L'attestation d'intégrité analyse les terminaux au démarrage et y recherche toute défaillance d'intégrité. Utilisez l'attestation de santé pour détecter les terminaux Windows Desktop compromis lorsqu'ils sont gérés sous Workspace ONE UEM.

Dans les déploiements de terminaux personnels ou appartenant à l'entreprise, il est important de savoir que les terminaux qui accèdent aux ressources de l'entreprise sont intègres. Le service d'attestation d'intégrité de Windows accède aux informations de démarrage des terminaux depuis le Cloud par l'intermédiaire de communications sécurisées. Il mesure ces informations et les compare aux points de données connexes afin de garantir que le terminal a bien démarré comme prévu et n'est pas victime de menaces ou de vulnérabilités en matière de sécurité. Les mesures comprennent le démarrage sécurisé, l'intégrité du code, BitLocker et le gestionnaire de démarrage.

Workspace ONE UEM vous permet de configurer le service d'attestation d'intégrité de Windows pour garantir la conformité des terminaux. Si l'une des vérifications activées échoue, le moteur de politique de conformité de Workspace ONE UEM applique les mesures de sécurité en fonction de la politique de conformité configurée. Cette fonction permet de garantir la protection des données de l'entreprise sur les terminaux compromis. Étant donné que Workspace ONE UEM tire les informations requises du matériel du terminal, et non de l'OS, les terminaux compromis sont détectés au moment où le noyau d'OS est compromis.

Configurer les politiques de conformité d'attestation d'intégrité pour Windows Desktop

Sécurisez vos terminaux à l'aide du service d'attestation d'intégrité de Windows pour la détection des terminaux compromis. Ce service permet à Workspace ONE UEM de vérifier l'intégrité du terminal pendant le démarrage et d'entreprendre des actions correctives.

  1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Windows > Windows Desktop > Attestation d'intégrité Windows.

  2. Sélectionnez Utiliser le serveur personnalisé si vous utilisez un serveur sur site personnalisé qui exécute l'attestation d'intégrité. Saisissez l' URL du serveur.

  3. Configurez les paramètres d'attestation d'intégrité :

    Paramètres Descriptions
    Utiliser le serveur personnalisé Sélectionnez cette option pour configurer un serveur personnalisé pour l'attestation d'intégrité.

    Cette option nécessite un serveur qui exécute Windows Server 2016 ou version ultérieure.

    L'activation de cette option affiche le champ URL du serveur.
    URL de serveur Saisissez l'URL de votre serveur d'attestation d'intégrité personnalisé.
    Démarrage sécurisé désactivé Activez ce paramètre pour signaler un statut de terminal compromis lorsque le démarrage sécurisé est désactivé sur le terminal.

    Le démarrage sécurisé force le système à démarrer à un état d'usine approuvé. Lorsque le démarrage sécurisé est activé, les composants essentiels utilisés pour démarrer l'ordinateur doivent avoir les signatures cryptographiques correctes approuvées par l'OEM. Le firmware UEFI vérifie la fiabilité avant d'autoriser le démarrage de l'ordinateur. Le démarrage sécurisé bloque le démarrage s'il détecte des fichiers compromis.
    Clé d'attestation d'identité (AIK) introuvable Activez ce paramètre pour signaler un statut de terminal compromis lorsque l'AIK n'est pas présent sur le terminal.

    La clé d'attestation d'identité (AIK) est présente sur un terminal, ce qui indique que le terminal dispose d'un certificat de clé d'approbation (EK). Il est plus fiable qu'un terminal ne disposant pas de certificat EK.
    Politique de prévention de l'exécution des données (DEP) désactivée Activez ce paramètre pour signaler un statut de terminal compromis lorsque le DEP est désactivé sur le terminal.

    La stratégie de prévention de l'exécution des données (DEP) est une fonctionnalité de protection de la mémoire intégrée au niveau du système d'exploitation. Cette politique empêche d'exécuter du code à partir de pages de données telles que les des segments de mémoire par défaut, des piles et des pools de mémoire. L'application de la politique DEP est un processus à la fois logiciel et matériel.
    BitLocker désactivé Activez ce paramètre pour signaler un statut de terminal compromis lorsque le chiffrement BitLocker est désactivé sur le terminal.
    Vérification de l'intégrité du code désactivée Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de l'intégrité du code est désactivée sur le terminal.

    L'intégrité du code est une fonctionnalité qui valide l'intégrité d'un pilote ou d'un fichier système chaque fois qu'il est chargé en mémoire. L'intégrité du code détecte si un fichier système ou un pilote non signés sont chargés dans le noyau. Elle détecte également si des fichiers système ont été modifiés par un logiciel malveillant exécuté par un utilisateur disposant de droits administrateur.
    Logiciel anti-programme malveillant à lancement anticipé désactivé Activez ce paramètre pour signaler un statut de terminal compromis lorsque le logiciel anti-programme malveillant à lancement anticipé est désactivé sur le terminal.

    La protection contre les logiciels malveillants à lancement anticipé (ELAM) assure la protection des ordinateurs de votre réseau lorsqu'ils démarrent et avant l'initialisation des pilotes tiers.
    Vérification de la version d'intégrité du code Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version d'intégrité du code est un échec.
    Vérification de la version du gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque la vérification de la version du gestionnaire de démarrage est un échec.
    Vérification du numéro de version de sécurité pour l'application de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité de l'application d'amorçage est différente du numéro saisi.
    Vérification du numéro de version de sécurité pour le gestionnaire de démarrage Activez ce paramètre pour signaler un statut de terminal compromis lorsque le numéro de version de sécurité du gestionnaire d'amorçage est différente du numéro saisi.
    Paramètres avancés Activez ce paramètre pour configurer les paramètres avancés dans la section Identifiants de version logicielle.
  4. Cliquez sur Enregistrer.

Rubrique parente : Politiques de conformité

check-circle-line exclamation-circle-line close-line
Scroll to top icon