Sécurisez vos terminaux à l'aide du service d'attestation d'intégrité de Windows pour la détection des terminaux compromis. Ce service permet à Workspace ONE UEM de vérifier l'intégrité du terminal pendant le démarrage et d'entreprendre des actions correctives.

Procédure

  1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Windows > Windows Desktop > Attestation d'intégrité Windows.
  2. (Facultatif) Sélectionnez Utiliser le serveur personnalisé si vous utilisez un serveur sur site personnalisé qui exécute l'attestation d'intégrité. Saisissez l' URL du serveur.
  3. Configurez les paramètres d'attestation d'intégrité :
    Paramètres Descriptions
    Utiliser le serveur personnalisé

    Sélectionnez cette option pour configurer un serveur personnalisé pour l'attestation d'intégrité.

    Cette option nécessite un serveur exécutant Windows Server 2016 ou une version plus récente.

    L'activation de cette option affiche le champ URL de serveur.

    URL de serveur Saisissez l'URL de votre serveur d'attestation d'intégrité personnalisé.
    Démarrage sécurisé désactivé

    Activez ce paramètre pour signaler un statut de terminal compromis lorsque le démarrage sécurisé est désactivé sur le terminal.

    Le démarrage sécurisé contraint le système de démarrer à un état d'usine approuvé. Lorsque le démarrage sécurisé est activé, les composants essentiels utilisés pour démarrer l'ordinateur doivent avoir les signatures cryptographiques correctes approuvées par l'OEM. Le firmware UEFI vérifie la fiabilité avant d'autoriser le démarrage de l'ordinateur. Le démarrage sécurisé bloque le démarrage s'il détecte des fichiers compromis.

    Clé d'attestation d'identité (AIK) introuvable

    Activez ce paramètre pour signaler un statut de terminal compromis lorsque la clé d'attestation d'identité ne figure pas sur le terminal.

    Lorsqu'une clé d'attestation d'identité est présente sur un terminal, cela signifie que le terminal dispose d'un certificat EK (Endorsement Key). Il est plus fiable qu'un terminal ne disposant pas de certificat EK.

    Politique de prévention de l'exécution des données (DEP) désactivée

    Activez ce paramètre pour signaler un statut de terminal compromis lorsque la politique de prévention de l'exécution est désactivée sur le terminal.

    La politique de prévention de l'exécution (DEP) est une fonction de protection de la mémoire intégrée au niveau système de l'OS. Cette politique empêche d'exécuter du code à partir de pages de données telles que les des segments de mémoire par défaut, des piles et des pools de mémoire. L'application de la politique DEP est un processus à la fois logiciel et matériel.

    BitLocker désactivé Activez ce paramètre pour signaler un statut de terminal compromis lorsque le chiffrement BitLocker est désactivé sur le terminal.
    Vérification de l'intégrité du code désactivée

    Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de l'intégrité est désactivée sur le terminal.

    L'intégrité du code est une fonction qui valide l'intégrité d'un pilote ou d'un fichier système chaque fois qu'il est chargé en mémoire. L'intégrité du code détecte si un fichier système ou un pilote non signés sont chargés dans le noyau. Elle détecte également si des fichiers système ont été modifiés par un logiciel malveillant exécuté par un utilisateur disposant de droits administrateur.

    Logiciel anti-programme malveillant à lancement anticipé désactivé

    Activez ce paramètre pour signaler un statut de terminal compromis lorsque le logiciel anti-programme malveillant à lancement anticipé est désactivé sur le terminal.

    La protection contre les programmes malveillants à lancement anticipé sécurise les ordinateurs de votre réseau au démarrage et avant que les pilotes tiers ne procèdent à l'initialisation.

    Vérification de la version d'intégrité du code Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version d'intégrité du code est un échec.
    Vérification de la version du gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version du gestionnaire de démarrage est un échec.
    Vérification du numéro de version de sécurité pour l'application de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité de l'application d'amorçage est différente du numéro saisi.
    Vérification du numéro de version de sécurité pour le gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité du gestionnaire d'amorçage est différente du numéro saisi.
    Paramètres avancés Activez ce paramètre pour configurer les paramètres avancés dans la section Identifiants de version logicielle.
  4. Cliquez sur Enregistrer.