La atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en su integridad. Utilice la atestación de estado para detectar dispositivos del escritorio de Windows comprometidos mientras se encuentran administrados en Workspace ONE UEM.

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado de Windows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro, integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows para garantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según la política de conformidad configurada. Esta funcionalidad le permite mantener los datos empresariales protegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la información necesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos se detectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows

Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para la detección de dispositivos comprometidos. Este servicio permite que Workspace ONE UEM revise la integridad de los dispositivos durante su inicio y realice acciones rectificadoras.

  1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Atestación de estado de Windows.

  2. Seleccione Usar servidor personalizado si utiliza un servidor local personalizado con Atestación de estado. Introduzca la URL del servidor.

  3. Configure los ajustes de Atestación de estado:

    Ajustes Descripción
    Usar el servidor personalizado Seleccione esta opción para configurar un servidor personalizado para la atestación de estado.

    Esta opción requiere un servidor que ejecute Windows Server 2016 o una versión posterior.

    Al habilitar esta opción, se muestra el campo URL del servidor.
    URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.
    Arranque seguro inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranque seguro esté deshabilitado en el dispositivo.

    El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranque seguro está habilitado, los componentes principales usados para arrancar la máquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detecta cualquier archivo manipulado.
    La clave de identidad AIK no está presente Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave de identidad AIK no esté presente en el dispositivo.

    Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que este tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sin certificado de EK.
    Política de prevención de ejecución de datos (DEP) inhabilitada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención de ejecución de datos esté deshabilitada en el dispositivo.

    La política de prevención de ejecución de datos (DEP) es una función de protección de memoria integrada en el SO del sistema. La política impide la ejecución de código de páginas de datos como montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto el hardware como en el software.
    BitLocker inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado de BitLocker esté inhabilitado en el dispositivo.
    Comprobación de integridad de código inhabilitada Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de integridad de código esté deshabilitada en el dispositivo.

    La integridad de código es una función que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Comprueba los controladores o archivos del sistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hay usuarios con privilegios que ejecuten archivos de sistema modificados mediante software malintencionado.
    Antimalware de inicio temprano inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el antimalware de inicio temprano esté deshabilitado en el dispositivo.

    Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección a los ordenadores de la red cuando se inician y al inicializar controladores de terceros.
    Verificación de la versión de la integridad de código Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la integridad de código falle.
    Verificar versión de la administración de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la administración de arranque falle.
    Comprobación del número de la versión de seguridad de la aplicación de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad de la aplicación de arranque no corresponda al número introducido.
    Comprobación del número de versión de seguridad del administrador de arranque Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad del administrador de arranque no corresponda al número introducido.
    Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versión del software.
  4. Seleccione Guardar.

Tema principal: Políticas de conformidad

check-circle-line exclamation-circle-line close-line
Scroll to top icon