Para obtener más información, consulte Identificadores de seguridad conocidos en los sistemas operativos Windows.
- Seleccione Siguiente.
- Agregue las políticas adicionales a la línea de base. Estas directivas provienen de los archivos de Microsoft ADMX. Busque cualquier política para agregarla y configurarla.
- Seleccione Siguiente.
- Revise el resumen y seleccione Guardar y asignar. El resumen incluye todas las directivas personalizadas o agregadas.
- Durante la asignación, introduzca el grupo inteligente que contiene los dispositivos con Windows a los que desea asignar la línea base. Puede volver a definir qué dispositivos obtienen la línea base mediante la pestaña Exclusiones. Introduzca los grupos inteligentes que desea excluir de la asignación.
Las exclusiones anulan las asignaciones. Si un dispositivo se encuentra en un grupo inteligente excluido, ese dispositivo no recibirá la línea base. Si ese dispositivo ya tenía la línea base de una asignación anterior, la línea base se elimina del dispositivo.
- Reinicie los dispositivos para implementar líneas base.
Creación de líneas base personalizadas
Si no desea utilizar una plantilla para crear sus líneas base, siga estos pasos para crear una propia.
- Desplácese a Recursos > Perfiles y líneas base > Líneas base y seleccione Nuevo.
- Seleccione Crear su propia línea base.
- Introduzca un Nombre de línea base, la Descripción y seleccione el grupo inteligente que administra la línea base. A continuación, seleccione Siguiente.
- En la ventana Agregar política, seleccione la versión del SO Windows y, a continuación, comience a introducir un nombre de política.
Por ejemplo, introduzca User
o Computer Configuration
y, a continuación, seleccione la directiva deseada en la lista.
- Agregue las políticas adicionales a la línea de base.
Estas directivas provienen de los archivos de Microsoft ADMX. Busque una política para agregarla y configúrela. Estas políticas son las mismas disponibles con las plantillas, pero se muestran como No configuradas. Debe habilitar y configurar la directiva, o bien debe deshabilitarla.
- Seleccione el estado de esta política en los dispositivos como Habilitada, Deshabilitada o No configurada.
- Revise el resumen y seleccione Guardar y asignar. El resumen incluye todas las políticas.
- Durante la asignación, introduzca el grupo inteligente que contiene los dispositivos con Windows a los que desea asignar la línea base. Puede volver a definir qué dispositivos obtienen la línea base mediante la pestaña Exclusiones. Introduzca los grupos inteligentes que desea excluir de la asignación.
Las exclusiones anulan las asignaciones. Si un dispositivo se encuentra en un grupo inteligente excluido, ese dispositivo no recibirá la línea base. Si ese dispositivo ya tenía la línea base de una asignación anterior, la línea base se elimina del dispositivo.
- Reinicie los dispositivos para implementar líneas base.