È possibile proteggere i propri dispositivi utilizzando il servizio di attestazione dell'integrità di Windows per il rilevamento dei dispositivi compromessi. Questo servizio consente ad AirWatch di monitorare l'integrità del dispositivo durante l'avvio e di eseguire azioni correttive.

I criteri di conformità dello stato compromesso si applicano ai dispositivi Windows 10 Mobile con Trusted Platform Module (TPM) versione 1.2 o successive.

Procedura

  1. Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Phone > Attestazione di integrità Windows.
  2. (Facoltativo) Selezionare Utilizza il server personalizzato se si utilizza un server on-premise personalizzato che esegue l'attestazione dell'integrità. Inserire l'URL del server.
  3. Configurare le impostazioni dell'attestazione dell'integrità:
    Tabella 1. Definizione dello stato di compromissione
    Impostazioni Descrizione
    Utilizza il server personalizzato

    Seleziona per configurare un server personalizzato per l’attestazione dell'integrità.

    Questa opzione richiede un server che esegua Windows Server 2016 o versioni successive.

    Abilitando questa opzione, viene visualizzato il campo URL del Server.

    URL del server Immettere l'URL del server per l’attestazione di integrità personalizzata.
    Avvio sicuro disabilitato

    Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso, se Avvio sicuro è disattivato sul dispositivo.

    Avvio sicuro forza il sistema all'avvio in uno stato di fabbrica attendibile. Quando Avvio sicuro è abilitato, i componenti principali utilizzati per l'avvio devono disporre di firme crittografiche corrette che sono ritenute attendibili dall’OEM. Il firmware UEFI verifica l'attendibilità prima di consentire l'avvio della macchina. Avvio sicuro impedisce l'avvio se viene rilevato qualsiasi file manomesso.

    Chiave di attestazione identità (AIK) non presente

    Abilita questa opzione per contrassegnare lo stato come compromesso quando AIK non è presente sul dispositivo.

    Se la chiave di identità dell'attestazione (AIK) è presente sul dispositivo, significa che il dispositivo ha un certificato di verifica dell'autenticità (EK). Può essere più affidabile di un dispositivo che non dispone di un certificato EK.

    Criterio della prevenzione dell'esecuzione dei dadi (DEP) disabilitato

    Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il DEP è disattivato.

    Il criterio di prevenzione esecuzione dati (DEP) è una funzionalità di protezione della memoria incorporata a livello del sistema operativo. Il criterio impedisce l'esecuzione di codici dalle pagine di dati, come dai pool di heap, stack e della memoria predefinita. DEP è applicata sia dall'hardware che dal software.

    BitLocker disabilitato

    Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando la crittografia BitLocker è disabilitata.

    Controllo dell'integrità del codice disattivato

    Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo dell'integrità del codice è disattivato.

    Integrità del codice è una funzionalità che conferma l'integrità di un file di sistema o driver ogni volta che viene caricato nella memoria. Integrità del codice verifica i driver non firmati o i file di sistema prima che siano caricati nel kernel. La verifica controlla anche gli utenti con privilegi amministrativi che eseguono file modificati da software dannosi.

    Anti malware ad esecuzione anticipata disabilitato

    Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso durante l'avvio precoce dell’anti malware è disattivato.

    Antimalware ad esecuzione anticipata (ELAM) fornisce protezione per i computer nel tuo network quando vengono avviati e prima che i driver di terze parti vengano avviati.

    Controllo della versione dell'integrità del codice Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione dell'integrità codice fallisce.
    Controllo della versione del manager di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione boot manager fallisce.
    Controllo del numero di versione della sicurezza dell'app di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero versione protezione app di avvio non soddisfa il numero immesso.
    Controllo del numero di versione della sicurezza del gestore di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero della versione protezione boot manager non soddisfa il numero immesso.
    Impostazioni avanzate Abilitare questa opzione per configurare le impostazioni avanzate nella sezione Identificatori della versione del software.

Operazioni successive

Per ulteriori informazioni, consultare l'articolo di Microsoft TechNet sull'attestazione dell'integrità.