Détection des terminaux compromis avec attestation d'intégrité

L'attestation d'intégrité analyse les terminaux au démarrage et y recherche toute défaillance d'intégrité. Utilisez l'attestation de santé pour détecter les terminaux Windows Desktop compromis lorsqu'ils sont gérés sous Workspace ONE UEM.

Dans les déploiements de terminaux personnels ou appartenant à l'entreprise, il est important de savoir que les terminaux qui accèdent aux ressources de l'entreprise sont intègres. Le service d'attestation d'intégrité de Windows accède aux informations de démarrage des terminaux depuis le Cloud par l'intermédiaire de communications sécurisées. Il mesure ces informations et les compare aux points de données connexes afin de garantir que le terminal a bien démarré comme prévu et n'est pas victime de menaces ou de vulnérabilités en matière de sécurité. Les mesures comprennent le démarrage sécurisé, l'intégrité du code, BitLocker et le gestionnaire de démarrage.

Workspace ONE UEM vous permet de configurer le service d'attestation d'intégrité de Windows pour garantir la conformité des terminaux. Si l'une des vérifications activées échoue, le moteur de politique de conformité de Workspace ONE UEM applique les mesures de sécurité en fonction de la politique de conformité configurée. Cette fonction permet de garantir la protection des données de l'entreprise sur les terminaux compromis. Étant donné que Workspace ONE UEM tire les informations requises du matériel du terminal, et non de l'OS, les terminaux compromis sont détectés au moment où le noyau d'OS est compromis.

Configurer les politiques de conformité d'attestation d'intégrité pour Windows Desktop

Sécurisez vos terminaux à l'aide du service d'attestation d'intégrité de Windows pour la détection des terminaux compromis. Ce service permet à Workspace ONE UEM de surveiller l'intégrité du terminal pendant le démarrage et d'entreprendre des actions correctives.

Cette capture d'écran montre l'écran du paramètre système Attestation de santé du poste de travail Windows.

  1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Windows > Windows Desktop > Attestation d'intégrité Windows.

  2. Sélectionnez Utiliser le serveur personnalisé si vous utilisez un serveur sur site personnalisé qui exécute l'attestation d'intégrité. Saisissez l' URL du serveur.

  3. Configurez les paramètres d'attestation d'intégrité :

    Paramètres Descriptions
    Utiliser le serveur personnalisé Sélectionnez cette option pour configurer un serveur personnalisé pour l'attestation d'intégrité.

    Cette option nécessite un serveur exécutant Windows Server 2016 ou une version plus récente.

    L'activation de cette option affiche la zone de texte URL de serveur.
    URL de serveur Saisissez l'URL de votre serveur d'attestation d'intégrité personnalisé.
    Démarrage sécurisé désactivé Activez ce paramètre pour signaler un état du terminal compromis lorsque le démarrage sécurisé est désactivé sur le terminal.

    Le démarrage sécurisé contraint le système de démarrer à un état d'usine approuvé. Lorsque le démarrage sécurisé est activé, les composants essentiels utilisés pour démarrer l'ordinateur doivent avoir les signatures cryptographiques correctes approuvées par l'OEM. Le firmware UEFI vérifie la fiabilité avant d'autoriser le démarrage de l'ordinateur. Le démarrage sécurisé bloque le démarrage s'il détecte des fichiers compromis.
    Clé d'attestation d'identité (AIK) introuvable Activez ce paramètre pour signaler un statut de terminal compromis lorsque la clé d'attestation d'identité ne figure pas sur le terminal.

    Lorsqu'une clé d'attestation d'identité est présente sur un terminal, cela signifie que le terminal dispose d'un certificat EK (Endorsement Key). Il est plus fiable qu'un terminal ne disposant pas de certificat EK.
    Stratégie de prévention de l'exécution des données (DEP) désactivée Activez ce paramètre pour signaler un état du terminal compromis lorsque la stratégie de prévention de l'exécution est désactivée sur le terminal.

    La politique de prévention de l'exécution (DEP) est une fonction de protection de la mémoire intégrée au niveau système de l'OS. Cette politique empêche d'exécuter du code à partir de pages de données telles que les des segments de mémoire par défaut, des piles et des pools de mémoire. L'application de la politique DEP est un processus à la fois logiciel et matériel.
    BitLocker désactivé Activez ce paramètre pour signaler un état de terminal compromis lorsque le chiffrement BitLocker est désactivé sur le terminal.
    Vérification de l'intégrité du code désactivée Activez ce paramètre pour signaler un état du terminal compromis lorsque la vérification de l'intégrité est désactivée sur le terminal.

    L'intégrité du code est une fonction qui valide l'intégrité d'un pilote ou d'un fichier système chaque fois qu'il est chargé en mémoire. L'intégrité du code détecte si un fichier système ou un pilote non signés sont chargés dans le noyau. Elle détecte également si des fichiers système ont été modifiés par un logiciel malveillant exécuté par un utilisateur disposant de droits administrateur.
    Protection contre les programmes malveillants à lancement anticipé désactivée Activez ce paramètre pour signaler un état du terminal compromis lorsque le logiciel anti-programme malveillant à lancement anticipé est désactivé sur le terminal.

    La protection contre les programmes malveillants à lancement anticipé sécurise les ordinateurs de votre réseau au démarrage et avant que les pilotes tiers ne procèdent à l'initialisation.
    Vérification de la version d'intégrité du code Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version d'intégrité du code est un échec.
    Vérification de la version du gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version du gestionnaire de démarrage est un échec.
    Vérification du numéro de version de sécurité pour l'application de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité de l'application d'amorçage est différente du numéro saisi.
    Vérification du numéro de version de sécurité pour le gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité du gestionnaire d'amorçage est différente du numéro saisi.
    Paramètres avancés Activez ce paramètre pour configurer les paramètres avancés dans la section Identifiants de version logicielle.

  4. Cliquez sur Enregistrer.

Rubrique parente : politiques de conformité

check-circle-line exclamation-circle-line close-line
Scroll to top icon